Saltear al contenido principal

Gestión de riesgos de SSII. Riesgos de seguridad en la red: Phishing

ISO 27001

iso 27001

Para realizar una correcta implantación de la ISO 27001 es necesario realizar una gestión de los riesgos de la Seguridad de la Información.

Cualquier tipo de vulnerabilidad puede ser la responsable de que una empresa pierda la confianza de sus clientes o usuarios además de suponer un coste elevado en términos de información y económicos.

La red es una gran fuente de riesgos para la organización, en Internet se esconden muchas personas que utilizan informaciones y datos para conseguir dinero a costa de terceros como personas o empresas.

Por todo esto, vemos la necesidad de hablar sobre la suplantación de identidad o como también se conoce, phishing.

El Phishing se define como las técnicas de consecución de datos personales y cuentas bancarias mediante medios digitales para emplearlos de forma fraudulenta, suplantar la identidad y conseguir un rendimiento económico o simplemente suplantar la imagen de una organización con algún fin.

Este tipo de riesgo de seguridad es realmente fácil de detectar y por tanto de protegerse ante él.

El método más utilizado habitualmente es a través de e-mails o páginas web en los que se solicita este tipo de información personal o claves haciéndose pasar por una organizacion de confianza del usuario como por ejemplo su banco, un agente del mismo, su compañía telefónica o de cualquier otra.

Básicamente al recibir el e-mail y entrar en el enlace, este nos lleva hasta una página muy similar a la de la empresa en la que se nos solicita el ingreso de ciertos campos con datos privados. Pero la realidad es que detrás de esta página están delincuentes y no la organización que pensábamos.

También hay otras formas, como la denominada Pharming, es una técnica en la que a través de un fichero que se instala en el PC de manera invisible, esté archivo hará que cuando deseen entrar a la página web de su organización de confianza le redirija hasta una web idéntica pero que es falsa. En estos casos los usuarios no son conscientes de que al ingresar sus datos de acceso, en lugar de hacerlo a la verdadera compañía se los está dando a los delincuentes.

Aunque es cierto que existen muchas formas de phishing, el modo de evitarlos es el mismo:

1.- Entrar en las páginas en las que necesitará claves escribiendo la dirección en el navegador y nunca mediante un enlace en un e-mail, web, banner o publicidad.

2.- Verificar antes de ingresar ningún dato personal la vigencia del certificado de seguridad.

 Hay que tener en cuenta que cuando entramos a páginas web que requieren el uso de claves, la url de la página aparecerá automáticamente con https y no solo con http. Para comprobar su autenticidad, basta con hacer clic en el candado que aparece junto a la url podremos acceder a su certificado digital.

A continuación os mostramos una imagen donde a modo de ejemplo se  puede  comprobar que la identidad está verificada:

ISO 27001

 

La Plataforma Tecnológica ISOTools colaborará con su organización a la hora de implantar y mantener la nueva ISO 27001:2013, así como facilitará su integración con otros sistemas de gestión, pudiendo controlar su Sistema de Gestión Integrado.

¿Desea saber más?

Entradas relacionadas

Volver arriba