Nuestros datos están expuestos cada vez que hacemos uso de computadores, servidores, dispositivos móviles, redes o sistemas electrónicos. Debemos recordar, además, que el universo de lo digital crece cada vez más, así como nuestra dependencia tecnológica, lo que propicia una extensión de ataque digital que crece exponencialmente, abarcando todo lo que pueda conectarse o comunicarse incluyendo datos, personas, dispositivos, aplicaciones e incluso la nube.

La vulnerabilidad frente a ataques cibernéticos es una constante que no podemos ignorar, por esto, hace 16 años el Consejo de Europa y la Comisión Europea decidieron instaurar el 28 de enero como Día Internacional de la Protección de Datos,  2 años después el gobierno de los Estados Unidos declaró oficialmente, el Mes de la Concientización sobre ciberseguridad, ocho años más tarde Europa creó el Mes Europeo de la Ciberseguridad. El principal objetivo de esta celebración es promover una cultura de ciberseguridad en pro de que tanto los usuarios, gobiernos, organizaciones y en general toda la comunidad hagan uso seguro y confiable de las herramientas digitales, así como alentar a la cooperación internacional en esta materia e impulsar que tanto gobierno como el sector privado trabajen en conjunto para afrontar los desafíos que en este campo se presentan.

Otro factor que nos hace reconocer la importancia de tomar acciones proactivas para mejorar la ciberseguridad, son los ciberataques que han recibido diversos sectores que van desde institutos de educación, hospitales, telecomunicaciones, entre muchos otros. Según el Reporte de Amenazas de Sophos, el 34% de las organizaciones en el mundo fueron víctimas de malware en el 2020, mientras que el 29% sufrió de exposición de datos sensibles y el 28% de ransomware.  Por otra parte, en el año 2021, los ciberataques aumentaron en un 24% en Latinoamérica de acuerdo con cifras compartidas en el informe Panorama de Amenazas en América Latina 2021, que según Dmitry Bestuzhev, director de investigación y análisis de Kaspersky para América Latina “al terminar el año cerraremos con una tendencia aún peor”. El aumento en los ciberataques en los últimos años se debe, según expertos, a que las compañías implementaron la modalidad de trabajo remoto a escala, sin estar preparadas para realizar una transición digital durante la pandemia, lo que generó vulnerabilidad en los accesos, por lo que se espera que los recordemos especialmente por el incremento de ciberataques. Otras cifras que nos ayudan a conocer la frecuencia e impacto de las ciberamenazas son las siguientes:

  • Cada 39 segundos ocurre un ciberataque (Universidad de Maryland Estados Unidos, 2018)
  • 3 de cada 5 empresas que han instalado tecnologías IoT han sufrido ciberataques en estos dispositivos (Internet of Things Cybersecurity Readiness – Osterman research for Trustwave).
  • 1 de cada 2 directivos de IT de Agencias Federales consideran su mayor ciberamenaza la baja o nula formación en ciberseguridad en proveedores (Federal Cybersecurity Survey, SolarWinds).
  • 1 de cada 2 víctimas de ciberataque vuelve a ser atacada con éxito en menos de un año (FireEye, 2018).
  • 1 de cada 2 directivos de tecnología identifican el Phishing como su principal ciberamenaza (Global Advanced Threat Landscape Report 2018 (Vanson Bourne for CyberArk).

Cifras tomadas de la página web de LISA Institute (LISA Institute, 2019)

Reconociendo esta problemática y siendo el Día Internacional de la Protección de Datos Personales, queremos recordar algunas buenas prácticas que permiten mantener la seguridad de sus sistemas, de su compañía y de sus datos.

1. Formación de empleados: impartir información en materia de ciberseguridad al personal es esencial ya que gran parte de las intrusiones digitales en las compañías se logran a través de los empleados, por tanto, es necesario crear esquemas de capacitación en temas de ciberamenazas y aplicarlo a todo el personal de manera continua. Al enseñarle nociones básicas de seguridad a los trabajadores es posible reforzar la seguridad de la empresa.

2. Comunicaciones seguras a través de correo electrónico: el correo electrónico es usualmente un punto débil de ciberseguridad, siendo las principales amenazas los ataques de phishing, la pérdida o revelación de datos sensibles. Por tanto, es recomendable evitar abrir correos o contestarlos cuando estos vienen de usuarios desconocidos, tampoco es recomendable hacer clic sobre enlaces, o descargar archivos adjuntos en correos que tengan procedencia sospechosa.

3. Actualización regular de software: los ciber atacantes buscan constantemente vulnerabilidades en el software que las compañías emplean, por lo que es importante actualizar el software crítico como el sistema operativo, las aplicaciones de seguridad, entre otras, ya que dentro de las actualizaciones es posible encontrar parches de seguridad y correcciones de errores que solucionan vulnerabilidades y así proteger la información sensible.

