Conoce las claves de la innovación en ciberconcienciación

Con este artículo queremos poner de relieve la importancia que en el mundo digital en el que vivimos tiene la ciberseguridad en las organizaciones.

Algunos datos

Los datos estadísticos arrojados por estudios recientes así lo corroboran. Veamos algunos:

• El 70% de las organizaciones cree que su riesgo de seguridad creció considerablemente en el último año.

• Se estima que para este año 2020, el número de contraseñas utilizadas alcanzará la cifra de 300 billones.

• El 43% de los ciberataques afectan a pequeños negocios.

• Doscientos Treinta Mil, (230.000), nuevos malware son producidos cada día, y está previsto que este número siga incrementándose.

• 90% de los hackers cubren sus rastros utilizando encriptación.

• El periodo estimado de detección de una brecha de seguridad por una compañía es de 6 meses.

• Windows es el sistema operativo más atacado por hackers, Android ocupa el segundo lugar.

• Hubo más de 3 millones de golpes de crypto-jacking en los últimos 6 meses.

Estos datos, por sí solos, hacen que los departamentos de TI de las organizaciones tengan entre sus procesos prioritarios la implementación de medidas de seguridad y que el numero de personas que estos departamentos dedican a la protección de los datos de la organización se vea incrementado constantemente.

Ahora bien, son los empleados de las organizaciones que no forman parte de estos departamentos, (no son técnicos ni expertos en seguridad), los que constituyen el objetivo principal de los hackers. Por ello, la formación y concienciación de estos empleados resulta fundamental para contribuir a minimizar los riesgos de experimentar episodios de ciberataques que consigan penetrar en los sistemas de información de la organización.

Veamos algunos conceptos clave acerca de: en qué consisten los ciberataques, cuales pueden ser sus efectos perniciosos en la organización, como ésta puede protegerse frente a ellos y, muy importante, como puede formar y concienciar al conjunto de sus empleados en la importancia de prevenirlos.

Ciberataques, ¿qué son y qué tipos hay?

Un delito informático o ciberataque, es toda aquella acción ilegal que se da por vías informáticas o que tiene como objetivo destruir y dañar ordenadores, medios electrónicos y redes de Internet. Muchos de estos delitos, al no estar tipificados en la ley, se definen como abusos informáticos.

¿Qué tipos de Ciberataques hay?

Dependiendo del objetivo a conseguir o del daño que se desee provocar, los ciberataques pueden presentarse de diferentes maneras. Para alcanzar sus objetivos, el ciberdelincuente utiliza una serie de técnicas, las cuales se aplican de forma individual o combinada. Hay múltiples técnicas, aquí vamos a citar las más habituales, las asociadas a ingeniería social las explicaremos en otro artículo:

• Los virus informáticos: Un Virus Informático consiste, esencialmente, en un programa malicioso, que pretende infectar a otros archivos contenidos en los sistemas infectados, con objeto de producir modificaciones o daños en su sistema operativo, archivos o en ambos.

• El SPAM: Conocemos como “Spam” a aquellos mensajes o correos electrónicos no solicitados o de remitente desconocido, (correos anónimos), habitualmente contienen publicidad y generalmente son enviados en grandes cantidades. Su objetivo es perjudicar al receptor de una o varias maneras.

• El Spoofing: Esta tipología de ataque consiste en simular la identidad de una máquina de la red, de la cual el sistema receptor “se fía”, para conseguir acceso a recursos del sistema objetivo del ataque.

• Archivos espía: Conocidos también como Keylogger, son programas que registran y graban secuencias de pulsación de teclas e incluso de clicks de ratón con el objetivo, en la mayoría de las ocasiones, de acceder a credenciales de acceso: Nombres de Usuario, Contraseñas, etc.

• Troyanos: También conocidos como “Caballos de Troya” son una clase de virus que se caracteriza por engañar a los usuarios, disfrazándose de programas o archivos habituales, (fotos, archivos de música, archivos de correo, etc. ), con el objeto de infectar y causar daño.

¿Qué consecuencias pueden tener?

Entre los efectos que pueden provocar estos ataques podemos destacar:

• Intrusiones no autorizadas: Hoy en día es raro el ordenador que no está conectado a Internet. La posibilidad de acceder remotamente a los equipos abre la puerta a los accesos maliciosos por parte de personas no autorizadas. Una intrusión puede tener básicamente dos efectos negativos: la filtración de información confidencial, y la destrucción de datos por parte del intruso.

• Saturación de correos: La principal consecuencia de este tipo de ataque radica en la saturación del correo electrónico por la gran cantidad de datos que recibe, impidiendo la recepción y envío de los emails reales y necesarios.

• Robo de información: Más del 40% de los programas maliciosos que se envían vía mail tienen como finalidad robar información personal y financiera.

¿Cómo puedo protegerme?

