Covid-19, nivel de riesgo asumido elevado

Marcos Fernández, responsable de Ciberseguridad en Experis Solutions

7 abril, 2020
8 Compartido 1,744 Visualizaciones

Marcos Fernández, responsable de Ciberseguridad en Experis Solutions.

El Covid-19 se propaga a nivel internacional y los Gobiernos de muchos países implantan medidas de confinamiento y promueven el teletrabajo en las organizaciones como alternativa para continuar su actividad.

Banca, Seguros y otras grandes corporaciones han tenido un impacto mínimo en comparación con otros sectores debido a la capacidad de articular soluciones de teletrabajo seguras, en un tiempo muy reducido. Ellos ya disponían de las soluciones y políticas adecuadas, simplemente han tenido, en algunos casos, que redimensionar la infraestructura que las soportaba.

Son por tanto la pequeña y mediana empresa, también grandes pero que todavía se encuentren en una etapa temprana de transformación digital, las que son más vulnerables y se están encontrando con dificultades para implantar estas medidas y dar así continuidad a su negocio. Ahora mismo y más que nunca, disponibilidad y continuidad son de vital importancia.

Ahora bien, este escenario actual que deriva en un gran tráfico en las redes públicas, elevado número de trabajadores en modo remoto y por tanto un alto volumen de dispositivos (a veces personales) conectados a redes públicas y privadas, es el caldo de cultivo perfecto para los ciber-delincuentes. El número de ataques registrados cada día no deja de crecer y el principal problema es que muchas veces, estos ataques no son dirigidos, se realizan aleatoriamente. Los métodos más utilizados actualmente son el Phising, distintos tipos de Malware y Exploits. Aunque tienen distintas finalidades y usos, muchos de ellos comprenden la recopilación, secuestro o robo de información (corporativa o personal) o simplemente perjudicar el rendimiento y continuidad de los sistemas.

La mayoría de pequeñas y medianas empresas no han considerado adecuadamente los riesgos y amenazas a los que están expuestos. Desde autónomos a grandes corporaciones, nadie está libre de poder sufrir un ciber-ataque. Podrían ser vulnerables ante un robo de datos, denegación de servicios, amenazas internas, Phising e ingeniería social o incluso ransomware y extorsión, con las posibles pérdidas económicas que esto conlleva. Además, el desconocimiento de las normas no exime de la infracción de las mismas, errores humanos por mala práctica o fugas de datos de carácter personal pueden derivar también en grandes sanciones económicas. Asegurar el cumplimiento legal de los sistemas es otro factor a tener en cuenta.

Es por esto por lo que muchas empresas, asumen un nivel de riesgo muy elevado.

Es necesario que las organizaciones mejoren sus controles de Ciberseguridad y Cumplimiento, la capacitación y concienciación de sus empleados y las políticas de seguridad, planes de continuidad de negocio y respuesta ante incidentes.  Cada organización es distinta y sigue su propio proceso de Transformación Digital y por tanto, el grado de la seguridad y número de medidas a aplicar dependen de la naturaleza de la información que maneja, su impacto en caso de pérdida o no disponibilidad y la complejidad de la propia organización.

Dada la situación hoy en día, todas las empresas deben tener en cuenta una serie de áreas de actuación que deben comprobar y asegurar:

  • Disponer de políticas y procedimientos de seguridad actualizados.
  • Asegurar el cumplimiento normativo. GDPR, otras…
  • Disponer de un Plan de Continuidad de negocio y Respuesta ante incidentes.
  • Contar con soluciones que garanticen la seguridad de la información y los datos. Almacenamiento, encriptación, copias de seguridad (backup) y destrucción.
  • Comprobar y mantener regularmente las actualizaciones de sistemas y aplicaciones y evitar el uso de aplicaciones ad-hoc o muy antiguas que no hayan sido auditadas previamente.
  • Tener una solución activa para la protección endpoint en todos los dispositivos. Anti-virus, Anti-ramsonware, etc.
  • Controlar accesos y privilegios.
  • Tener en marcha mecanismos para garantizar la seguridad de la red y el perímetro: Segmentar adecuadamente la red. Firewall, IDS/IPS.
  • Asegurar la información en tránsito. Donde debemos tener en cuenta Wi-Fis externas a la organización, dispositivos personales con acceso a red corporativa y accesos remotos. Siempre encriptada y mediante ssl.
  • Formar y concienciar a los usuarios. Disponer de todas las medidas anteriores y contar con formación regular para los usuarios en ingeniería social y buenas prácticas IT es la mejor forma de evitar un incidente.

Como se trata de muchas actividades que requieren de amplia dedicación, la mejor opción para empresas que estén empezando y que no disponen de personal adecuado, es contar con la ayuda de empresas especializadas y con experiencia, cuyo porfolio de soluciones les permita proveer servicios gestionados de Ciberseguridad & Compliance de forma integral, acelerando el proceso de análisis e implantación de medidas adecuadas en la organización.

Aunque inicialmente a veces puede resultar caro, las pérdidas económicas derivadas de un ciberataque o una sanción por incumplimiento normativo son habitualmente mucho mayores.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

ESET desvela las técnicas de ofuscación más peculiares
Actualidad
5 compartido1,112 visualizaciones
Actualidad
5 compartido1,112 visualizaciones

ESET desvela las técnicas de ofuscación más peculiares

Alicia Burrueco - 6 abril, 2020

Los investigadores de ESET arrojan luz sobre estas técnicas de ofuscación para ayudar a que la industria de la ciberseguridad…

Orange entra en el mundo de los seguros de la mano de Zurich
Actualidad
5 compartido1,242 visualizaciones
Actualidad
5 compartido1,242 visualizaciones

Orange entra en el mundo de los seguros de la mano de Zurich

Aina Pou Rodríguez - 28 abril, 2020

  Orange Seguros by Zurich es una apuesta única en España en la carrera digital en el ámbito asegurador  …

Hacker amenaza con divulgar información sobre pacientes con VIH
Actualidad
948 visualizaciones
Actualidad
948 visualizaciones

Hacker amenaza con divulgar información sobre pacientes con VIH

Redacción - 22 septiembre, 2017

El hacker, un ingeniero informático, de 41 años y experto en seguridad informática, intentó chantajear a una aseguradora de salud privada…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.