Autónomos y pymes

Apenas pasa una semana sin noticias de otro ciberataque de alto perfil o violación de datos, que afecte a millones o incluso miles de millones de personas. Los ataques ocurren con tanta frecuencia que nos hemos vuelto casi insensibles a los números, pero el coste para las personas y las empresas es asombroso, alrededor de 300 mil millones de dólares a nivel mundial.

Todos escuchamos acerca de esto cuando las grandes empresas se ven afectadas: Tesco Bank, Talk Talk y Three Mobile son ejemplos excelentes, y es fácil pensar que las nuevas empresas y las pequeñas empresas no son objetivos principales. Pero ningún negocio, grande o pequeño, es 100% seguro en esta era de guerra cibernética. De hecho, el 71% de las violaciones de datos ahora están dirigidas a pequeñas empresas, por lo que es hora de sentarse y tomar nota.

Existe mucha información y consejos, y puede ser difícil determinar qué es lo más relevante para usted como pequeña empresa. Es por eso que, aquí, vamos a analizar todo lo que debes saber sobre violaciones de datos, ataques cibernéticos y ciberseguridad. También por qué tu empresa podría estar en riesgo, cuáles son esos riesgos y cómo garantizar que tus sistemas estén lo más seguros posible.

¿Qué es la Ciberseguridad?

También conocida como seguridad de la información, la ciberseguridad se refiere a la práctica de garantizar la integridad, confidencialidad y disponibilidad de la información.

La seguridad cibernética se compone de un conjunto de herramientas en evolución, enfoques de gestión de riesgos, tecnologías, capacitación y mejores prácticas diseñadas para proteger redes, dispositivos, programas y datos de ataques o acceso no autorizado.

Tipos

El término se aplica en una variedad de contextos, desde negocios hasta computación móvil, y se puede dividir en algunas categorías comunes:

  • Seguridad de red es la práctica de proteger una red informática de intrusos, ya sean atacantes selectivos o malware oportunista.
  • La seguridad de las aplicaciones se centra en mantener el software y los dispositivos libres de amenazas. Una aplicación comprometida podría proporcionar acceso a los datos que está diseñada para proteger. La seguridad exitosa comienza en la etapa de diseño, mucho antes de que se implemente un programa o dispositivo.
  • Seguridad de la información protege la integridad y la privacidad de los datos, tanto en almacenamiento como en tránsito.
  • La seguridad operativa incluye los procesos y decisiones para manejar y proteger los activos de datos. Los permisos que tienen los usuarios al acceder a una red y los procedimientos que determinan cómo y dónde se pueden almacenar o compartir los datos se incluyen en este marco.
  • La recuperación ante desastres y la continuidad del negocio definen cómo una organización responde a un incidente de seguridad cibernética o cualquier otro evento que cause la pérdida de operaciones o datos. Las políticas de recuperación ante desastres dictan cómo la organización restaura sus operaciones e información para volver a la misma capacidad operativa que antes del evento. La continuidad del negocio es el plan al que recurre la organización al tratar de operar sin ciertos recursos.
  • La educación del usuario final aborda el factor de seguridad cibernética más impredecible: las personas. Cualquiera puede introducir accidentalmente un virus en un sistema seguro si no sigue las buenas prácticas de seguridad. Enseñar a los usuarios a eliminar archivos adjuntos sospechosos de correo electrónico, no enchufar unidades USB no identificadas, y varias otras lecciones importantes son vitales para la seguridad de cualquier organización.

¿Por qué las pequeñas empresas y los autónomos deben preocuparse por la ciberseguridad?

Los fundadores de las pequeñas empresas y autónomos a menudo cuestionan los riesgos digitales en cuanto a por qué deberían preocuparse por la seguridad cibernética, suponiendo que sus operaciones sean demasiado pequeñas o que sus datos no sean robados. Desafortunadamente, eso no podría estar más equivocado.

Entonces, ¿qué te hace un objetivo exactamente?

Estás demasiado ocupado y los hackers lo saben

Dirigir una nueva empresa o una pequeña empresa puede ser estresante. Con largos días y noches sin dormir, ¿quién tiene tiempo para pensar en la seguridad de los datos? Seamos realistas, tienes mucho en juego y no has pasado mucho tiempo asegurándote de estar protegido.

