5 propósitos de ciberseguridad empresarial para 2017

Ciberseguridad. Amenazas de 2016, previsiones y propósitos para 2017

El mayor problema de ciberseguridad es que los usuarios somos confiados por naturaleza. Los prestadores de servicios de Internet y plataformas de redes sociales solicitan más permisos de acceso a nuestra información de los estrictamente necesarios para el funcionamiento de dichos servicios online o aplicaciones, y los usuarios y empresas no mantenemos ni hábitos ni inversiones en seguridad en la red.

Paralelamente a ello, los cibercriminales cada vez son más expertos y desarrollan técnicas cada vez más perfeccionadas para llevar a cabo sus actividades ilegales.

Revisando algunos informes y cifras sobre estudios de ciberseguridad a finales de este año 2016, comprobamos cómo, por ejemplo, los datos resultantes del informe Norton sobre Ciberseguridad 2016 y de Trend Micro (“El Próximo Nivel – 8 Predicciones de Seguridad para 2017”) resultan escalofriantes.

Del estudio realizado por Norton se desprende que en 2016, nada menos que 689.4 millones de consumidores se vieron afectados por el cibercrimen; que el coste financiero de estos ciberataques ascendió a 125,900 millones de $ (USD); que los ciberdelitos más comunes han sido el robo de dispositivo móvil (18%), el robo de contraseñas (16%) y los ataques a través del correo electrónico (15%), debido a que, a nivel mundial, un 41% de los usuarios no es capaz de identificar un correo electrónico phishing o lo supone legítimo.

Por su parte, el estudio de Trend Micro prevé, para el 2017, que la propagación del ransomware parece seguir siendo la estrella de la extorsión empresarial y la paralización de los procesos de negocio, a través de personal desprevenido y poco concienciado, si bien se extenderá a atacar dispositivos móviles integrados en los procesos de gestión y control industrial, dispositivos IoT y otros terminales informáticos como sistemas PoS o cajeros automáticos.

La gran mayoría de los incidentes de seguridad se originan tanto intencionadamente como por accidente o descuido dentro de la propia empresa. Este riesgo suele derivarse de una falta de políticas de seguridad sólidas, conforme a las que no todos los trabajadores tengan los mismos privilegios de acceso a la información empresarial. De hecho, un trabajador de control de almacén de producto no debe tener los mismos privilegios que un director financiero y, sin embargo, en no pocas empresas estas políticas son en la actualidad inexistentes.

Pero no sólo con la implantación de dichas políticas conseguimos cumplir expectativas de mejora.

Aprovechando para, desde aquí, felicitar y desear un brillante año nuevo 2017 a todos nuestros lectores, clientes y amigos, nos aventuramos a visualizar cinco propósitos en ciberseguridad empresarial para 2017.

 

propósitos de ciberseguridad empresarial

 

Propósito 2017 nº 1: Acometer la gestión de la movilidad empresarial.

Decir que hoy por hoy no hay empresa en la que no exista un solo trabajador sin dispositivo móvil Smartphone propio, no es un atrevimiento.

¿Qué control ejerce la empresa sobre la seguridad de los dispositivos personales sobre el posible acceso a la información empresarial?

Son pocas las empresas que acometen planes de acción del BYOD (Bring Your Own Device) o lo que es lo mismo, que sus trabajadores utilicen sus propios dispositivos móviles para trabajar, o bien que a través de los mismos tengan acceso a información de la empresa. El uso sin control de los dispositivos propios deriva en la instalación de cuentas de correo electrónico corporativo,(con el ánimo de facilitar la flexibilidad horaria y geográfica), en el uso de plataformas de almacenamiento en la nube, como Drive o a Dropbox, a las que no controlamos si se suben contratos, archivos de datos personales y otra información confidencial sin cifrar, e incluso si son o no compartidos con terceros ajenos a la empresa y, por tanto, a los posibles pactos de confidencialidad que tengamos recogidos en las políticas de seguridad de la información de la empresa, en los mejores casos en los que se tienen implantadas tales políticas.

