Un clic, un empleado. Entonces, ¡bum! La cámara acorazada de Cash App se abre, arrojando millones de registros de usuarios como confeti. Esto no es un clickbait de distopía futura, es nuestra realidad actual.
En la brecha de Cash App Investing (julio de 2023), los hackers utilizaron una cuenta de empleado comprometida para acceder a los sistemas de Cash App Investing, exponiendo datos personales e información financiera de más de 8 millones de usuarios (aproximadamente la mitad de la población de Nueva York).
Este es solo un ejemplo de las muchas brechas sofisticadas que estamos viendo hoy en día que han afectado a Uber, Spotify, Activision, ChatGPT, SysAid y muchos de sus millones de clientes. La ciberseguridad no se trata solo de firewalls y antivirus, se trata de cada persona detrás de la pantalla. Reescribamos el guión antes de que el próximo clic se convierta en una brecha catastrófica.
En los nueve primeros meses de 2023 se notificaron públicamente 2.116 casos de filtración de datos, un 17% más que en los 12 meses de 2022. De hecho, sólo en el tercer trimestre de 2023 se vieron afectadas 233,9 millones de personas. Los ataques van en aumento: el 76% de las empresas de todo el mundo afirmaron que era la principal prioridad para la tecnología de la información de su empresa en 2023 (80.800 millones de dólares en todo el mundo para 2023).
Es necesario proteger los datos de los clientes.
¿Qué es la ciberseguridad?
La ciberseguridad, la práctica de proteger las redes, los sistemas y los dispositivos de los ataques digitales, es de suma importancia. Estos ataques tienen como objetivo acceder y cambiar, o eliminar, información confidencial. Algunos ejemplos comunes son la interrupción de los procesos empresariales; acceder a inicios de sesión para plataformas sociales (Twitter tuvo 200 millones de direcciones de correo electrónico filtradas en enero de 2023); phishing por correo electrónico (una estafa por correo electrónico en línea que parece provenir de una fuente conocida); y extorsionar dinero mediante ransomware (malware que encripta archivos en un dispositivo y los inutiliza).
Las amenazas están por todas partes.
Es exactamente por eso que tu empresa necesita invertir en la mejor primera línea de defensa que pueda.
Pero, ¿qué queremos decir con «primera línea de defensa»?
Tus empleados. No basta con que el departamento de TI esté capacitado y versado en ciberseguridad, sino que toda tu empresa debe saber cómo detectar, informar y evitar el phishing y las amenazas de seguridad.
Las personas que atienden los servicios de asistencia de TI, las que mitigan los riesgos, mantienen satisfechos a los usuarios finales y suelen ser las primeras en responder a las amenazas de la red o el servidor, deben estar bien equipadas con la formación y las herramientas adecuadas para garantizar que pueden hacer lo que necesitan con eficacia y eficiencia: mantener los datos seguros. Este artículo explorará las características de ciberseguridad más importantes que los centros de servicios necesitan para mantener a las empresas seguras y protegidas.
Formación en ciberseguridad para empleados
El error humano causa el 80% de los ciberataques.
Ejemplos comunes de errores humanos que conducen a ciberataques:
- Hacer clic accidentalmente en un archivo adjunto de un correo electrónico de phishing
- Cuando un usuario final no ejecuta un parche de seguridad para corregir cualquier vulnerabilidad en el sistema
- Contraseñas débiles (más fáciles de acceder a las cuentas)
- Se han descubierto enlaces y páginas de aterrizaje falsos que incluso evitan la autenticación de 2 factores de Google para permitir a los hackers robar las credenciales de usuario de Gmail (un GRAN problema, teniendo en cuenta que a la mayoría de la gente se le ha enseñado a asociar 2FA como la forma más segura de proteger las cuentas y el acceso).