Falta de experiencia en seguridad

Las pequeñas empresas a menudo no asignan suficientes recursos para implementar firewalls fuertes y parches de seguridad actualizados, lo que resulta en la pérdida de información importante si se enfrentan a un ataque. La seguridad cibernética es un problema complejo y multifacético, que requiere la tecnología adecuada y las políticas y procesos correctos.

Falta de experiencia legal especializada

A diferencia de las grandes organizaciones que tienen el presupuesto para contratar a un departamento completo de leyes y cumplimiento, probablemente no tengas ninguna experiencia interna dedicada. Como resultado, puedes estar pasando por alto tus responsabilidades con respecto al manejo de datos.

Tus datos crecen contigo

Puede ser fácil perder la noción de la cantidad de datos que has generado con el tiempo. Tu base de datos de clientes puede ser pequeña en las primeras etapas, pero puede crecer a mil o más con bastante rapidez. El mal manejo de estos datos podría dejarlos expuestos a ataques y multas por violaciones de seguridad.

Internet con fugas

Muchas empresas nuevas y pequeñas empresas tienen trabajadores independientes o trabajadores remotos que acceden a sus sistemas desde cafeterías locales o espacios de trabajo compartido. Si ese es el caso y no hay una conexión Wi-Fi segura, los piratas informáticos pueden robar fácilmente sus datos.

Tus datos son un punto de entrada para las grandes empresas

Nos equivocamos al pensar que a los ciberdelincuentes no les interesará ​​atacar una empresa que tenga pocos datos o poco dinero. Y aunque probablemente no les importe el pedido de 80 euros que realizaste ayer, tus sistemas desprotegidos podrían darles una ‘puerta trasera’ a clientes o proveedores más grandes, que es exactamente lo que buscan.

Cada sitio web es un objetivo

Los hackers disponen de mucho tiempo libre para invertirlo en explorar en Internet para localizar sitios web con vulnerabilidades. Si tu VPS (Servidor privado virtual) se ve comprometido, se puede usar para enviar miles de correos electrónicos no deseados, lo que podría poner en una lista negra tu dirección IP y costar mucho su reparación.

¿Cuáles son las mayores amenazas?

Los ataques cibernéticos y las violaciones de datos a menudo se agrupan, cuando de hecho hay varios culpables, que acceden y atacan sus sistemas de diferentes maneras. Además, están en constante evolución, por lo que es importante estar atento a las nuevas amenazas.

Aquí mostramos un resumen de algunos de los principales riesgos cibernéticos que enfrentan los autónomos y las pequeñas empresas:

Phishing, Spear-phishing y Baiting

Uno de los modos de ataque más comunes, el phishing implica que el atacante envía correos electrónicos a múltiples destinatarios, haciéndose pasar por una empresa de buena reputación. El correo electrónico contendrá malware en un enlace o archivo adjunto, o le pedirá al destinatario que ingrese detalles confidenciales de la cuenta o contraseña, permitiendo a los ciberdelincuentes piratear su PC o cuentas. Si bien muchos de estos correos electrónicos pueden parecer sospechosos, algunos son sorprendentemente convincentes y, cuando se envían en masa, generalmente atrapan a alguien por sorpresa.

Entre las variedades de phishing se incluyen el spear phishing, mediante el cual los atacantes atacan a una empresa o individuo específico, y el baiting, donde los ejecutivos de alto rango están específicamente dirigidos. Ambos pueden ser muy dañinos si tienen éxito.

Secuestro de datos

Como su nombre indica, el ransomware infecta tu ordenador y mantiene sus datos en rescate, exigiendo sumas significativas para su lanzamiento. Los ataques de este tipo están creciendo exponencialmente. SonicWall reportó 638 millones en todo el mundo en 2016, ¡167 veces el número de ataques en 2015!

El ransomware generalmente accede a tu ordenador a través de un correo electrónico de phishing enviado a empleados desprevenidos, aunque nuevas tácticas han visto anuncios de secuestro de ransomware en sitios de noticias populares, afectando al New York Times, BBC y AOL. Un clic en un enlace o archivo adjunto infectado y está en su sistema, y es casi imposible deshacerse de él sin pagar.

Las redes criminales que perpetran estos ataques son cada vez más inteligentes y sofisticadas, y las pequeñas empresas a menudo son un blanco fácil, con menos protección y conciencia cibernética que las grandes empresas.

