abril 15, 2021

Los mayores errores de ciberseguridad que siguen cometiendo las empresas

A pesar de la evidencia de vulnerabilidades de ciberseguridad de miles de millones de dólares en algunas de las organizaciones más confiables del mundo, las compañías aún no toman en serio la ciberseguridad. Las grandes empresas están encontrando razones para ahorrar en sus presupuestos de ciberseguridad al reducir los costos en lugar de invertir en su infraestructura, y los propietarios de pequeñas empresas simplemente descuidan la amenaza que representan los problemas de ciberseguridad.

Entonces, ¿por qué la seguridad cibernética sigue siendo tan subutilizada y subestimada, y cuáles son los errores más comunes que cometen los empresarios?

No tomar en serio la seguridad informática

Uno de los mayores problemas aquí es que los emprendedores aún no toman en serio la ciberseguridad, o al menos no lo toman lo suficientemente en serio. Para las grandes empresas, esto se debe a una combinación de factores. Por ejemplo, ya pueden estar gastando millones de dólares en equipos de TI y herramientas de seguridad cibernética y es posible que no tengan un barómetro para determinar si esta inversión es «suficiente». También pueden tener dificultades para ver los resultados de sus inversiones; después de todo, si su estrategia de seguridad cibernética funciona, no será el blanco de ningún ataque o piratería importante.

Además, las grandes organizaciones a menudo luchan con los silos departamentales. Los expertos en seguridad cibernética se encuentran aislados del resto de la organización, incapaces de proporcionar orientación o asesoramiento o limitados en su capacidad para influir en la organización. Como resultado, las personas de otros departamentos no piensan mucho en la seguridad cibernética.

Para las pequeñas empresas, la actitud predominante es «somos demasiado pequeños para ser un objetivo», aunque las pequeñas empresas son algunos de los objetivos más comunes para los cibercriminales. Enfrentados con grandes gastos incluso en las medidas de seguridad cibernética más básicas, las pequeñas empresas no están dispuestas a gastar el dinero.

Sin embargo, si una empresa no trata la seguridad cibernética como importante, no hará lo suficiente para protegerse.

Tratar la ciberseguridad de manera reactiva en lugar de proactiva

Para que la seguridad cibernética sea efectiva, debe hacerse de manera proactiva. Debe trabajar duro antes de sufrir una violación de datos o un ataque oportunista; Si espera para saber con certeza que es una posible víctima, ya será demasiado tarde.

Esta es la diferencia entre ciberseguridad proactiva y reactiva. Después de sufrir una violación de datos, las empresas están mucho más ansiosas por invertir en la infraestructura necesaria para evitar otro ataque similar en el futuro; pero si lo hubieran hecho en primer lugar, podrían haber ahorrado millones, si no miles de millones de dólares.

Es mucho mejor convertir la ciberseguridad en una rutina, algo en lo que continuamente invierte y mejora, incluso cuando las cosas parecen tranquilas.

Establecer la seguridad cibernética como un departamento separado

Es tentador pensar en la ciberseguridad como su propio departamento o como una subsección de su departamento de TI. Este enfoque le permite contratar expertos de la industria y canalizar fondos específicos para esta causa. Si bien esto no es necesariamente una mala estrategia, puede ser engañoso y quizás dejarlo abierto para atacar en otras áreas.

En cambio, la seguridad cibernética es algo que funciona mejor con el trabajo en equipo y la colaboración. Por ejemplo, los equipos que emplean prácticas de DevOps a menudo trabajan arduamente para garantizar que la seguridad se incorpore en cada etapa del proceso de desarrollo y que simplemente no se ponga al final.

El gran problema que está tratando de resolver es que hay vulnerabilidades de seguridad en todas partes, en cada departamento de su organización y con cada individuo. Solo trabajando juntos podrán minimizar estas vulnerabilidades.

Implementación de prácticas de contraseña incorrecta

Hablando de vulnerabilidades individuales, muchas organizaciones modernas continúan sufriendo de malas prácticas de contraseña. La mayoría de los ataques cibernéticos y las violaciones digitales no se deben a un pirata informático increíblemente experto, sino al hecho de que un individuo (quizás un experto) no puede encontrar, adivinar o robar una contraseña. Con las credenciales de inicio de sesión correctas, cualquiera puede ser considerado un «hacker».

Las estrategias de contraseña pueden salir mal de muchas maneras. Su personal puede elegir contraseñas débiles o fáciles de adivinar, como las que tienen palabras comunes o conjuntos de números predecibles. Es posible que no puedan actualizar esas contraseñas regularmente. O pueden tener malos hábitos relacionados con el almacenamiento de contraseñas; por ejemplo, pueden mantener una lista de contraseñas escritas en una nota adhesiva desde su escritorio.