Las claves principales para evitar un ataque en una organización son sencillas y nos proporcionan el paso previo a la ciberseguridad que la compañía necesita:

• Concienciar a los trabajadores. Como comentábamos, sufrir un ataque de un hacker o un virus en el servidor es un hecho bastante común en la era digital. Formar y concienciar a los trabajadores de la empresa ante esta posibilidad es esencial para que datos privados no puedan ser invadidos por usuarios no deseados.

• Evitar contenidos desconocidos. Abrir correos, descargar archivos adjuntos o clicar en enlaces sospechosos son las principales fuentes de ataque en un ordenador. Conocer las consecuencias que puede conllevar para la compañía, hará que no abramos o descarguemos contenido no deseado.

• Proteger los equipos informáticos. Invertir en seguridad informática mediante firewall o cortafuegos efectivos será una gran tranquilidad que prevendrá la gran mayoría de ataques, sobre todo si la organización cuenta con una Intranet en su sitio web, pues esos contenidos estarán en la red. Es decir, expuestos todo el tiempo a posibles invasores.

Por tanto, para toda compañía sea del tamaño que sea, es muy recomendable que se plantee la implementación de medidas de ciberseguridad, pues son necesarias para no encontrarse posteriormente con situaciones como la infección de los equipos conocida como “malware”, o la copia de una identidad conocida como “phishing”, donde pueden tomar el control de un ordenador y conseguir toda la información almacenada dentro de él.

¿Puedo hacer algo más para estar mejor protegido?

Otras acciones que las organizaciones pueden poner en práctica para alcanzar un nivel de protección razonable ante potenciales ataques son:

• Asegurar la protección de los datos de la organización. Mediante una auditoría, seremos capaces de conocer qué datos pertenecientes a nuestra compañía pueden ser de dominio público y aparecer en la red. Aquellos datos corporativos que no lo sean son los que debemos proteger de posibles impactos negativos para el negocio.

• Utilizar contraseñas seguras. Usar claves de seguridad sólidas que no correspondan a una palabra existente, que sean suficientemente largas, (6 a 8 caracteres), y en las que se alternen números, mayúsculas y signos de puntuación es un método muy seguro para proteger una cuenta.

• Realizar análisis diarios. Establecer procesos de revisión diaria de posibles ataques internos. Puede ocurrir que un cliente o trabajador esté intentando atacar a la empresa con el objetivo de obtener datos privados.

• Se consciente de la posibilidad de un ataque. Invertir en seguridad informática no quiere decir que no recibamos alertas o posibles ataques. Estaremos más protegidos en todo momento, pero siempre puede haber un incidente. Advertir a los empleados de esta posibilidad nos ahorrará ataques provocados por la inconsciencia.

• Restringe el acceso a los equipos. No es necesario que todos los empleados tengan acceso a todos los contenidos e informaciones de los equipos de la compañía. Es muy recomendable que los trabajadores tengan acceso, solo a la información que sea necesaria para la realización de las funciones inherentes a sus puestos de trabajo y que dicho acceso se encuentre restringido mediante contraseñas fuertes.

• Protege todos los dispositivos conectados. Los teléfonos móviles, relojes inteligentes, smart-TV o tabletas, conectados a la red wi-fi de la organización pueden ser fuentes de infección si no cuentan con una protección apropiada.

• Realiza copias periódicas de seguridad. Es indispensable tener copias de todos los datos de la compañía, tanto los que se encuentran fuera; en Internet como dentro para, ante posibles ataques, poder restaurar todo lo perdido.

• Inhabilita los accesos desde varios sistemas. Elige un equipo para acceder a tus datos corporativos, no dejes que múltiples ordenadores de tu negocio tengan acceso a esos contenidos.

¿Cómo puedo concienciar a mis empleados sobre la amenaza constante de ciberataques?

La respuesta a esta pregunta es sencilla: Formación, formación y más formación. Esta formación puede ser tradicional: asistencia a cursos o charlas sobre ciberseguridad, “las de toda la vida”. O, si quieres tener un mejor resultado, puede ser diferente, o también podíamos llamarla, innovadora.

En GamePaths entendemos como formación diferente o innovadora a aquella que incorpora conceptos, contenidos, elementos y tecnologías que hacen posible que las organizaciones que imparten este tipo de formación, vean mejorados los índices que miden su eficacia e idoneidad, a saber:

• Incremento de hasta un 70%, del nivel de retención de los conocimientos adquiridos.
• Mejora de la experiencia de aprendizaje de los empleados que reciben este tipo de formación.

En GamePaths, a la hora de plantearnos el Diseño y Desarrollo de plataformas y soluciones de formación y concienciación en ciberseguridad, tenemos muy en cuenta estos conceptos y somos muy conscientes de que el factor humano constituye el eslabón más débil de la cadena de la ciberseguridad. Por ello nuestras soluciones hacen posible que el usuario adquiera conocimientos y habilidades en ciberseguridad, aprendiendo y concienciándose de manera diferente.