Desconocemos también si, a través de dichos dispositivos móviles con aplicaciones de acceso directo a la nube y al correo corporativo, nuestros trabajadores están realizando transacciones bancarias mediante conexiones a WiFi en centros comerciales, hoteles, salas de congresos, etc, de las que desconocemos las medidas técnicas y organizativas que el titular de esa WiFi está poniendo a disposición de los usuarios – generalmente nulas medidas de seguridad – y si, por tanto, se está exponiendo la información confidencial de nuestra empresa sobre la que somos directamente responsables.

Los cibercriminales tienen clarísimo que hoy en día los dispositivos móviles y las WiFi públicas son la más fácil puerta de acceso al robo de información corporativa. Basta con que un dispositivo sea infectado por algún tipo de malware para que se ponga en peligro toda la red de la empresa.

Las empresas deben necesariamente plantearse con seriedad acometer políticas de cumplimiento normativo y de seguridad de la información e inversiones en soluciones integrales de prevención y gestión de seguridad móvil que permitan controlar posibles cambios en las configuraciones, la instalación de aplicaciones fraudulentas, el exceso en los permisos de acceso desde terminales y la transferencia de información sin la debida separación entre aplicaciones personales y corporativas instaladas en el mismo dispositivo móvil.

Debemos de contar con una política de seguridad interna, a la medida de nuestra organización, que contemple la administración de la asignación de permisos y privilegios de acceso a la información, así como sensibilizar y comunicar las buenas prácticas en materia de seguridad que exigimos a nuestros trabajadores en el uso de contraseñas seguras, actualizaciones de software, uso de almacenamiento en la nube, bloqueo de equipos, destrucción de papel y mesas limpias, configuraciones de antivirus en dispositivos móviles y equipos de escritorio, etc.

Propósito 2017 Nº 2: Inventariar activos de información y licencias de software.

La instalación de software sin licencia puede no solo ser objeto de una cuantiosa reclamación por el titular de los derechos sobre el software, sino que puede también suponer una amenaza a la información empresarial y datos personales de los que la empresa es responsable.

Para poder prevenir, controlar, proteger y reaccionar en materia de ciberseguridad empresarial es fundamental conocer qué tenemos y cómo lo tenemos.

Uno de los primeros pasos para organizar la seguridad de la información de la empresa es disponer y mantener un inventario de activos, tanto equipos como de software, así como acometer los cambios necesarios en cuanto a equipos abandonados que conservan información y solicitudes de licencia de software que realmente se halle en uso para los procesos empresariales.

Propósito 2017 Nº 3: Prevención contra el malware.

La recepción de correo spam, mail phishing y la apertura de enlaces y archivos adjuntos, así como la navegación a través de webs de descargas online ilegales son los vectores de mayor instalación de código malicioso – y fundamentalmente ransomware – en los equipos y dispositivos con acceso a información empresarial.

Las empresas deben acometer la instalación, configuración y actualizaciones necesarias de programas antivirus y antispam al objeto de bloquear contenido malicioso; deben invertir en soluciones de prevención actuales mediante la utilización de sandboxing avanzado al objeto de conseguir bloquear y eliminar código malicioso activo en ficheros adjuntos y enlaces antes de que infecten la red, y extremar las medidas en formación y concienciación al personal, manteniéndole actualizado en las últimas tendencias de introducción de malware e ingeniería social.

En este punto es fundamental tener (dar a conocer y hacer cumplir) una política de actualizaciones de los sistemas y programas, que permita controlar que en todos los equipos de trabajo se realizan puntualmente las actualizaciones dispuestas por los proveedores para parchear fallos o errores en los sistemas operativos, navegadores web, programas o aplicaciones.

También debemos vigilar la configuración de los sistemas y equipos de trabajo, ya que la mayor parte de las vulnerabilidades están asociadas a una incorrecta configuración.

El gran problema al que muchas veces se enfrentan las empresas es que carecen del personal propio destinado a aportar soluciones de seguridad informática. La mejor recomendación en dichos casos es la contratación de un servicio especializado que se encargue de la configuración, soporte y mantenimiento informático ya que dispondrá siempre de personal actualizado, formado y preparado.

Dentro de las opciones de prevención, actualmente las empresas disponen de la posibilidad de “auto-conocerse” desde el punto de vista de su seguridad. Nada mejor que experimentar un ataque dirigido autorizado para conocer realmente qué vectores de ataque, de fuga de información y qué puertas está dejando la empresa abiertas al atacante para poder acometer las mejoras necesarias que eviten tener que reaccionar tras una detección. En Hiberus LegalTech estamos realizando estudios de penetración a sistemas y redes (test de intrusión y detección de vulnerabilidades) que están arrojando excelentes resultados en la mejora de la seguridad de la información de las empresas, así como en la concienciación a los trabajadores mediante la realización de simulacros.

