Los hackers o piratas informáticos aprovechan una falla en la seguridad de los sistemas de información de un proveedor de servicios de comunicaciones electrónicas. De esta manera, acceden a los datos de facturación de la base de clientes y prestadores de servicios. Los datos son revendidos a estafadores, quienes los podrán emplear para usurpar identidades. Al considerarse estos datos como datos personales, la empresa debe notificar el incidente a sus clientes. Además, es posible que deba efectuar algunas compensaciones a los perjudicados. Todo esto genera pérdida de confianza por parte de algunos socios y clientes.”
Quizás esta situación parezca muy lejana a tu empresa, pero hoy en día, cada vez es más común para los negocios de menor tamaño experimentar afectaciones por este tipo de riesgos.
Los ataques en contra de empresas casi se han duplicado en cinco años y los incidentes que antes se consideraban algo fuera de lo común se están volviendo más y más comunes. De acuerdo con un reporte elaborado por Marsh en el 2019, los giros que con mayor frecuencia son atacados son: Cuidados de la Salud, Servicios Financieros, Educación, Venta Minorista e Industria.
A continuación, te presentamos algunas recomendaciones básicas, para que tanto a nivel empresa como a nivel personal, puedas prevenir afectaciones por este tipo de riesgos:
1.- La Seguridad del acceso físico y remoto
La gestión de los derechos de acceso, tanto físicos como informáticos, debe adaptarse a la situación de tu empresa y a las funciones de tus colaboradores:
Para evitar que usurpen fácilmente tus sistemas, las contraseñas deben ser:
· Individuales
· Secretas
· Fuertes o Complejas
· Cambiarse regularmente
Es útil definir un nivel mínimo de seguridad como, por ejemplo, claves con ocho caracteres que combinen mayúsculas, minúsculas, números y símbolos.
2.- Una adecuada concientización del personal, socios y colaboradores
Debe sensibilizarse a todos los colaboradores sobre la importancia de los ciberriesgos. Ya sea persona con contrato temporal, estudiantes en prácticas, etc. Debe recordarse regularmente normas simples como:
· Evitar el uso de dispositivos personales (USB o Discos Duros Externos), así como accesos remotos móviles o remotos no protegidos (wifi, bluetooth)
· No dejar a la vista contraseñas en los lugares de trabajo
· Establecer una política de utilización segura del correo electrónico (documentos adjuntos dudosos, hipervínculos o enlaces extraños, extensiones .pif, .com, .exe, .bat, .ink).
Esta política también debe compartirse con el conjunto de accionistas, proveedores y prestadores de servicios.
3.- La actualización de programas y aplicaciones de operación, gestión, proceso y producción
Las fallas en los programas son vías de acceso para las intrusiones maliciosas. Estas fallas deben corregirse a medida que se identifican.
4.- Uso de Herramientas de Protección
Destacan las siguientes herramientas de protección:
· Antivirus / Cortafuegos: Son la base de la protección indispensable de todos los sistemas de información. Deben actualizarse de forma regular y automática.
· Herramientas de Filtrado: Los antivirus y cortafuegos se complementan con herramientas del tipo de Sistema de Protección de Intrusiones (IPS) y Sistema de Detección de Intrusiones (IDS) que filtran las entradas y salidas para detectar y descartar algunas intrusiones maliciosas.
5.- Herramientas de Detección del Comportamiento
Las intrusiones maliciosas no bloqueadas por las herramientas de filtrado pueden detectarse con el análisis de descargas y otras acciones sospechosas.
6.- Capacidad de Gestión de Crisis – Herramientas de resiliencia
La capacidad de la empresa para volver a ponerse en marcha después de un ataque es más rápida si se han previsto dos aspectos:
a) Copias de Seguridad
b) Plan de Continuidad del Negocio: Implementar un plan de respuesta a incidentes y de continuidad de negocio. EL plan debe incluir: a) Como calificar los datos, sistemas y aplicaciones críticas en términos de sensibilidad, confidencialidad o privacidad, b) Aplicar un procedimiento de gestión de crisis en caso de ataque y c) Designar a los colaboradores responsables y asignar tareas de urgencia.