- No implementar los controles de acceso adecuados (autenticación de dos factores o controles de acceso basados en funciones para limitar el acceso)
- Falta de un plan de respuesta a incidentes de ciberseguridad (qué hacer cuando se produce una amenaza)
La mayoría de los ejemplos anteriores tienen una cosa en común: se pueden prevenir con iniciativas de aprendizaje y desarrollo. El hecho es que, a pesar de que parte de esto se ha convertido en conocimiento común de seguridad en Internet (por ejemplo, no hacer clic en archivos adjuntos de correos electrónicos donde no se reconoce al remitente del correo electrónico), los atacantes son cada vez más sofisticados y difíciles de detectar, lo que requiere una formación más profunda para los usuarios cada año. Los atacantes han pasado de los mensajes de correo electrónico a las llamadas telefónicas selectivas e incluso a los vídeos falsos de directores ejecutivos (utilizados para engañar a los clientes de criptomonedas en 2023).
Para que tu departamento de TI funcione a la perfección, debes impartir regularmente cursos de concienciación sobre la seguridad a todos los empleados, no sólo al personal del centro de servicios. Los empleados deben conocer las amenazas potenciales, los ataques de ingeniería social y las mejores prácticas para mantener la seguridad. Para aquellos en los Estados Unidos, la Agencia de Seguridad de Infraestructura y Ciberseguridad es un buen lugar para comenzar.
PD: No tienes que preocuparte por crear los materiales de formación por tu cuenta. Hay muchas empresas de formación en ciberseguridad de TI de buena reputación (incluso puedes ajustarlas en función de las necesidades específicas del sector, el presupuesto y el tamaño de tu empresa) para que se adapten a tu negocio, pero debes encontrar una solución si quieres mantener las luces de la oficina encendidas.
Cómo desarrollar un plan de respuesta a incidentes
Los accidentes ocurren, son parte de la vida.
Pero es tu trabajo asegurarte de que los accidentes no se conviertan en incendios forestales y se propaguen. Para combatir la propagación y mantener la amenaza contenida, tu empresa necesita un PRI. Un Plan de Respuesta a Incidentes (PRI) es un documento oficial de la empresa que describe qué hacer antes, durante y después de un incidente o amenaza de seguridad. El PRI aclara las funciones y responsabilidades, establece una cadena clara de comunicación y enumera las actividades clave que se deben realizar.
Aquí es donde entra en juego el servicio de asistencia de TI. Como primera línea para todos los problemas relacionados con la tecnología, el servicio de asistencia desempeña un papel crucial en la identificación, notificación y contención de incidentes de seguridad. Son ellos los que reciben las primeras llamadas telefónicas o correos electrónicos sobre actividades sospechosas, y su rápida actuación puede marcar la diferencia a la hora de minimizar los daños.
- Identificar: El servicio de asistencia de TI debe estar equipado para reconocer posibles señales de alerta, como intentos de inicio de sesión inusuales o indicadores de malware, y escalar esas preocupaciones de inmediato al equipo de respuesta a incidentes designado. Esta rápida comunicación permite una activación más rápida de su IRP, minimizando la ventana de oportunidad del ataque y ayudando a aislar los sistemas afectados antes de que el fuego se propague.
- Responder: El servicio de asistencia técnica también puede ser un activo valioso durante el proceso de respuesta al incidente. Pueden proporcionar un apoyo crucial a los usuarios en aspectos como ayudar a los empleados a restablecer contraseñas, acceder a cuentas bloqueadas y navegar por las posibles interrupciones causadas por el incidente.
Para asegurarte de que todo el mundo sabe lo que hay que hacer, realiza un ejercicio de simulación de ataque, también conocido como ejercicio de sobremesa (TTX). Durante el ejercicio de simulación, todos jugarán el juego como sus papeles reales actuales, a menos que el facilitador indique lo contrario, y seguirán el PRI para saber qué hacer y con quién ponerse en contacto: todo lo que figura en el PRI debe ser lógico y fácil para que los empleados actúen en consecuencia.
Consejo: Los PRI deben actualizarse y revisarse periódicamente para garantizar que incluyan a los empleados, procesos y sistemas actuales. Una buena práctica es fijar una reunión permanente al comienzo de cada trimestre para revisar el PRI de TI.
