Con el número de violaciones de datos que aumenta año tras año, las organizaciones están despertando lentamente para darse cuenta de que ninguna empresa es inmune a esta creciente amenaza.
El46% de todas las empresas del Reino Unido identificaron una brecha en los últimos 12 meses y el IDC predice que para 2020, más de 1.500 millones de personas, o aproximadamente 1/4 de la población mundial, se verán afectadas por una brecha de datos.
Estas estadísticas son realmente aterradoras y ponen de manifiesto la magnitud del problema al que se enfrentan las organizaciones de todo el mundo.
Es un mito que sólo las grandes empresas multinacionales sean el objetivo, los ciberdelincuentes van cada vez más a por las organizaciones más pequeñas y medianas, ya que suelen tener menos dinero y recursos para invertir en ciberseguridad.
Esto las hace especialmente vulnerables a los ataques, y las investigaciones han demostrado que el 60% de estas organizaciones son incapaces de recuperarse de los efectos devastadores de una violación de datos y se verán obligadas a cerrar como resultado.
Incluso si una empresa puede capear el temporal, las consecuencias de la filtración pueden tener ramificaciones masivas que pueden incluir una caída en el precio de las acciones, la pérdida de clientes, sanciones financieras y daños a la reputación.
El constante flujo de historias de horror sobre violaciones de datos en la prensa ha hecho que los altos ejecutivos se den cuenta de que si quieren reducir sus posibilidades de ser atacados, necesitan ser más proactivos en su enfoque de la seguridad de los datos y examinar las áreas de su negocio que necesitan ser reforzadas y protegidas.
¿Cómo se produce una violación de datos?
Una violación de datos, o "data breach", suele producirse cuando un atacante no autorizado accede a una base de datos segura que contiene información sensible, protegida o confidencial.
Hay una gran cantidad de razones por las que los hackers quieren poner sus manos en los datos sensibles, pero la mayoría de las veces, todo se reduce a dinero. La ciberdelincuencia es un negocio lucrativo y nuestros datos pueden utilizarse para cometer fraudes de identidad o venderse por una buena suma en la web oscura.
Una filtración de datos también puede producirse de forma accidental por la pérdida de un ordenador portátil, la pérdida de documentos o el envío de un correo electrónico a la persona equivocada, pero los ataques dirigidos suelen llevarse a cabo de una de las siguientes formas:
- Explotación de las vulnerabilidades del sistema: los hackers suelen investigar y realizar un reconocimiento completo de una empresa antes de lanzar un ataque. Escanearán metódicamente una red en busca de cualquier debilidad en la seguridad y, tan pronto como localicen un área para explotar, lanzarán un ataque dirigido para infiltrarse en la red.
- Ingeniería social - En lugar de utilizar los ataques tradicionales de hacking, los ciberdelincuentes se aprovechan de nuestra naturaleza humana confiada para engañarnos y hacer que rompamos las prácticas normales de seguridad. Este tipo de ataques ha crecido en frecuencia y está demostrando ser una forma muy exitosa para que los hackers obtengan acceso no autorizado a las redes informáticas y a los datos sensibles.
Los métodos más utilizados son:
Phishing - El phishing sigue siendo el ataque de ingeniería social más popular debido a su alta tasa de éxito. El 72% de las filtraciones de datos están relacionadas con la recepción de correos electrónicos de phishing por parte de los empleados y los atacantes suelen hacerse pasar por una empresa legítima para engañar a los empleados y hacerles revelar información sensible.
Malware,virus y spyware: el malware, los virus y el spyware representan el 33% de todas las violaciones de datos. Se instalan en un ordenador cuando un usuario hace clic en un enlace, descarga un archivo adjunto malicioso o abre un programa informático fraudulento. Una vez instalado, los atacantes pueden utilizar el malware para espiar las actividades en línea, robar información personal y financiera, o el dispositivo puede ser utilizado para hackear otros sistemas.
Contraseñas: las contraseñas débiles e inseguras son una forma fácil de que los hackers accedan a una red. Los hackers más sofisticados suelen utilizar software especializado que les permite probar miles de posibles combinaciones de nombre de usuario y contraseña.
¿Cómo puedo proteger mi empresa de una filtración de datos?
Las organizaciones necesitan desarrollar una estrategia de seguridad sólida y completa que proteja los datos sensibles, reduzca las amenazas y garantice que la reputación de una organización permanezca intacta.
Para reducir la posibilidad de que se produzca una filtración de datos, hay una serie de medidas que las organizaciones deben tomar:
- Actualizar el software de seguridad: el software de seguridad debe actualizarse regularmente para evitar que los hackers accedan a las redes a través de las vulnerabilidades de los sistemas más antiguos y anticuados. Así es exactamente como los hackers pudieron acceder a los datos de más de 143 millones de estadounidenses en la infame filtración de datos de Equifax en 2017. Dos meses antes de la filtración se puso a disposición una solución para esta vulnerabilidad, pero la empresa no actualizó su software.
- Auditorías periódicas y evaluaciones de riesgos: el RGPD especifica que las organizaciones deben realizar auditorías periódicas de las actividades de tratamiento de datos y cumplir una serie de principios de protección de datos que ayudarán a salvaguardar los datos. Esto garantizará la existencia de un marco adecuado que mantenga segura la información personal identificable de los clientes y mitigue cualquier riesgo. La aplicación de un sistema eficaz de gestión de políticas permitirá a las organizaciones demostrar el cumplimiento de los requisitos legislativos y centrarse eficazmente en las áreas que presentan un mayor riesgo para la seguridad de los datos.
- Utilice contraseñas seguras: una de las formas más fáciles de que los hackers accedan a los sistemas sensibles de la empresa es adivinar las contraseñas. El 60% de las personas utilizan el mismo nombre de usuario y contraseña para todas sus cuentas, por lo que si los hackers consiguen acceder a una de ellas, tienen vía libre para entrar en todas. Una contraseña sólida debe tener entre 8 y 15 caracteres, una mezcla de letras mayúsculas y minúsculas, e incluir números o símbolos. Para mayor seguridad, se puede crear una frase de contraseña compuesta por una frase o combinación de palabras. La primera letra de cada palabra será la base de la contraseña y las letras pueden sustituirse por números y símbolos para añadir una línea de defensa adicional.
- Formación del personal: la seguridad efectiva no se limita a la tecnología. El 88% de las filtraciones de datos pueden atribuirse a un error humano, por lo que es vital que las organizaciones inviertan en una formación de alta calidad para la concienciación en materia de seguridad que permita al personal reconocer el importante papel que desempeñan en la protección de los datos sensibles de la empresa. El personal es fundamental para que una organización funcione de forma segura, por lo que es vital que los empleados dispongan de toda la información y los conocimientos necesarios para respaldar la seguridad de la red y los sistemas de información de la empresa.
Para obtener más consejos y orientación sobre cómo mejorar la seguridad dentro de su organización, únase a nosotros en nuestro seminario web el17 de octubre a las 15:00 horas, sobre "Una pesadilla en la calle de las infracciones: ¿podría la falta de formación del personal conducir a una pesadilla de seguridad de la información? Regístrese aquí: go.metacompliance.com/halloween18