Algunas organizaciones también usan contraseñas de nivel de organización, copiando y pegando las mismas secuencias para todas las personas en todas las plataformas. Esto lleva a una gran vulnerabilidad.

Elegir el software incorrecto

También hay algo que decir para elegir el software «adecuado» para su organización. La mayoría de las empresas necesitan una variedad de herramientas diferentes para funcionar de manera efectiva, incluidas plataformas CRM, plataformas de gestión de proyectos y plataformas de comunicación. Cada uno de estos representará una vulnerabilidad potencial; Estas aplicaciones almacenan información relacionada con su negocio y, si se violan, podrían ser un problema real para usted.

Como resultado, deberá pensar detenidamente sobre las herramientas que utiliza. Preste atención a la reputación de los desarrolladores y descubra qué tipos de medidas de seguridad están disponibles; por ejemplo, algunas aplicaciones emplearán características como inteligencia artificial diseñada para seguridad cibernética o estándares de cifrado sólidos.

No se pudo actualizar constantemente

No importa cuán habilidoso sea un desarrollador, ningún software está perfectamente codificado. En cualquier caso, habrá vulnerabilidades de seguridad y problemas de integridad a largo plazo. Si alguien lo comprende y puede aprovechar el defecto.

Afortunadamente, la mayoría de los equipos de desarrollo y las comunidades de código abierto buscan constantemente nuevas amenazas potenciales y, cuando encuentran una, implementan un parche para solucionarlo.

Aquí está la cosa: el parche solo funciona si lo descargas. Sin embargo, muchas organizaciones no pueden actualizar su software o dispositivos de manera consistente. El enfoque más simple aquí es forzar actualizaciones automáticas, pero muchas compañías simplemente permiten que sus empleados se actualicen a sí mismos como les plazca, lo cual no es tan frecuente como debería ser.

Fijando esperanzas en una única solución

Existen varios productos y servicios que pueden minimizar las vulnerabilidades de seguridad, incluidos los firewalls, el software antivirus y las redes privadas virtuales (VPN). Sin embargo, demasiados dueños de negocios ponen todas sus esperanzas en una solución. Creen que, como están usando un firewall, son prácticamente a prueba de balas.

Sin embargo, la protección de datos completa requiere prestar mucha atención a una serie de amenazas potenciales, estudiar el paisaje y emplear soluciones únicas para protegerlo. Si solo está utilizando una o dos técnicas, es probable que esté abierto a atacar de alguna otra manera.

Descuidar las vulnerabilidades de los dispositivos personales.

La mayoría de las empresas en estos días tienen alguna variación de una política para traer su dispositivo (BYOD). Esto funciona bien para ambas compañías, que pueden ahorrar dinero en la compra de dispositivos para los empleados, y para los empleados, que pueden ejercer un mayor control sobre el tipo de dispositivos que usan y cómo los usan. Sin embargo, los dispositivos personales introducidos en su red pueden representar un grave riesgo de seguridad si sus empleados no administran sus dispositivos correctamente.

Además, los empleados pueden usar sus propios dispositivos (con cuentas corporativas) o dispositivos corporativos en redes Wi-Fi públicas no seguras, un riesgo grave de ataques.

Falta de capacitación del personal

Una de las razones más comunes para los ataques cibernéticos a las pequeñas empresas son los simples errores de los empleados. La mayoría de los ciberdelincuentes no son piratas informáticos sofisticados, sino que son oportunistas y buscan formas de explotar la ignorancia o los errores básicos. Por ejemplo, podrían intentar engañar a sus empleados para que renuncien a sus credenciales de inicio de sesión o simplemente esperar la oportunidad de aprender más sobre su organización a través de la ingeniería social. Cuanto más informados estén los miembros del personal, más capacitados están en las prácticas de ciberseguridad, menos vulnerabilidades enfrentarán. Desafortunadamente, la mayoría de los empresarios lo pasan por alto.

No hay una manera fácil de convencer a los empresarios de que tomen en serio la seguridad cibernética, especialmente cuando ya hay muchos ejemplos de compañías que pierden miles de millones de dólares debido a los hábitos de seguridad laxa. Sin embargo, cuanto más sepa sobre las fallas comunes de seguridad cibernética en las empresas, más proactivamente podrá trabajar para evitar que ocurran tales desastres.

Frank Landman

Frank Landman

Frank es un periodista independiente que ha trabajado en varias funciones editoriales durante más de 10 años. Cubre las tendencias tecnológicas en relación con los negocios.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *