Siete razones para no bajar la guardia en ciberseguridad
El cibercrimen se convierte en una de las mayores amenazas para empresas públicas y privadasLa situación actual de crisis ha propiciado un crecimiento del cibercrimen en todas sus versiones, convirtiéndose en una amenaza aún mayor tanto para empresas privadas como públicas. El Instituto de Auditores Internos, consciente de los riesgos que supone, analiza las siete razones por las que no se debe bajar la guardia en ciberseguridad.
1. La improvisación puede haber dejado puertas abiertas. La rapidez con la que muchas veces tuvo que improvisar un sistema de teletrabajo puede haber dejado abiertos algunos requisitos para la ciberdelincuencia. En este sentido, es importante que las empresas, a través de Auditoría Interna, supervisen todos los sistemas y protocolos de seguridad se han implantado correctamente y no tienen fuera de nada relevante. Además, es necesario recordar a los empleados la necesidad de ser más cautos y utilizar contraseñas robustas en toda la red, cambiándolas cada cierto tiempo.
2. Incluir la seguridad en el plan de continuidad con el objetivo de dar solución a posibles situaciones que planteen plantearse, como los responsables de TI tendrán realmente acceso a los equipos que funcionan en remoto para resolver cualquier incidencia; prever que puede tener bajas por enfermedad en el equipo de ciberseguridad cuyo reemplazo (interno o externo) debe tener el mismo acceso y herramientas; prever diferentes cauces de comunicación en estos equipos y no dejarlo solo en uno (correo electrónico, por ejemplo) que pueden fallar e impida contactar con ellos en caso de emergencia; y, por último, tomar buena nota de las lecciones aprendidas para corregir los errores y que no vuelvan a producirse.
3. Concienciar a la plantilla: toda conexión es un riesgo. Los ciberdelincuentes van a utilizar todas las opciones para acceder a los sistemas de seguridad y lo más valioso de las organizaciones, los datos. Por lo tanto, se debe verificar su protección y la seguridad de las conexiones evitando plataformas o aplicaciones que no tengan total garantía. Ya se han dado casos de personas que han entrado en webinars para interrumpirlos o sistemas de videoconferencias que no tienen la protección de datos.
4. Cuidado con la suplantación de identidad. La suplantación de identidad o phishing es una de las ciberamenazas que están prodigando durante la pandemia para obtener credenciales del usuario y acceder a los sistemas de la empresa. Actualmente existen 24.000 dominios en Internet que contienen los términos: “coronavirus”, “corona-virus”, “covid19” y “covid-19”. La mitad se ha creado en marzo, algunos con multas legítimas y otros con objetivos cibercriminales. El phishing es un caso de ingeniería social para explotar la debilidad de las personas.
5. El móvil, tan frágil como otros dispositivos. Los dispositivos móviles son miniordenadores a través de los que se acceden a la información personal y profesional. Son más vulnerables a las amenazas. Hay que encriptar e instalar cortafuegos. Las empresas deben verificar que los móviles corporativos cuentan con robustos sistemas de seguridad y los empleados saber bien lo que no deben hacer con ellos.
6) Contemplar la posibilidad de contar con un ciberseguro. Hace tiempo que las compañías de seguros ofrecen pólizas para proteger frente a los riesgos de ciberseguridad, tanto desde un punto de vista de prevención como de mitigación. Si la compañía dispone ya de uno, debe revisar la letra pequeña para ver si las pandemias son una excepción a la cobertura de la política o no. En caso de no disponer de un ciberseguro, tal vez sea el momento de plantear identificador primero las necesidades concretas de la compañía para comparar luego las ofertas del mercado analizando tanto el alcance como las obligaciones. Hay pólizas que no solo cubren el riesgo directo, sino también el de terceras partes (clientes, proveedores, etc.). Hay aseguradoras que también incluyen otros servicios de valor adicionales como la evaluación previa de la seguridad y algunos servicios de gestión de crisis. Los expertos auguran un fuerte crecimiento de los ciberseguros en los próximos años.
7. Si la compañía ha sufrido algún tipo de ciberincidente durante la crisis originada por el COVID-19, no se debe olvidar que siguen totalmente vigentes los estrictos protocolos de comunicación. Y tampoco estos tiempos de pandemias eximen de las posibles limitaciones en caso de brechas de seguridad que hayan afectado a la obligación de protección de datos.