Gusanos

Un tipo de malware, los gusanos han existido durante muchos años, con el primero creado en 1988 como una forma inocente de probar las redes de computadoras. Desde entonces, se han utilizado con efectos devastadores, penetrando computadoras vulnerables, antes de replicarse y extenderse dentro de una red. Uno de los ataques de gusanos más famosos fue en MySpace en 2005, que se extendió a más de un millón de computadoras en 20 horas.

Los gusanos son utilizados normalmente para robar información confidencial o convertir los ordenadores en zombies o bots controlados a distancia, que luego se usan para atacar más sistemas. Se estima que en cualquier momento hay varios millones de ordenadores zombies en Internet.

Están surgiendo nuevos tipos de gusanos todo el tiempo, incluidos los «gusanos sin cabeza», que se dirigen a los llamados dispositivos «sin cabeza» como teléfonos inteligentes, relojes inteligentes y hardware médico.

Ataques de máquina a máquina

Con los vehículos sin conductor, los sistemas de entretenimiento inteligentes y las cámaras conectadas, el Internet de las cosas, o IoT, se está volviendo más grande y complejo. Sin embargo, estos dispositivos a menudo pasan por alto el tema de la seguridad cibernética, dejándolos especialmente vulnerables a los ataques y siendo utilizados como parte de una red de bots para atacar otros sistemas.

A medida que el Internet de las cosas se vuelve más prolífico, esta es una ruta potencial de puerta trasera para acceder a datos valiosos más profundos en el sistema, y ​​redes enteras podrían verse afectadas de esta manera en el futuro.

Ghostware

Por más aterrador que parezca, el ghostware es un tipo de malware diseñado para penetrar en las redes sin detección, robar datos confidenciales y luego cubrir sus huellas antes de irse. Eso significa que es posible que no te des cuenta de que tu negocio se ha visto comprometido hasta que sea demasiado tarde, y es imposible encontrar la fuente de la violación.

Blastware

Similar al ghostware, pero esta vez el malware completa su tarea y luego destruye el sistema que ha infectado. Potencialmente, puede ser mucho más dañino por esta razón, sin embargo, al menos sabrás que tu sistema se ha visto comprometido.

DDoS

El tipo de ataque que derribó varios sitios web importantes, incluidos Twitter, Netflix, Reddit y Airbnb, los ataques DDOS (denegación de servicio) están en aumento. Esto hace que sea más fácil y más barato atacar a los ciberdelincuentes, derribar sitios web y afectar a empresas de todo el mundo.

Funcionan inundando los servidores de una empresa con solicitudes, por lo que no pueden hacer frente y cerrar. Eso deja a la empresa incapaz de operar por minutos, horas o incluso días, con impactos potencialmente catastróficos a largo plazo. Y no solo las grandes empresas se ven afectadas: las pequeñas empresas a menudo son más vulnerables debido a la arquitectura de su sitio web.

Virus troyano

Una vez más, la clave está en el nombre, ya que este tipo de malware es como un caballo de Troya que ingresa a su sistema bajo la apariencia de un software legítimo. Una vez allí, puede realizar una serie de funciones, como eliminar, modificar o robar datos. A diferencia de los gusanos y los virus, no pueden replicarse, pero pueden ser igual de dañinos.

Internet de las Cosas

El Internet de las cosas (IoT) es sin duda el futuro de la tecnología. De hecho, ha agregado conveniencia a nuestros horarios agitados. Sin embargo, también ha abierto nuevas puertas para los ataques cibernéticos. Es imperativo que los empleadores se aseguren ahora de que todos los dispositivos de IoT estén configurados correctamente y que no haya espacio para una violación de la red.

Amenaza interna

Malicioso o no, el error humano es la razón más común para los ataques cibernéticos y las violaciones de datos, y los estudios demuestran que es responsable de hasta el 95 por ciento de los incidentes.

Una brecha de seguridad puede originarse por parte de los empleados al envíar accidentalmente información confidencial al correo electrónico incorrecto, pierden el teléfono inteligente de su empresa, usan contraseñas predeterminadas u ocasionalmente con intención criminal. Sin embargo, a pesar de los riesgos, muchas pequeñas empresas no cuentan con los controles, la capacitación y la comunicación necesarios para mitigar las infracciones de este tipo.

