Estrategias de ciberseguridad para mitigar las vulnerabilidades y reforzar controles

by  Publicado pordlabori@acfcs.org -

En una era de crecientes amenazas cibernéticas, las empresas saben que tienen que reforzar los sistemas, y los empleados deben saber que tienen que tener cuidado con lo que entra y sale de sus correos electrónicos.

Pero la ciberseguridad es a veces un revoltijo de dinámicas que se yuxtaponen. La competencia entre los departamentos de sistemas y las empresas que se muestran preocupadas por los costos significa que por lo general no es el mejor sistema el que se consigue poner en funcionamiento, sino el que está al alcance del bolsillo de la compañía.

Los delincuentes también se mueven por el camino de la menor resistencia, esperando que alguien simplemente no esté prestando atención a ese extraño email que se deslizó a través de los filtros de spam y pide a un empleado que actualice la información de su cuenta. Las instituciones financieras buscan mayor integración e interconexión, pero eso también significa que cualquier apagón del sistema tiene mayor repercusión. Además, controles más fuertes para que las empresas y los clientes accedan a servicios y sistemas en línea significa mayores costos y posiblemente mayores demoras para tener acceso a la información, que podría fastidiar a varios titulares de cuentas.

Una cosa en la que los expertos están de acuerdo es que hay algunos enfoques y medidas –de poca sofisticación tecnológica—que las instituciones pueden tomar para proteger mejor sus bóvedas virtuales de los ataques cada vez más eficaces que han afectado significativamente bancos y minoristas – como JPMorgan, Target y otros. Estas soluciones se encuentran en una combinación de capacitación de los empleados, evaluaciones de riesgo cibernético y la comprensión de los patrones de ataque clásicos y emergentes.

«El elemento humano es una de las mayores debilidades» en las actuales medidas cibernéticas que están utilizando bancos y otras empresas, dijo Nicole Bocra, directora de la firma Investigative Solutions y ex investigadora especial de FINRA. «La gente está tan acostumbrada a abrir archivos adjuntos. Poder explicarles que no haga eso es un tema muy importante en el mundo cibernético».

Los delincuentes tampoco están limitando sus ataques a computadoras, están moviendo virus y otros códigos hacia los dispositivos móviles, incluyendo teléfonos inteligentes, dijo. En un ataque reciente, un grupo de hackers envió correos electrónicos con extraña letras árabes a personas que al abrir o solo ver un avance de este correo en sus iPhone, podría apagar el teléfono.

Aquí les presentamos algunas de las mejores medidas que las instituciones pueden tomar para capacitar a los empleados para tomar mejores decisiones, creando de esta manera menos oportunidades para los delincuentes:

Missing link o vínculo faltante: educar a los empleados para que no hagan clic en enlaces o archivos adjuntos de correo electrónico de personas y empresas que no reconocen. Si no están seguros, enseñarles que pueden pasar el mouse por encima del nombre del remitente para que se revele la dirección de correo electrónico relacionada sin tener que hacer clic en el mismo.

Atención: para garantizar que la capacitación en ciberseguridad está pegando, algunas compañías han enviado mensajes de correo electrónico de prueba con los remitentes ficticios, con errores de ortografía y/o gramaticales y los archivos o vínculos infectados. Cualquier empleado que haga clic en estos enlaces deberá someterse a la capacitación obligatoria de ciberseguridad.

Contraseñas: Esto puede parecer obvio, pero las empresas deben exigir cambios regulares de contraseñas, posiblemente tras algunos meses. Además, a los empleados se les debe enseñar cómo crear contraseñas que sean más difíciles de hackear, incluyendo letras mayúsculas y minúsculas, números y caracteres especiales, como signos de exclamación.

Wi-Fi: dejarles saber a los  empleados que las infecciones pueden ocurrir mientras no están en el trabajo, en una computadora portátil, teléfono o tableta, y que luego pueden infectar las computadoras y las redes en el trabajo cuando se conectan a ellas. Por ejemplo, los empleados deben tener cuidado con el wi-fi por el tema de conexiones públicas inseguras y peligrosas.