4. Contar con antivirus y firewall: los firewalls se diseñaron para evitar accesos no autorizados a redes privadas, por tanto, un buen firewall es capaz de supervisar los datos entrantes y salientes. Por otra parte, los antivirus son una herramienta eficaz contra ataques de ransomware y de programas maliciosos que pueden comprometer la integridad de dispositivos y datos. Tanto el firewall como el antivirus son mecanismos que evitan los ciberataques, protegiendo la información y siendo una barrera contra hackers.

5. Gestionar contraseñas de manera eficiente: hacer uso de la misma contraseña para todas sus cuentas facilita a los hackers acceder a todos sus sistemas, por lo que la recomendación es procurar el uso de contraseñas largas, que contengan mayor variedad de caracteres, entre otras buenas prácticas como no reutilizar la contraseña, no dejar pistas en público, evitar usar información personal, evitar los patrones numéricos o alfabéticos, entre otras.

6. Usar varios métodos de autenticación: dado que las contraseñas no son del todo seguras, es posible implementar múltiples factores de autenticación que permitan confirmar la identidad de los usuarios, dispositivos o máquinas antes de conceder acceso a un sistema o aplicación.

7. Asegurarse de establecer una conexión segura al navegar por internet: Es usual que los empleados hagan uso de la red informática de la empresa para visitar sitios web, por lo que antes de registrar información se debe procurar localizar el candado y el protocolo HTTPS en la barra de direcciones, en caso de no encontrar el sitio web protegido lo mejor es no introducir información sensible.

También es de suma importancia que las empresas informen a sus empleados sobre los sitios web de phishing, ya que existen casos de sitios web de phishing que utilizan certificados SSL con validación de dominio para parecer “reales”.

8. Contar con una estrategia de respuesta ante incidentes: esto permite a las empresas adelantarse a los ataques y responder rápidamente para evitar que el alcance del incidente de seguridad sea mayor al previsto, así mismo es indispensable identificar el responsable de implementar y gestionar el plan.

9. No dejar dispositivos desatendidos: un dispositivo desatendido puede ocasionar una violación de datos, incluso dentro de la organización, siendo indispensable la seguridad física de computadores, celulares, memorias, por lo que es recomendable siempre bloquear pantallas o apagar el sistema antes de alejarse del dispositivo, así como recordar cerrar sesión y más aún cuando el ingreso se realiza desde un equipo ajeno, lo que evita que datos sensibles sean robados o descargados por terceras personas.

10. Realizar copias de seguridad de forma regular: si la compañía recibe un ataque de malware o ransomware, es posible que para reparar el sistema deba borrar datos y restaurar la copia de seguridad más reciente, siendo fundamental hacer copias con regularidad, así como guardarlas en lugares distintos para evitar que hackers puedan acceder a los datos.  A su vez las copias de seguridad permiten la recuperación de información luego de una pérdida o robo.

11. Establecer políticas de uso de dispositivos: en ocasiones los dispositivos de los trabajadores como celulares, pueden ser un punto de acceso a la red corporativa, por lo que contar con una buna política de uso de dispositivos contribuye a concientizar a los empleados sobre el uso de tecnologías móviles y como mitigar el riesgo de ataques.

12. Aumentar la inversión en tecnología: partiendo de la premisa de que los atacantes cuentan con iguales o mejores recursos, es indispensable aumentar la inversión para reforzar equipos de seguridad.

13. Conocer los principales ciberataques a los que se está expuesto: estar informado aumenta las posibilidades de defenderse con éxito ante un ataque. Por tanto, es recomendable familiarizarse con las ciberamenazas más habituales, entre las que están: phishing, ransomware, estafas por compras en línea, servicios gratuitos, llamadas telefónicas falsas, noticias falsas, entre otras.

14. Los directivos de la organización deben liderar una cultura de ciberseguridad: partiendo de la premisa que, si los líderes aceptan las estrategias y cambios aplicables a la organización, el resto de los miembros les seguirán.

15. Nunca se está completamente protegido: Suponga en todo momento que existe un punto de vulnerabilidad y acceso para los hackers, aun si cuenta con una estrategia de ciberseguridad para su empresa, ya que siempre es posible un fallo en la red o un fallo por un miembro del equipo.

La ciberseguridad es un esfuerzo constante que debe adquirirse de forma proactiva, así que le invitamos a analizar que se está haciendo en su compañía en materia de ciberseguridad y como su estrategia puede mejorar.

Fuentes

• https://www.lisainstitute.com/blogs/blog/lista-consejos-ciberseguridad-vida-cibersegura
• Sobre el STOP. PENSAR. | de campaña connect.™ CISA
• Prácticas recomendadas – Internet Society
• https://securityboulevard.com/2021/07/10-consejos-esenciales-de-ciberseguridad-para-principiantes/
https://telecomunicaciones.uexternado.edu.co/dia-internacional-de-la-proteccion-de-datos-personals/

María Camila Galvis T. Content & Training Executive – PrimeStone