La nube no está a salvo de fallos de seguridad

La flexibilidad y escalabilidad que ofrece la nube hace que esta tecnología sea más atractiva para las pequeñas y medianas empresas. Sin embargo, todavía existen grandes preocupaciones para las PYME cuando se trata del desafío de seguridad asociado con la tecnología en la nube. Aunque la tecnología en la nube se está volviendo más segura, las nuevas vulnerabilidades y los cabos sueltos hacen que sea un problema de seguridad al que valga la pena prestarle atención.

Actualmente, la tecnología en la nube no ha experimentado ninguna amenaza significativa, sin embargo, algunos expertos creen que es una estratagema deliberada de los ciberdelincuentes para hacer que las personas se sientan como en casa y confíen en la tecnología, lo que facilita que los delincuentes sorprendan a todos.

Concienciación en ciberseguridad

Dado que el error humano tiene un historial bien documentado de causar muchas infracciones, ninguna organización puede darse el lujo de pasar por alto la importancia de garantizar que sus empleados sean conscientes de los peligros en línea.

Para concienciar a los empleados en esta materia podemos seguir unos pasos básicos.

Establecer una dirección de correo electrónico para consultas

Crear una cuenta de correo electrónico donde los empleados puedan enviar sus preguntas sobre todas y cada una de sus dudas en ciberseguridad proporciona un buen comienzo y tiene múltiples beneficios.

Por un lado, la cuenta de correo electrónico designada puede alentar a los empleados a presentarse y hacer preguntas que de otro modo no podrían hacer. Los empleadores también pueden solicitar a su personal que reenvíen correos electrónicos de aspecto sospechoso a la dirección para su revisión, lo que puede ayudar a los empleados a ser más astutos al reconocer mensajes de correo electrónico fraudulentos.

Dicho esto, asegúrate de que solo personal capacitado pueda acceder al buzón. Los mensajes también se pueden utilizar para organizar sesiones de capacitación que beneficiarán a los demás empleados y a la empresa en general.

Establecer un sistema de alerta temprana

Para contrarrestar las campañas de spam malicioso, vale la pena considerar establecer un procedimiento dinámico y proactivo de alerta temprana que permita alertar a toda la empresa y mantener a todos los empleados informados de que está circulando una campaña maliciosa.

Esto puede reducir el riesgo de que un empleado desprevenido caiga en la trampa, poniendo en peligro los datos de la organización, los empleados y los clientes.

Además, el sistema sirve para reforzar el conocimiento de algunas de las principales amenazas de ciberseguridad y técnicas comunes utilizadas por los ciberdelincuentes. Incluso cuando aprovecharon algunos métodos probados. Por último, el procedimiento puede permitir que el personal de seguridad analice las características de la campaña.

Organizar charlas y capacitaciones

Las conversaciones con expertos, ya sean empleados de las mismas organizaciones u oradores invitados, también pueden ayudar mucho a educar al personal sobre diversos aspectos de la seguridad de la información.

Dado que las organizaciones suelen emplear profesionales de diversos campos, puede ser aconsejable establecer charlas separadas que aborden las habilidades, intereses y experiencia de varios grupos de personas.

Organizar concursos

A todos les encanta competir y ganar, ¿verdad? Los concursos para empleados son una manera entretenida de ofrecerles hábitos de ciberseguridad robustos.

Por ejemplo, los materiales de entrenamientos o charlas se pueden aprovechar para cuestionarios que no solo recompensarán a los ganadores, sino que también proporcionarán a tu organización una mejor comprensión de cuán cibernéticos son los empleados.

También puedes organizar una simulación de ingeniería social a medida para descubrir lo fácil que sería para los actores de amenazas penetrar las defensas de tu empresa al atacar el factor humano. Los resultados también se pueden utilizar para determinar qué aspectos de la ciberseguridad deberían recibir más atención en futuras sesiones de capacitación.

Elaborar una guía de buenas prácticas.

Escribe un documento donde se detallen los métodos más eficaces para ayudar a la empresa y a los empleados a evitar los ataques cibernéticos.

Dichas pautas pueden incluir, por ejemplo, información sobre cómo:

  • configurar dispositivos de forma segura,
  • cifrar información,
  • configurar un factor de autenticación de dos factores en varios servicios.

