La llegada de Internet trajo aparejados muchos beneficios para todos, pero también peligros múltiples porque muchas personas malintencionadas aprovechan las facilidades de las redes para acceder a datos privados. Por eso, desde hace algunos años, en octubre se celebra el mes de la concientización de la ciberseguridad.
Hace 14 años en los Estados Unidos se declaró oficialmente a octubre como el mes nacional de la concientización en seguridad cibernética. Ocho años después, la Unión Europea creó el mes europeo de la ciberseguridad, y en 2018, Chile fue el primer país latinoamericano en celebrar este mes.
¿Qué es el mes de la ciberseguridad?
Es una campaña internacional que tiene por objetivo dar a conocer las mejores prácticas de ciberseguridad para poder combatir las ciberamenazas.
Este año su lema es “Protejamos nuestro mundo”, que es una llamada a la acción: protégete a vos mismo y a tu empresa de los peligros de Internet con medidas simples y eficaces. Además, se centrará en cuatro comportamientos clave:
- Utilizar contraseñas seguras y un gestor de contraseñas.
- Activar la autenticación multifactorial.
- Actualizar software.
- Reconocer y denunciar el phishing.
¿Por qué es importante el mes sobre la concientización sobre la ciberseguridad?
Cada día existe un aumento no solo en la frecuencia de los ciberataques sino también en su sofisticación. Según la empresa de ciberseguridad Innside, debido a este problema, el costo global de los ciberataques podría alcanzar los 10,5 billones de dólares anuales para el 2025.
Además, muchos de esos ciberataques ocurren a partir de errores humanos, como hacer clic en un enlace desconocido o intentar la descarga una película de algún sitio inseguro.
Se debe crear una concientización en las organizaciones puede mitigar eficazmente los riesgos causados tanto por malas intenciones como por errores involuntarios.
Educar a los trabajadores, mostrándoles cuáles son las mejores prácticas para evitar robos de información o suplantación de identidad es esencial.
Las organizaciones cada vez están más sujetas a cumplir requisitos normativos que las obligan a adoptar medidas robustas de ciberseguridad.
El mes de concientización sobre la ciberseguridad invita a las compañías a demostrar su compromiso con el cumplimiento de la normativa.
¿Qué tipos de ataques a la seguridad digital existen?
Antes de compartirte algunas buenas prácticas para implementar en tu organización, identificaremos cuáles son algunos de los tipos de ataques digitales existentes.
Ransomware
Este ataque ocurre cuando una persona descarga accidentalmente desde un sitio o un documento adjunto el ransomware.
Una vez en la computadora, este malware comienza a explotar todas las vulnerabilidades que pueden existir y termina por tomar dominio del sistema. Para que la víctima pueda recuperar su sistema, debe pagar un rescate al atacante
Phishing
Este tipo de ciberataque utiliza correos electrónicos, mensajes de textos, páginas fraudulentas o llamadas telefónicas para engañar a las personas y hacer que compartan sus datos personales y confidenciales.
Suplantación de identidad
Ocurre cuando se envían correos que parecen de una fuente confiable, pero en realidad es una carnada para que la víctima haga clic en algún link que descarga algún tipo de virus.
Troyanos
Este ciberataque se llama así porque utiliza un programa malicioso que está escondido dentro de uno aparentemente legítimo. Cuando el usuario abre el programa, el virus ingresa.
¿Cómo fomentar el mes de la ciberseguridad en tu organización?
Existen muchas acciones que se pueden realizar para fomentar el cuidado de datos dentro de las organización. Maximiliano Gómez, gerente de tecnología de la empresa Xubio, brindó consejos y contó algunas de las prácticas que realizan en su compañía, según me informó esta firma en un comunicado.
“En Xubio segmentamos la seguridad en áreas específicas que nos permiten una gestión y monitoreo más efectivos, dado que cada una requiere distintos tipos de conocimientos y uso de herramientas específicas”, explicó. A continuación, una breve descripción del propósito de cada una de estas áreas:
Seguridad de las personas
El foco está en la educación y capacitación de los colaboradores (campañas sobre phishing, concientización), y en la implementación de herramientas (antivirus, monitoreo) que aseguren los dispositivos físicos que se utilizan ante posibles infecciones.
La implementación de gestores de información sensible y concientizar sobre su uso es otro de los grandes desafíos.
Seguridad de la aplicación
El desarrollo seguro del producto que construimos es el principal objetivo de este eje. Esto abarca desde el código fuente que generan, marcos de trabajo de terceros que utilizan y la gestión de acceso a la información.
Una gran ayuda para controlar y monitorear de manera constante este tipo de potenciales vulnerabilidades es la implementación de herramientas del tipo: SAST (Static Application Security Testing) que realizan un análisis estático de su código y DAST (Dynamic Application Security Testing) encargada de analizar la aplicación desde un contexto de ejecución.
Existen otros tipos de herramientas, pero las mencionadas son la base para comenzar a asegurar la calidad de nuestro código respecto a seguridad.
Seguridad de la solución
Proteger donde se encuentra alojada la solución de agentes externos es el propósito de esta área. Mitigar el riesgo de malware o dejar puertas abiertas a posibles vulnerabilidades requiere un monitoreo diario con canales específicos que les envíe alertas en caso de detectar una actividad sospechosa.
A partir del tipo de amenazas de seguridad que prevalecen hoy, la implementación de herramientas del tipo WAF (Web Application Firewall) les permite protegerse y monitorear las principales amenazas (SQL Inyection, Cross-Site Scripting, etc.).
También disponen de un SIEM (Security Information and Event Management ) que les permite la gestión de análisis de logs y alertas de toda actividad sospechosa en su infraestructura, son fundamentales.
Para cada área es necesario tener una política clara y procesos asociados que den soporte a una gestión de cada potencial situación que se les pueda presentar.
Guillermo Filia, director general ejecutivo de Xubio, también compartió su mirada: “Desde la dirección de la empresa, tomamos la seguridad con la misma prioridad que tiene una iniciativa estratégica, asignando una inversión propia para el área con una planificación que tiene hitos trimestrales”.
Aprovechar el mes de la concientización sobre ciberseguridad es una oportunidad para empoderar a los trabajadores y crear un entorno laboral más seguro.
Invertir en educación y buenas prácticas puede marcar la diferencia entre un ataque exitoso y la seguridad de nuestra información.
Si te gustó o sirvió algo que publiqué, te ofrezco dos alternativas para agradecer y permitir la continuidad de mi trabajo en Bahía César, haciendo clic sobre ellas:
Introduce tu correo electrónico para suscribirte a Bahía César y recibir avisos de nuevas notas.
