Otro año está a punto de terminar y todavía no hay tregua en el nivel y volumen de la ciberdelincuencia. Para mitigar estos continuos ciberataques, MetaCompliance propone cinco buenas prácticas de ciberseguridad en 2023.
En 2021, las encuestas e informes que exploran el panorama de las ciberamenazas ofrecieron algunas advertencias contundentes: IBM registró en "Cost of a Data Breach Report 2021" que los ataques cibernéticos de este año resultaron en los costos más altos jamás asociados con las violaciones de seguridad en los 17 años de historia del informe; otro informe encontró que el ransomware casi se había duplicado en la primera mitad de 2021; y el phishing sigue siendo la variedad de ataque de "acción superior", según Verizon, hasta el punto de que la seguridad del correo electrónico se determinó como el principal proyecto de TI del año.
Toda esta actividad prepara el terreno para lo que vendrá el año que viene y las vulnerabilidades a las que se enfrentará su organización. Aprendiendo las lecciones de los últimos años podemos desarrollar algunas buenas prácticas para ayudar a nuestra organización a resistir los ciberataques en 2023 y más allá.
Los ciberdelincuentes siguen favoreciendo el robo de credenciales y el phishing
Los informes de los analistas y las encuestas del último año han encontrado un terreno común en las credenciales robadas que luego conducen a la violación de datos. Las tácticas y técnicas se encadenan para formar el ciberataque:
El phishing de empleados conduce al robo de credenciales que dan lugar a accesos no autorizados que provocan filtraciones de datos, malware e infección por ransomware.
El informe de IBM Cost of a Data Breach analizó las violaciones de datos de más de 500 organizaciones. El informe descubrió que las repercusiones de la pandemia COVID, como el trabajo desde casa y el mayor uso de servicios basados en la nube, han provocado un aumento de los ciberataques, que han resultado más costosos. Gran parte de ello se debió a que la seguridad informática fue incapaz de seguir el ritmo del cambio repentino a nuevos modelos de trabajo y tecnología.
Según el estudio, el robo de credenciales es la causa más común de las violaciones de la seguridad de la información. El informe también señalaba que el 82% de las personas reutilizan contraseñas en varias cuentas, lo que da lugar a ataques de relleno de credenciales y de apropiación de cuentas.
En noviembre de 2021, la publicación del sector Dark Reading realizó una encuesta sobre los tipos de ciberamenazas de los últimos 12 meses. Los resultados muestran que el phishing sigue siendo la principal causa de violación de datos, y más de la mitad de las empresas encuestadas revelaron haber sido víctimas de una violación.
5 mejores prácticas de ciberseguridad en 2023
Las mejores prácticas de ciberseguridad en 2023 que se exponen a continuación ofrecen formas de enfrentarse al espectro de los ciberataques, sin rodeos:
1. Haga de 2023 el año en que sus políticas de seguridad cobren vida
Las políticas de seguridad no deben ser un ejercicio de marcar casillas. Contar con una política de seguridad bien pensada y aplicable es la base de un enfoque sólido de la seguridad de los datos y del desarrollo de una postura de seguridad positiva.
En 2023, mueva el dial de la política de seguridad implicando a sus empleados en el despliegue y la aplicación de las necesidades de su política. El software de gestión de políticas puede ayudarle a conseguirlo implicando a sus empleados en los aspectos importantes de la política que les afectan. Una política sólida y procesable también protegerá la reputación y la posición de su empresa en términos de normas de seguridad y reglamentos de protección de datos.
2. Implicar al personal en la lucha contra las ciberamenazas
Así lo ha declarado el Centro Nacional de Ciberseguridad del Reino Unido (NCSC):
"Las personas deben estar en el centro de cualquier estrategiade ciberseguridad"
2023 tiene que ser el año en que las organizaciones creen fuerza a través de la educación.
Sus empleados son fundamentales en la lucha contra los ciberataques. Los piratas informáticos a menudo aprovechan estafas de ingeniería social para acceder a información confidencial y engañan a los empleados para que realicen tareas inadvertidamente en nombre del estafador.
Estos trucos están envueltos en correos electrónicos fraudulentos , contraseñas robadas, estafas en redes sociales, estafas de compromiso de correo electrónico empresarial (BEC), etc. Las filtraciones accidentales también son una forma común de exposición de datos. Ya sean accidentales o deliberadas, ambas causan a una organización vergüenza, costes de rectificación e incumplimiento de la normativa.
La lucha contra la piratería informática debe realizarse en ambos frentes para mitigar las amenazas internas y externas. En 2023, asegúrese de que su organización construye una cultura en la que los empleados entienden cómo se producen los eventos de seguridad y cómo evitar que perjudiquen a su empresa. Construya un cortafuegos humano basado en empleados bien formados y será menos probable que su personal apriete el gatillo de la seguridad y se convierta en su mejor defensa.
3. Automatice su formación de concienciación sobre seguridad
La automatización de los programas de concienciación sobre seguridad permite a una organización ser más eficiente y eficaz a la hora de ofrecer contenidos educativos de seguridad de calidad a los empleados. Las plataformas de automatización están diseñadas para establecer programas de formación continua que también proporcionan análisis de las métricas del programa para optimizar continuamente la formación.
4. Acierta con la seguridad
La seguridad inteligente consiste en afrontar el cambiante panorama de las amenazas mediante soluciones de seguridad adaptables y versátiles.
Sé inteligente:
Amenazas cambiantes: las amenazas a la seguridad son cada vez más difíciles de detectar y prevenir. Una respuesta a esto son las soluciones de seguridad inteligentes que se mantienen automáticamente al día de los cambios en las tendencias de ciberseguridad. Estas herramientas inteligentes utilizan la inteligencia artificial para adaptarse a las amenazas actualizadas y pueden desplegarse como servicio o a través de un MSP.
Inicio de sesión de los empleados: asegúrate de que, siempre que sea posible, implementas credenciales de inicio de sesión sólidas, como la autenticación de dos factores y el inicio de sesión basado en el riesgo. Estas medidas no son infalibles, pero ayudan a proteger el acceso a las aplicaciones corporativas y otros recursos.
Mantenimiento de redes y puntos finales: mantenga todas sus aplicaciones, puntos finales y software de servidor parcheados y actualizados. Configure una gestión de parches automatizada para realizar esta tarea, de modo que el error humano quede eliminado de la ecuación.
5. Adquirir destreza
Según un estudio de (ISC)2, más de la mitad de las organizaciones prevén un aumento del riesgo cibernético debido a los problemas de personal. Si no puede contratar a profesionales de seguridad cualificados, tiene dos opciones:
- Forme a su personal: ofrezca a todos los empleados una formación continua de concienciación sobre la seguridad para garantizar que tienen los conocimientos necesarios para ayudar a prevenir un ciberataque. Además, ofrézcase a enviar a los empleados interesados a cursos de certificación. Estos empleados formados pueden ayudar a gestionar e impartir la formación de concienciación sobre seguridad al resto de la plantilla.
- Externalice sus necesidades de ciberseguridad: las empresas especializadas pueden ofrecer servicios gestionados, como ejercicios de simulación, consultores, y/o pueden proporcionar apoyo para formar al personal en la concienciación sobre la seguridad.
Haga de 2023 el año de su victoria contra las ciberamenazas
Los ciberdelincuentes siguen desafiando a organizaciones de todo el mundo aprovechándose de empleados y socios comerciales. En 2023, céntrate en cambiar la dinámica de los ciberataques reduciendo las vulnerabilidades del personal y siendo inteligente en ciberseguridad.