También es importante asegurarse de que las guías sean fáciles de leer, que contengan solo la información necesaria, que cualquier empleado pueda acceder fácilmente y que estén actualizadas.

Cómo mantener tu negocio seguro

Aproximadamente un 70% de las pymes y autónomos no están preparados ante incidentes de seguridad cibernética.

Con eso en mente, aquí está nuestra guía paso a paso para mantener tu negocio seguro:

1. Evaluación de riesgos

Lo primero es lo primero, una evaluación de riesgo cibernético te ayudará a comprender las áreas que necesitas proteger y aquellas en las que podrías ser más vulnerable. Comienza por auditar los datos y la información que posees y que son más valiosos. Esto te dará una buena idea de dónde necesitas protección. Luego, observa cómo almacenas estos datos, quién tiene acceso a ellos y cómo están protegidos, para comprender dónde podría estar en mayor riesgo.

Si no estás seguro de llevar a cabo una evaluación de riesgos, puedes considerar contratar a un experto para que lo haga por ti.

2. Implementar fuertes controles de red y estación de trabajo

Una vez que hayas identificado tus activos de datos más valiosos, cubre todas las bases para asegurarlo con la tecnología adecuada, incluidos firewalls, software antimalware y antivirus en todos tus ordenadores y dispositivos.

Estos son algunos de los controles que marcarán una gran diferencia en tu seguridad cibernética:

  • Instala el software de seguridad en el sitio web de tu empresa y mantén todos tus scripts actualizados
  • Implementa un firewall configurado correctamente a través de un recurso dedicado
  • Aplica parches actuales y actualizados en todo, incluidos los dispositivos propiedad de los empleados
  • Implementa servicios de seguridad basados ​​en SaaS, que a menudo son menos costosos que el software tradicional
  • Usa aplicaciones seguras basadas en la nube
  • Instala soluciones como VPN (red privada virtual) para que el acceso remoto sea seguro
  • Implementa un sitio de recuperación de desastres que puede hacerse cargo en caso de un ataque DDoS
  • Ten una página estática para mantener informados a los clientes si tu página de pedido se desconecta
  • Aplica controles de acceso para que los empleados solo tengan acceso a la información que necesitan

Si no tienes ninguna experiencia de TI dedicada internamente, probablemente sea mejor consultar a un experto sobre el mejor enfoque para tus necesidades.

3. Comunicación y entrenamiento

La tecnología adecuada es, por supuesto, muy importante, pero quizás acelerar aún más su personal y sus procesos. Sin embargo, este suele ser un tema que normalmente no se tiene en cuenta: una encuesta reciente encontró que solo el 17 por ciento de las empresas han brindado al personal algún tipo de capacitación en seguridad cibernética en los últimos 12 meses.

La comunicación debe comenzar con una política de seguridad cibernética, que describa los procesos y procedimientos clave, lo que el personal debe y no debe hacer, y las posibles repercusiones si no se siguen las pautas. Los problemas exactos cubiertos variarán de una empresa a otra, pero los posibles temas podrían incluir:

  • Orientación sobre el manejo de información confidencial.
  • Estipulaciones sobre seguridad de contraseña
  • Una política que cubra el trabajo remoto y el uso de dispositivos personales.
  • Cómo vigilar, informar y responder a un problema de seguridad
  • Comprobaciones exigidas a los proveedores para garantizar que cumplan con las mejores prácticas de seguridad

Debes asegurarte de que la política cibernética sea de fácil acceso para todos los empleados, se actualice regularmente y que el personal también reciba capacitación sobre los problemas al menos cada 12 meses.

4. Cultura móvil centrada en la seguridad

Es habitual no tener en cuenta el hecho de que la información confidencial acompaña a los empleados dentro y fuera de las instalaciones de la oficina, y que debe protegerse en todo momento. Aquí hay algunas reglas obligatorias que mantendrán tus datos seguros cuando tus empleados estén en movimiento:

  • Obliga a los empleados a usar contraseñas complejas
  • Introduce contraseñas que caduquen automáticamente y necesiten ser renovadas
  • Bloquea el acceso a ciertos sitios web que plantean riesgos para la seguridad de tus datos
  • Cifra todos los teléfonos inteligentes utilizados para fines comerciales.