Garantizar la seguridad de los proveedores de servicios
Una excusa que no se puede usar en la industria de TI: no ha sido culpa mía.
Porque, aunque no lo fuera, eres responsable de actuar con la diligencia debida con las herramientas que utilizas y las personas que contratas. Y claro, no puedes predecir el futuro y los errores ocurren, pero aun así tienes que hacer todo lo que esté en tu mano para mantener lo que puedas bajo control. Una de esas cosas es: realizar comprobaciones y evaluaciones de seguridad de cualquier proveedor de servicios, vendedor o suministrador externo que utilices. Asegúrate de que tus proveedores se adhieren a prácticas de ciberseguridad buenas y seguras, y de que no introducen riesgos añadidos a tu negocio.
¿Cómo me aseguro de que mis proveedores de servicios estén seguros?
Revisa tus políticas, controles y certificaciones de seguridad.
Verifica su cumplimiento con cualquier requisito legal o de la industria (GDPR, HIPAA o PCI-DSS).
Esto debería estar integrado en su ciclo de contratación de proveedores y en sus listas de comprobación.
¿Por qué son importantes las actualizaciones de seguridad de los proveedores?
Además de la plétora de razones que ya hemos cubierto, el Capítulo 8 del Reglamento General de Protección de Datos (GDPR) dice que, si ocurre una violación de datos, el controlador de datos y el procesador de datos tienen responsabilidades. Es decir: tú eres responsable de que el encargado del tratamiento cumpla la normativa.
¿Por qué es importante el cifrado de datos?
Para proteger los datos de tu servicio de asistencia contra el acceso no autorizado durante la transmisión y el almacenamiento, debes emplear métodos de cifrado en ambos casos. Para la transmisión, debes utilizar protocolos como HTTPS y redes privadas virtuales (VPN). Para el almacenamiento, debes cifrar los datos almacenados con un cifrado simétrico (se utiliza una única clave secreta para cifrar la información) o un cifrado asimétrico (se utilizan dos claves distintas para los procesos de cifrado y descifrado).
Ejemplos populares de cifrado simétrico:
- Estándar de cifrado avanzado (AES)
- Estándar de cifrado de datos (DES)
- Twofish
Ejemplos populares de cifrado asimétrico:
- Claves públicas: disponibles públicamente o compartidas con destinatarios autorizados
- Clave privada: necesaria para acceder a los datos cifrados por una clave pública
La importancia del control de acceso y la autenticación
Al igual que los usuarios no tienen ni deberían tener acceso a los datos de la empresa, no todos los miembros de la empresa necesitan acceder a todo lo que hay dentro de la empresa. Para mitigar el riesgo de que la información caiga en las manos equivocadas, tanto dentro como fuera de la empresa, implementa controles de acceso. Los controles de acceso son un conjunto de políticas para restringir el acceso a la información, las herramientas y las ubicaciones (físicas y digitales). Un buen punto de partida es aplicar el principio de privilegios mínimos, es decir, conceder a los usuarios los derechos de acceso mínimos necesarios para realizar sus funciones laborales y aumentarlos según sea necesario.
Los usuarios no sólo necesitan poder acceder a la información, sino también confirmar que son quienes dicen ser (autorización), algo especialmente importante con el aumento del trabajo a distancia. Algunas de las mejores prácticas para la autorización incluyen la autenticación de dos factores o la confirmación biométrica (huella dactilar, escáner de retina o FaceID de Apple). Una vez autorizados, los usuarios pueden ver los datos y programas a los que tienen acceso.
La protección de los datos de tu empresa no hace más que crecer en importancia. Cuanto más rápido puedas adelantarte (contar con los sistemas y la formación adecuados, mejor te irá). Al hacerlo, el servicio de atención al cliente forma parte integral del éxito y la seguridad de tu empresa, especialmente con el aumento anual de los ciberataques que se producen. Invierte en las herramientas y la formación adecuadas para que tu empresa funcione sin problemas. Si necesitas ayuda para seleccionar las herramientas y soluciones adecuadas, reserva una llamada gratuita con los consultores de EasyVista.