El ciberdelito se mitiga con formación y capacitación adecuada

Alfonso.-Ranirez.-Kaspersky
El pasado mes de junio y respaldada por los principales analistas de seguridad TI, incluyendo IOActive, Kaspersky Lab, Bastille y Cloud Security Alliance, se puso en marcha Securing Smart Cities, ambicioso proyecto global sin ánimo de lucro.
“Su objetivo es muy concreto”, comentó a Datagora Alfonso Ramírez, director general de Kaspersky Lab Iberia. “Convertirse en un nodo de comunicaciones entre empresas, gobiernos, medios de comunicación y ONGs de todo el mundo, buscando resolver los problemas de ciberseguridad actuales y futuros de las ciudades inteligentes, mediante la colaboración y el intercambio de información entre distintas organizaciones.
2Nueva-imagen-Kas

Datágora. Tal vez por ello surge una duda: ¿Por qué el problema de ciberseguridad global o urbana en este caso, suele ser tan escasamente considerado en buena parte de estudios y análisis, pese a su trascendencia? ¿Es que no se suele ver este delito como una peligrosa amenaza transversal y global?

AR.   Parece ser que sí. El tema smart cities está de actualidad y muchas organizaciones en todo el mundo trabajan en soluciones inteligentes para que estas ciudades sean eficientes en cuanto a energía, cómodas, ecológicas y seguras. Pero la verdad es que no siempre se tiene en cuenta la ciberseguridad de estas urbes específicas, sin embargo, cuanto más crece el proyecto de smart city, mayor es el riesgo potencial de sufrir un ciberataque. Si esta amenaza no se enfrenta desde el principio, será mucho más difícil abordarla más delante, haciendo que la ciudad sea vulnerable.

Datágora. Sobre la necesidad de poner en marcha una serie de actividades para evitar ciberriesgos, ¿cómo se piensa abordar (al menos de momento) la creación de normas, directrices y recursos que puedan ayudar a mejorar la ciberseguridad en todas las áreas relacionadas con smart cities? Muchas entidades y empresas de diversos países aún mantienen una visión muy “protectora sobre su información”.

AR.   Securing Smart Cities quiere evitar estos ciberriesgos mediante una serie de actividades, como: Educación en las ciudades y proveedores sobre la importancia y beneficios de contar con las mejores prácticas de seguridad; Colaboración con los partners para compartir ideas y metodologías: Promoción de la importancia y los beneficios de la introducción de la seguridad desde el primer ciclo de vida de desarrollo de un proyecto o plan

Pero además, es necesaria la puesta en marcha de asociaciones entre ciudades, proveedores y la comunidad de seguridad, centradas en la creación de normas, directrices y recursos que puedan ayudar a mejorar la ciberseguridad en todas las áreas relacionadas con las smart cities.

Datágora. Pero el ciberataque a Sony Pictures a finales de noviembre dejó en evidencia lo fácil que es poner en apuros a una gran corporación. Aunque el ciberdelito cobra cada día más importancia en los planes de seguridad de las naciones del mundo, la mitad de los países no están preparados para lidiar con el problema.

AR.  Hoy en día, las empresas manejan más información que nunca y se han convertido en el blanco de ataques que los cibercriminales aprovechan para fines delictivos de muchas maneras. Los problemas a los que se enfrentan las empresas no son solo tecnológicos, también tienen su raíz en políticas y procedimientos implementados por ellas. La cibercriminalidad es, cada vez más, una amenaza que solo podrá ser mitigada mediante la formación y capacitación adecuada, consiguiendo así un conocimiento transversal de la problemática en todos los niveles de negocio, aprendiendo las tácticas que los atacantes utilizan para obtener la información que desean.Los expertos de Kaspersky Lab han elaborado una sencilla guía que detalla cuáles son las pautas a seguir ante este reto. Por ejemplo, Falta de cifrado. El robo de datos se ha convertido en un tema empresarial recurrente en 2014, pero parece que podrían haberse evitado estas situaciones indeseadas mediante el cifrado de la información. Muchas veces es inevitable que algunos empleados pierdan o les roben sus dispositivos, pero perder el equipo no es el problema en realidad, sino la facilidad de acceso que tienen los cibercriminales para robar información corporativa en dispositivos no cifrados ni protegidos adecuadamente. Así, el cifrado completo y el establecimiento de contraseñas seguras debe ser una medida obligatoria en todos los ordenadores portátiles y smartphones que usen los profesionales para trabajar.