Propósito 2017 Nº 4. Proteger la seguridad de la información en la nube.

La seguridad de la información que compartimos y almacenamos en la nube es una prioridad de las empresas en la actualidad. No en vano, a lo largo del último trimestre de 2016, en Hiberus LegalTech hemos realizado varios estudios a clientes en torno a soluciones de almacenamiento en la nube aportando información detallada sobre qué medidas de seguridad técnicas y organizativas ofrece, por ejemplo Microsoft,  y qué debe la empresa implantar para aportar su capa añadida de seguridad y así garantizar el cumplimiento normativo y de seguridad.

Los proveedores de servicios cloud están cumpliendo altos estándares internacionales en materia de seguridad, pero eso no obsta para que la responsabilidad última sobre la información empresarial recaiga sobre la propia empresa, más concretamente sobre su órgano de administración.

Las empresas deben implementar sus propias medidas técnicas y políticas claras en entornos virtualizados, así como de microsegmentación para la protección de aplicaciones e información alojada en la nube, con el fin de propiciar la transferencia de la información cifrada y garantizar el cumplimiento de las políticas de copias de seguridad de información para cumplir los plazos de conservación de las diversas normativas nacionales. Estas y otras muchas cuestiones deben estudiarse a fondo y aplicarse a medida de la concreta actividad de cada empresa, para garantizar el cumplimiento normativo y evitar el riesgo de pérdida de información, posibles fugas de datos personales, paralización de la producción y, por tanto, pérdidas económicas y reputacionales importantes.

Propósito Nº 5: Sensibilizar, formar y concienciar a todo el personal.

Las empresas deben desarrollar planes de continuidad de negocio en previsión de que, producido un incidente de seguridad, se desplieguen los mecanismos establecidos en la empresa para mantener el nivel de servicio aceptable, tratar de evitar la interrupcion de la actividad, y propiciar la recuperación de la actividad normal cuanto antes.

Todos los trabajadores de la empresa deberían conocer cuáles son esos mecanismos que la empresa pone a disposición en caso de reacción ante un incidente. Pero para todos es obvio que lo mejor siempre es evitar que se produzcan y, es por ello que una de las mejores medidas de prevención siempre es la mejor y más amplia y actual información.

La formación y concienciación ha sido inevitablemente repetida en cada uno de los propósitos. Los usuarios seguimos siendo el eslabón más débil y esa debilidad es la parte más cotizada por los cibercriminales mediante técnicas de ingeniería social.

Basta con que un ciberatacante consiga descifrar las credenciales de acceso de un trabajador a una de sus cuentas para que, por desgracia, pueda entrar a casi todas, ya que seguimos repitiendo las claves de acceso en diversas cuentas y herramientas online. Y lo que es peor aún, con sus credenciales de acceso, facilitamos la temida suplantación de identidad tras lo que identificar responsabilidades no siempre será fácil.

Aun cuando la seguridad informática no es un objetivo alcanzable al 100%, en materia de prevención y minimización de los riesgos es fundamental mantener una constante formación, sensibilización y concienciación de todos los trabajadores y otros intervinientes en la cadena de la información de la empresa (proveedores, terceros encargados del tratamiento de datos personales, clientes, etc) sobre cuáles son nuestras políticas de seguridad y qué exigimos dentro del seno de nuestra organización y en nuestras relaciones con terceros.

Cinco propósitos de ciberseguridad para 2017 no son muchos para 365 días que tenemos por delante. Además, en Hiberus podemos ayudarte.

By | 2016-12-26T16:52:34+00:00 diciembre 26th, 2016|Blog, Ciberseguridad|0 Comments

About the Author:

Servicios de asesoramiento legal tecnológico - El soporte legal que aporta valor a su empresa - Cumplimiento legal y seguridad de la información es confianza, tranquilidad y reputación para su empresa - Corporate Compliance - Seguridad - Protección de Datos - SGSI - LOPD - GDPR - DPO Service - Ciberdelitos - Legal Web Compliance

Leave A Comment