5. Monitorización de proveedores

La mayoría de las pequeñas empresas no son conscientes de la cantidad de información a la que tienen acceso sus proveedores y esto también puede representar un grave riesgo de seguridad. La verificación de los controles de seguridad de un proveedor debe formar parte del proceso de verificación e incorporación. Las cosas a buscar incluyen:

  • Cómo se almacenarán sus datos
  • Controles de acceso para los empleados del vendedor.
  • Frecuencia de evaluación del riesgo del proveedor
  • Cumplimiento de las normas generales de protección de datos

6. Monitorización de empleados

Una amenaza interna puede ser un empleado actual o anterior, un proveedor de servicios, un contratista o cualquier otra persona que pueda obtener acceso a tus datos confidenciales.

Es probable que estas personas tengan acceso a información confidencial, con la responsabilidad de protegerla, lo que conlleva graves consecuencias si no se puede confiar en ellas.

Aquí tienes algunos pasos que puedes adoptar para evitar el mal uso de los datos por parte de los empleados:

  • Si identificas una violación y sospechas de fraude interno, prepara un plan de investigación con la ayuda de tu abogado o de expertos legales externos.
  • Intenta identificar y recopilar pruebas de lo que causó la violación, incluida la información a la que se ha accedido y cómo, revisando correos electrónicos, registros telefónicos y registros de software.
  • Consulta a su abogado para decidir si necesitas ponerte en contacto con algún organismo regulador.
  • Considera las posibles razones por las cuales la información puede haber sido robada, ya sea por ganancia monetaria u otro motivo. Esto te ayudará a determinar si los datos son recuperables o no, y si es así, cómo.
  • Considera cuidadosamente cuándo es un momento efectivo para entrevistar a los empleados involucrados. Si la entrevista se lleva a cabo demasiado pronto, es posible que no tengas suficientes pruebas para probar el delito, y si es demasiado tarde, puedes perder la oportunidad de contener la violación.
  • Toma una decisión sobre cómo recuperar los datos de forma segura. En algunos casos, solo la amenaza de acción será suficiente, pero si no, la ley está ahí para protegerte.
  • Y lo más importante de todo, el incidente debe servirte para aprender y aplicar los cambios que pueden evitar futuras infracciones, bien mediante una supervisión más cercana de los empleados, un software de seguridad actualizado o diferentes controles de uso.

7. Evaluación periódica de vulnerabilidades

Finalmente, se deben realizar pruebas periódicas para identificar riesgos de seguridad inminentes para tu red. En este escenario, se puede contratar a terceros para que realicen las pruebas de estrés para identificar las lagunas en el sistema, de modo que puedan conectarse antes de que sea demasiado tarde.

¿Qué ocurre si eres víctima de un ciberataque?

Incluso con la mejor tecnología y medidas de seguridad, a veces eres incapaz de detener una violación. Aquí es donde entra en juego un plan de respuesta eficaz, que te permite controlar la situación lo más rápido posible, con un impacto mínimo para tu negocio y tus clientes.

Sin embargo, a pesar de su importancia, solo el 30 por ciento de las organizaciones cuentan con un plan de respuesta a las infracciones, lo que podría dejarlas tambaleándose en caso de un ataque.

Un plan de respuesta eficaz debe incluir los siguientes elementos:

  • Respuesta legal: debes describir cómo manejarás los aspectos legales de la violación, por ejemplo, informar a la autoridad de Protección de datos sobre el problema y defender tu negocio contra cualquier reclamación de negligencia.
  • Manejo de consultas de medios: tu negocio podría ser el foco de atención de los medios después de una violación, así que debes prepararte para manejar todas las comunicaciones externas sobre lo que sucedió y cómo lo estás manejando. Es probable que necesites experiencia profesional en relaciones públicas para hacer esto de manera efectiva.
  • Averiguar lo que sucedió: también deberás contar con expertos forenses de TI para averiguar qué causó la violación, con el fin de corregir el problema rápidamente y asegurarte de que no vuelva a suceder.
  • Informar a los clientes: Dependiendo de tu base de clientes y la escala de la brecha, podrías tener muchas llamadas telefónicas desagradables que hacer. Deberás estar preparado para manejar esta comunicación de manera eficiente.

¿Cómo puede ayudar el seguro cibernético?

