Aumentan los ciberataques en medio del trabajo desde casa: cómo proteger su negocio
Las organizaciones son más vulnerables a los ciberataques cuando los empleados trabajan desde casa.
(Shutterstock)

Los atletas experimentados al aire libre saben que con el invierno acercándose rápidamente, el secreto del éxito radica en proteger el núcleo. Es decir, la temperatura central del cuerpo a través de capas, mechas y una serie de tejidos técnicos en constante mejora que evitan que el frío, la nieve y el hielo afecten el rendimiento.

Lo mismo podría decirse de la ciberseguridad. Con las organizaciones y los trabajadores ahora en su noveno mes de COVID-19, ha llegado el momento de prepararse a medida que la amenaza de los ciberataques se vuelve aún más amenazante.

Los expertos en ciberseguridad predicen que en 2021 habrá una incidente de ciberataque cada 11 segundos. Es casi el doble de lo que era en 2019 (cada 19 segundos) y cuatro veces la tasa de hace cinco años (cada 40 segundos en 2016). Se espera que el ciberdelito cuestan a la economía global $ 6.1 billones anuales, lo que la convierte en la tercera economía más grande del mundo, justo detrás de las de Estados Unidos y China.

Dado que la pandemia en curso tiene un segmento más grande de la población que trabaja desde casa: con todas sus distracciones acompañantes - y el escenario está listo para ser explotado. El humilde enrutador doméstico se ha convertido en el ataque de superficie, y el empleado apresurado, apresurado, cansado y estresado en el objetivo de elección. No es de extrañar que, meses después del primer cierre de la pandemia, 4,000 sitios COVID maliciosos aparecieron en Internet.


gráfico de suscripción interior


La pandemia ha obligado a las organizaciones a innovar y adaptarse aún más rápidamente. La educación, la medicina, los viajes, el comercio minorista y los servicios alimentarios son solo algunas de las industrias que han sido transformadas radicalmente por COVID-19. Desafortunadamente, la innovación y la seguridad rara vez viajan juntas.

¿Qué pueden hacer las organizaciones para prepararse entonces? Se reduce a proteger el núcleo: las personas, los procesos y los datos que son los más críticos para la organización.

Protegiendo a las personas

Las personas aportan sus hábitos personales, buenos y malos, a su vida profesional. Las personas que reutilizan contraseñas para diferentes sitios de compras en línea o usan contraseñas débiles y fáciles de recordar (¿nombres de mascotas, alguien?) Tienden a ser igualmente laxas al crear o usar contraseñas y bases de datos empresariales. Han hecho y probablemente seguirán haciendo clic en correos electrónicos de phishing y participarán (inocentemente o no) en prácticas potencialmente destructivas.

Para ellos, la preparación para el invierno significa programas de capacitación formales continuos y monitoreo para reducir la probabilidad de divulgaciones accidentales o cargas maliciosas. Si se encuentran en posiciones sensibles, con acceso a datos confidenciales, significa una capa adicional de vigilancia, y quizás incluso restricciones y herramientas avanzadas como la autenticación multifactor. Para los ejecutivos y directores, significa asegurarse de que estén familiarizados y cumplan con la privacidad y otras regulaciones.

La autenticación de múltiples factores requiere que un empleado presente al menos dos piezas de evidencia segura (por ejemplo, contraseñas) para acceder a contenido o servicios.
La autenticación de múltiples factores requiere que un empleado presente al menos dos piezas de evidencia segura (por ejemplo, contraseñas) para acceder a contenido o servicios.
(Shutterstock)

En resumen, las organizaciones necesitan dedicar aún más tiempo a atender a sus empleados mientras trabajan de forma remota, no menos.

Protección de procesos

Que las organizaciones deban asignar recursos a sus prioridades parece una afirmación obvia. Sin embargo, si el modelo de negocio ha cambiado por completo, ¿los procesos organizativos han liderado o retrasado? Con demasiada frecuencia, en tiempos de cambios rápidos, los procesos se retrasan, dejando que surjan otros ad hoc. Sin identificarlos, es difícil comprender los riesgos. Por lo tanto, corresponde al departamento de tecnología de la información (TI) de una organización monitorear, revisar y actualizar constantemente los procedimientos.

Shadow IT son aplicaciones o software utilizado por un individuo en una computadora sin el conocimiento o la aprobación de los servicios de TI, como un juego o una extensión del navegador de compras. En el mejor de los casos, no ocurre nada adverso. En el peor de los casos, el software no autorizado provoca un bloqueo del sistema o permite que se cargue software de vigilancia o código malicioso.

La TI en la sombra puede ser inevitable, especialmente porque las computadoras pueden ser utilizadas por muchas personas en el hogar por muchas razones, las vulnerabilidades conocidas pueden y deben ser monitoreadas por la organización y comunicadas claramente a todos los empleados.

También podría significar que las organizaciones proporcionen computadoras protegidas y bloqueadas a los empleados que no pueden salir de casa, lo que les impide instalar software.

Protección de datos

El área final y más importante a proteger son los datos de la organización. Los gerentes, ejecutivos y directores deben tener un conocimiento firme de los datos que la organización posee, procesa y transmite.

Un estudio reciente reveló que las empresas compartir información confidencial y sensible con más de 500 terceros. El primer paso en la protección es realizar un inventario y, si es necesario, analizar estos terceros.

En segundo lugar, las organizaciones deben mantenerse al tanto de los puntos de referencia de la industria en ciberseguridad, a saber Tendencias en la frecuencia, naturaleza cambiante y gravedad de los ataques.. Luego pueden compararse y ajustar los recursos en consecuencia. Esto incluye realizar un seguimiento de tres métricas clave: el tiempo que se tarda en detectar un ataque, el tiempo que se tarda en responder y el tiempo que se tarda en resolver cualquier daño.

Finalmente, las conversaciones sobre ciberseguridad deben ir más allá de los discursos fatalistas que caracterizan la mayoría de las discusiones, especialmente durante los oscuros días de invierno. Como un abrigo cálido o neumáticos de invierno, las inversiones en ciberresiliencia pueden fomentar el crecimiento y el rendimiento positivo.

Los ciberataques van en aumento. Al igual que el atleta que se viste y se prepara para el clima, las organizaciones pueden ser proactivas para fortalecer continuamente a las personas, los procesos y los datos.

Sobre la autoraLa conversación

Michael Parent, profesor, sistemas de información gerencial, Universidad Simon Fraser

Este artículo se republica de La conversación bajo una licencia Creative Commons. Leer el articulo original.