Al responder a los correos electrónicos o los proyectos de la empresa a través de una red Wi-Fi insegura, ésta puede exponer involuntariamente el contenido de sus mensajes de correo electrónico. Las empresas deberían considerar el uso de redes privadas virtuales (VPN) que proporcionan cifrado de datos o solo utilizar redes Wi-Fi de confianza a las que se ingresa con el uso de contraseña.

Por mucho que las empresas desean capacitar a los empleados más jóvenes, sin embargo, la fuerza del mensaje viene por parte de los ejecutivos y el liderazgo de éstos debe ser juzgado previamente, antes de que ocurra el ataque.

Esté preparado: «Una de las cosas que una empresa puede hacer para prepararse mejor es participar en ejercicios de simulación con entrenamiento en vivo», señala Joseph DeMarco, socio de la firma neoyoquina DeVore & DeMarco y ex fiscal federal asistente para el Distrito del Sur de Nueva York, donde dirigía el programa de hacking informático. «Usted puede juntar a ejecutivos en la misma sala y hacerlos experimentar escenarios de filtración» para medir la exactitud y pertinencia de las respuestas y hacer mejoras antes de que ocurra un ataque grave.

Evaluaciones de las amenazas: «No existe una cura cierta» para evitar ataques cibernéticos, señala John Walsh, director ejecutivo de SightSpan, una consultora en el tema de cumplimiento. Pero la prevención, la detección y la respuesta son de importancia crítica. Pero los bancos y las empresas sólo pueden saber qué áreas deben fortalecer si realizan una evaluación de las amenazas de ciberseguridad.

«Los ladrones realizan evaluaciones de amenazas de vulnerabilidad» y el gobierno ha estado haciendo modelos de riesgo similares durante décadas, por lo que le tocaría a las operaciones participar en iniciativas similares, dijo.

Sorprendentemente muchas empresas, después de la compra de software y asegurar los sistemas, no tomarán el paso extra para ver qué áreas todavía podrían quedar relativamente abiertas y vulnerables, ya sea por fallos de sistemas, falta de conciencia o de capacitación del personal, dijo Walsh.

Hacer este ejercicio y crear los cimientos de los que constituye actividad de red normal y esperada en toda la compañía e incluso en ciertos departamentos o estaciones de trabajo individuales, podría ayudar al personal de seguridad cibernética cuando se dispara el movimiento de datos, que podría ser un indicativo de una filtración, señala Walsh.

Conozca los costos

El hacking es muy costoso, además de crear enormes inconvenientes

La ciberdelincuencia ha superado al tráfico ilícito de drogas en lo que respecta a la rentabilidad para el crimen organizado y los grupos de hacking.

Como resultado de estos ataques virtuales, la identidad de alguna persona es robada cada tres segundos.

Sin al menos un programa de seguridad, ya sean firewalls, antivirus, los datos no protegidos pueden infectarse a los cuatro minutos de que se realiza una conexión a Internet

Los ciberataques también son costosos. El año pasado, el costo promedio de la filtración de datos a una compañía de EE.UU. fue de US$6 millones.

Paralizarse: las empresas pueden mostrarse reacias a revisar sus sistemas de seguridad cibernética una vez que instalan sus sistemas y solo quiere depender de las actualizaciones provistas por los proveedor-, debido a los costos o las limitaciones de recursos.

Pero las tácticas de ataques cibernéticos «cambian con frecuencia, y las políticas deben ser flexibles para cambiar con ellas», dijo Karen Lissy, una científica social de investigación en RTI International en Research Triangle Park.

«Y esté abierto a las oportunidades de ingeniería», dijo. «Si usted descubre que puede diseñar un programa para mitigar cierta amenaza cibernética, de esta manera usted puede minimizar la incertidumbre del elemento humano”.