Si sucede lo peor y enfrentas las repercusiones de una violación de datos, tu última línea de defensa es una póliza de seguro cibernético estanca y especializada. Cubrirá el incumplimiento de las leyes de protección de datos (cuando sea asegurable por ley) y tu responsabilidad por el manejo de datos. También puede proporcionar cobertura por extorsión, costes de rectificación del sistema, más gastos de relaciones públicas y pérdidas financieras debido al tiempo de inactividad del sistema.

Algunos aspectos clave a tener en cuenta incluyen:

  • La AEPD puede imponer dos niveles distintos de multas basadas en infracciones del Reglamento General de Protección de Datos. El primero es de hasta 10 millones de euros o el 2% de la facturación anual global de la compañía del ejercicio anterior, lo que sea mayor. El segundo es de hasta 20 millones de euros o el 4% de la facturación anual global de la compañía del ejercicio anterior, lo que sea mayor. Las posibles multas son sustanciales y una buena razón para que las empresas garanticen el cumplimiento del Reglamento. La póliza de seguro cibernético cubrirá los costes de notificación, los honorarios legales que defienden la acción reguladora y, en algunos casos, la multa en sí misma.
  • Cubre los gastos de reparación del sistema, pérdida de ingresos mientras el sistema está inactivo o incluso pagos de rescate a los piratas informáticos.
  • Protege tu sitio web, blogs y redes sociales, por infracción de derechos de autor o marca registrada, difamación, etc.

Sectores

Con las organizaciones enfrentando un aluvión constante de ataques uno tras otro, es innegable que ninguna industria está a salvo de los ciberataques. Desde la atención médica y la banca hasta el comercio minorista, todas las industrias se enfrentan a amenazas de ciberseguridad. Incluso si tu industria no es de naturaleza «técnica», no necesariamente significa que esté a salvo.

Las amenazas a la ciberseguridad son una cruda realidad y cuanto antes las organizaciones se den cuenta de esto, mejor. No hay límite a lo que pueden hacer los atacantes altamente cualificados. Echemos un vistazo más de cerca a las industrias más afectadas por los ciberataques y cómo están luchando.

Banca y finanzas

La industria bancaria y financiera es, sin duda, un objetivo ideal para los hackers. Después de todo, las organizaciones en esta industria tienen todo lo que los ciberatacantes anhelan, desde identidades de clientes y números de cuentas bancarias hasta domicilios e información financiera privada.

Según una encuesta, los bancos experimentan 85 intentos de incumplimiento graves en promedio cada año, con casi un 40% de esos intentos logrando obtener información confidencial.

La industria está respondiendo con varias iniciativas para recuperar el control del ciberespacio financiero, lo que incluye:

  • promover una mayor responsabilidad y conciencia,
  • mejorar la comunicación para facilitar la colaboración con el gobierno y, en última instancia,
  • reclutar y desarrollar un mejor equipo de ciber talentos.

Sin embargo, también se debe hacer hincapié en la educación continua de los profesionales de seguridad a medida que las amenazas de seguridad cibernética continúan evolucionando a un ritmo alarmante.

Sanidad

El cuidado de la salud es otra industria intensiva en información y un objetivo principal para los hackers. Los hospitales tienen acceso a registros electrónicos de atención médica, que contienen grandes cantidades de información, desde nombres y direcciones de pacientes hasta su estado físico y detalles financieros.

El ataque del ransomware WannaCry dejó efectos devastadores, deteniendo las operaciones del Servicio Nacional de Salud (NHS) de Gran Bretaña e impactando la atención al paciente.

Las organizaciones de atención médica se han visto obligadas a implementar prácticas muy necesarias para la seguridad. Muchos proveedores de atención médica no adoptan conceptos básicos de seguridad como el cifrado, las herramientas antivirus y los firewalls.

Si bien se espera que las inversiones en ciberseguridad aumenten significativamente, se deben tomar medidas para reemplazar los sistemas informáticos vulnerables y obsoletos. Esto es esencial no solo para proteger estos servicios de los ataques, sino también para recuperar la confianza del público con respecto a los proyectos que dependen del acceso a los registros médicos.

Abogados

La ciberseguridad es un tema que está, o debería estar, en la mente de los abogados, ya que estos tienen la obligación ética de preservar la confidencialidad de la información del cliente. Y a medida que los abogados mueven cada vez más sus datos en formato digital, esa obligación necesariamente se traslada a los datos de la firma almacenados en línea.

