Los eventos de 2020 obligaron a una parte significativa del mundo laboral a adoptar el estado de "trabajo desde casa". Las instituciones necesitaban cambiar sus operaciones virtualmente, ya sea que estuvieran listas o no.
En muchos casos, la logística de distribuir computadoras portátiles y otros suministros de oficina con la mayor rapidez y con la menor interrupción posible de las operaciones ocupó un lugar central.
Esto no dejó mucho tiempo para pensar en la importancia de la ciberseguridad, y mucho menos para implementar salvaguardas.
Considere una organización religiosa local como una iglesia, sinagoga o mezquita. La organización depende de sus miembros, donantes financieros y voluntarios para mantener las luces encendidas. Con el tiempo, la organización recopila un tesoro de información personal confidencial.
Por ejemplo, la organización puede tener los nombres, direcciones, números de teléfono e incluso los números de tarjetas de crédito de los miembros que han donado dinero en el pasado.
En general, ¿esta pequeña organización sin fines de lucro tendría un software de base de datos centrado en la seguridad o un proveedor para proteger esta información confidencial? ¿O es más probable que la persona responsable de las finanzas de la organización tenga una simple hoja de cálculo de Microsoft® Excel guardada en su disco compartido no seguro? En este caso, los ciberdelincuentes probablemente tendrían razón sobre las vulnerabilidades de las organizaciones más pequeñas.
Lo más probable es que la institución religiosa más pequeña no tenga los recursos para una base de datos centrada en la seguridad, y es mucho más fácil acceder a su hoja de cálculo de Excel con la información de los donantes que a una gran corporación con múltiples líneas de ciberprotección.
Un ciberataque exitoso tiene implicaciones de largo alcance para instituciones grandes y pequeñas, ya sea con o sin fines de lucro. Una infracción daña la reputación de una institución y disuade a los socios, empleados, donantes, voluntarios y otros asociados de trabajar con la organización.
El activo más sensible de una institución son sus datos, y es responsabilidad de la institución protegerlos. Las ramificaciones financieras también son significativas.
Desafortunadamente, no existe una panacea para hacer que una institución sea cibersegura. Los ciberdelincuentes siempre encuentran nuevas formas de causar daño.
Pero un compromiso con la educación continua, la capacitación de los empleados y algunas mejores prácticas pueden contribuir en gran medida a mantener la responsabilidad de una institución de proteger sus datos.
Los métodos de ciberhigiene discutidos aquí son asequibles y pueden contribuir en gran medida a mantener seguros los activos de una institución.
Una parte crucial de la protección contra el delito cibernético, especialmente con recursos limitados, es comprender y enfocarse en mitigar las amenazas comunes. Tres vectores comunes del ciberdelito son el correo electrónico, las redes comerciales y los dispositivos móviles.
Correo electrónico
El delito cibernético realizado por correo electrónico a veces se denomina "phishing". Según la Encuesta de Control y Fraude de Pagos de AFP de 2020, el 75 % de las empresas estuvieron expuestas al fraude de correo electrónico comercial en 2019, y el phishing representó el 22 % de las infracciones en 2020, según el Informe de Investigaciones de Violación de Datos de Verizon 2021.
En este escenario, un ciberdelincuente envía lo que parece ser un correo electrónico legítimamente relacionado con el negocio. El correo electrónico le indica al empleado que complete una tarea que parece inocua pero permite que el delincuente complete su delito (por ejemplo, iniciar una transferencia bancaria u otra transacción financiera al obtener acceso al sistema de la organización).
Seguridad de la red
Otro tipo de fraude ocurre cuando un ciberdelincuente obtiene acceso a la información sensible de una institución ingresando a la red de la empresa. En 2020, el 45 % de las infracciones se debieron a tácticas de piratería como esta.
Existen diferentes formas para que los piratas informáticos ingresen a la red comercial interna de una institución. A medida que el trabajo remoto se vuelve aún más común, los empleados deben estar atentos a cómo y dónde se conectan a la red interna de forma remota.
Dispositivos móviles
Más personas que nunca utilizan dispositivos móviles y tabletas para realizar negocios en línea. Además de ser vulnerables a acciones no físicas como el compromiso de correo electrónico y la piratería de redes, los dispositivos móviles también son vulnerables a la interferencia física. Si bien puede sonar como la trama de una película de espías, las acciones físicas están presentes en el 4 % de las infracciones.
Comenzando con el ejemplo obvio, si un teléfono se pierde o es robado, todos los datos comerciales y el acceso al dispositivo móvil se pierden. Incluso sin acceso a la contraseña, los piratas informáticos sofisticados pueden "liberar" los teléfonos mediante la instalación de un software que les permite eludir las solicitudes de contraseña.
Si te gusto este articulo te recomendamos: Evolución de la Ciberseguridad
Comentarios