Una reciente violación de datos en el proveedor alemán de servicios de IT Citycomp ha resultado en una avalancha de datos publicados en línea, incluida información financiera y privada sobre todos los clientes de Citycomp. En el mundo en el que vivimos hoy, debe saber cómo fortalecer sus defensas contra las violaciones de datos.
La violación de datos incluyó una lista de clientes que cubría a grandes empresas como Oracle, Airbus y Porsche. Más que eso: setenta mil servicios y sistemas de almacenamiento están ahora disponibles públicamente.
Los cibercriminales creen que violar a un proveedor de servicios de IT como Citycomp es la victoria final
Al descifrar las defensas de un solo negocio, los delincuentes obtienen las llaves de docenas, o incluso cientos, de las redes comerciales de los clientes del proveedor de servicios. Sin embargo, los piratas informáticos aficionados son mucho más propensos a perseguir un objetivo más fácil como su pequeña empresa.
El coste -para el criminal- la conducta del cibercrimen ha seguido bajando
El aumento del malware como servicio está permitiendo que los piratas informáticos aficionados se unan a las filas de los cibercriminales más experimentados. No es sorprendente que la investigación muestre que las pequeñas empresas ahora constituyen la mayoría de las víctimas de ataques cibernéticos comerciales.
Mientras que casi el 70% de las pequeñas empresas informan que experimentan ataques cibernéticos, y solo el 28% dice que sus medidas de defensa son «altamente efectivas». Tomar estos tres pasos fortalecerá sus propias defensas contra las violaciones de datos:
1. Cambie las contraseñas regularmente
Si ha estado utilizando el mismo nombre de usuario y contraseñas durante años, es casi seguro que esas credenciales están disponibles en alguna parte. Estas contraseñas están disponibles en la web oscura por solo unos céntimos, o incluso de forma gratuita.
Cambiar las contraseñas regularmente puede ser una molestia, pero es una práctica de seguridad importante. Ayuda a evitar que los hackers compren información de inicio de sesión anterior en la web oscura y la usen para entrar en la red de su organización.
Establecer sistemas que requieran que los empleados cambien sus contraseñas cada pocos meses es una mejora de seguridad que puede salir muy económica, y es generalmente gratuita.
2. Implemente la autenticación de dos factores
Si los piratas informáticos logran obtener las credenciales de inicio de sesión, la autenticación de dos factores es otro controlador de acceso. La autenticación de dos factores, también conocida como 2FA, requiere una forma adicional de validación de identidad más allá de una contraseña. Esta segunda capa puede ser un código o un número PIN. Estas solicitudes se envían comúnmente por SMS.
También puede configurar este segundo código para un token de hardware, como un llavero al que solo el usuario puede acceder.
Ninguna solución es 100% segura. Algunas compañías con datos particularmente sensibles incluso confían en la autenticación multifactor, que requiere una verificación adicional del usuario más allá de la autenticación de dos factores. Algunos de los últimos métodos de verificación incluyen escaneos de iris o huellas dactilares, así como reconocimiento facial.
Dependiendo de sus necesidades de seguridad y presupuesto, se recomienda que comience con cualquier forma de autenticación de dos factores que pueda implementar. Aunque la verificación de texto SMS es la más simple y menos segura, sus empleados probablemente ya estén familiarizados con ella, y es un paso adelante en la seguridad de las credenciales tradicionales.
3. Tómese el entrenamiento en serio
Independientemente de las medidas de seguridad que implemente: autenticación de dos factores, firewalls de aplicaciones web, políticas agresivas de administración de contraseñas y otras, tenga en cuenta que el error humano seguirá siendo su mayor vulnerabilidad.
Sus empleados son el eslabón más débil en la cadena de seguridad cibernética de su organización.
Es por eso que los cibercriminales intentan estafar a las personas primero y luego piratear las redes. El Informe de investigaciones de violación de datos de 2017 de Verizon indica que el 90% de los incidentes de ciberseguridad involucraron un elemento de phishing.
Los intentos de phishing solían centrarse en correos masivos de spam donde los remitentes podían sacar provecho de unos pocos clics errantes. Ahora, los ciberdelincuentes están agudizando los ataques de phishing tradicionales con ingeniería social básica. Llamados spear-phishing, los ataques utilizarán la información que se puede obtener en línea para hacer que sus intentos de obtener acceso sean más legítimos.
El hacker podría hacerse pasar por un CEO y enviar solicitudes de información financiera a un contable. Podrían pretender ser un ejecutivo y pedir ayuda a un asistente para recordar una contraseña. Si sus empleados no están capacitados para detectar estos ataques, se perderán los detalles minuciosos que indican una estafa.
Implemente un programa de capacitación y pruebe a los empleados utilizando correos electrónicos de phishing falsos de forma regular.
Cuando un objetivo se involucra con el correo electrónico, puede realizar un seguimiento para ayudar al empleado a comprender dónde se equivocó y cómo mejorar la próxima vez. Es un error que los propietarios de pequeñas empresas supongan que no son objetivos solo porque tienen muchos menos datos que robar que las grandes corporaciones.
Desafortunadamente, sus presupuestos de defensa de ciberseguridad limitados hacen que sea más fácil aprovechar a los emprendedores, nuevas empresas y pequeñas empresas.
Los hackers saben muy bien que algunos propietarios de pequeñas empresas no toman las precauciones más básicas. Por suerte, acciones como estas le ayudarán a evitar las consecuencias catastróficas de una violación de datos.