Las firmas de abogados toman muchas precauciones de seguridad diferentes en nombre de la confidencialidad del cliente. Pero los tipos de medidas de seguridad utilizadas varían mucho de una empresa a otra.

Para empezar, los abogados deben usar contraseñas para proteger sus ordenadores portátiles y sus smartphones.

Otras medidas de seguridad a adoptar son:

  • medidas de seguridad física, como un llavero, para proteger el hardware ubicado en el sitio,
  • sala de servidores bloqueada o segura,
  • bloqueo de ordenadores,
  • anti-spyware,
  • software de firewall,
  • bloqueadores de ventanas emergentes,
  • escaneo de virus en ordenadores de escritorio y portátiles,
  • escaneo de virus de correo electrónico,
  • firewalls de hardware,
  • cifrado de archivos y correo,
  • alarma de seguridad y
  • vigilancia con cámaras de vídeo.

Educación

El sector educativo, en particular las universidades, sufre ataques de ciberdelincuentes por la valiosa investigación académica que genera, y usan su infraestructura de red para lanzar ataques contra otros objetivos.

Dado que los atacantes en su mayoría obtienen acceso a las redes universitarias a través de correos electrónicos de phishing o colocando código malicioso en sitios web que visitan regularmente el profesorado y los estudiantes, las instituciones educativas pueden reducir las instancias de ataques cibernéticos al aumentar la conciencia sobre posibles amenazas cibernéticas y aplicar un control más estricto sobre el software y hardware utilizado.

Además, deberían priorizar qué información es la más sensible y gastar sus recursos limitados en protegerla.

Venta minorista online

A medida que las organizaciones minoristas mueven sus productos y servicios en línea, se abren a los ciberataques. La industria es vulnerable a estos ataques debido a una alta rotación de empleados y una superficie de ataque distribuida de manera considerable. Esto ofrece más oportunidades a los piratas informáticos.

Las pequeñas empresas de comercio online están entre las primeras industrias elegidas a la hora de realizar ciberataques, ya que disponen de datos valiosos de los clientes.

Además de educar al personal sobre las amenazas de ciberseguridad y sus medidas preventivas, los minoristas en línea también deben aumentar la inversión en firewalls para sus sitios web y aplicaciones, ya que detienen a los piratas informáticos antes de que puedan violar la red y acceder a información confidencial del cliente.

Además, HTTPS con SSL / TLS configurado correctamente es imprescindible para cifrar la conexión con los sitios web de los minoristas y asegurar todas las transacciones de los clientes.

Turismo

La industria del turismo está creciendo. Los hoteles recopilan información de pago y datos privados de los clientes. Sin embargo, tienden a invertir una cantidad limitada de recursos en seguridad informática y sistemas de mitigación de riesgos basados ​​en el usuario.

Los datos confidenciales terminan siendo fácilmente accesibles para los empleados del hotel y proveedores externos.

Otro hecho inquietante es que el 96% de todas las infracciones de alojamiento no se descubren hasta meses después del incidente. Por lo general, un hotel se da cuenta de un incidente debido a una investigación policial.

La fuente más típica de esta amenaza es una organización de terceros con acceso a la base de datos de un hotel. Estos expertos tienden a tener acceso completo a la información almacenada en un sistema hotelero. Los datos desprotegidos de la tarjeta de crédito, la ganancia financiera potencial y la ausencia de monitorización son atractivos.

Unas vacaciones en un hotel que no presta atención a su ciberseguridad pueden tener consecuencias inesperadas.

Por ejemplo, los datos proporcionados por 500 millones de huéspedes de Marriott Hotels fueron robados debido a malas prácticas de seguridad. La compañía reveló esta violación en 2018. Los piratas informáticos obtuvieron acceso no autorizado a la base de datos de reservas de huéspedes de Marriott Hotels comprada en 2016. La puerta trasera no se detectó hasta 2018. La información filtrada contenía nombres de clientes, correos electrónicos, números de teléfono, pasaportes y números de tarjetas de crédito, fechas de nacimiento.

Con el cibercrimen y las filtraciones de datos en aumento, no se trata de «si» tu negocio se verá afectado, sino más bien de «cuándo». Ponerse al día en los tipos de amenazas y conocer la mejor manera de proteger tus sistemas, te preparará y mantendrá tu negocio fuera del foco de los ciberdelincuentes.