3Nueva-imagen-Kas

Otro tema. La Estrategia BYOD. Además de asegurar los activos de la compañía, los equipos TIC de las empresas deben proporcionar apoyo y asesoramiento sobre la seguridad a los profesionales que utilizan su dispositivo personal también con fines corporativos, para que no pueda haber ningún flanco de ataque que permita que la información relacionada con la vida interna de la empresa y sus actividades comerciales sea robada. Si estos dispositivos personales se conectan a la intranet de la empresa deben ser debidamente analizados antes de autorizar su acceso a recursos corporativos y a continuación ha de realizarse una segmentación de red y puesta al día del software antimalware y el firewall. Otro tema, Redes sociales e ingeniería social, que van de la mano. Muchos ataques se basan en la confianza que los usuarios tienen en sus contactos pero debe estar en guardia frente a eventuales mensajes del tipo ‘haz clic en mi imagen’, que podrían ser la puerta de entrada a la red corporativa a través de malware.

Datágora. Expertos en seguridad de Unisys anuncian mayores retos en ciberseguridad para el próximo año debido al gran crecimiento en el uso de dispositivos móviles y nuevas aplicaciones en el entorno de trabajo. Además, el incremento en la adopción del Internet de las Cosas en el mundo empresarial hace que para las organizaciones sea muy complicado mantener a salvo su información crítica.

AR.   Si no se protegen…La gran mayoría de los contenidos ‘pirata’ que se pueden encontrar a través de redes P2P contiene algún tipo de malware. El uso de los ‘key generators’, parches y cualquier aplicación sospechosa en el equipo de la empresa debe ser prohibido y controlado. En este caso, la formación a los empleados es fundamental para que conozcan los riesgos de acceder a este tipo de redes y así eviten su uso.

Dejar un USB tirado en el suelo del aparcamiento de una gran empresa ha sido una forma de ataque exitoso tradicionalmente y todavía sigue siendo una táctica que les funciona a los cibercriminales. Si el pendrive infectado lo encuentra algún empleado despistado que, curioso por naturaleza, introduce el USB en su ordenador para ver qué contiene, infectará su equipo con malware con una alta probabilidad. Pero no solo existe riesgo en un ataque de este tipo. El Intercambio de archivos entre los ordenadores de la oficina podría traer una infección desde el ordenador personal de la casa de algún empleado. Si a esto le sumamos la falta de cifrado de muchos dispositivos de almacenamiento externos, tenemos un escenario proclive a la infección de los dispositivos de la empresa, y por lo tanto también de la red interna.

Datágora. También están los problemas generados a través de las conexiones WiFi, la Nube… 

AR.   Bueno, ahí podemos apuntar las Redes inalámbricas. La conexión a una red de WiFi en, por ejemplo, un aeropuerto o un Starbucks, podría ser más peligroso de lo que parece ‘a priori’, al permitir a un tercero monitorizar todo el tráfico de red sin nuestro conocimiento y control. Los expertos de Kaspersky Lab recomiendan el uso de una VPN (red privada virtual) y la autenticación de dos factores del dispositivo en todo lugar público donde se requiera tener una capa extra de seguridad.

En cuanto al Cloud Computing, hay que tener en cuenta que guardar archivos en Dropbox o cualquier otro proveedor de la nube podría llegar a suponer una violación de datos en un futuro próximo, debido a que estos servicios no tienen una política clara de gestión de la privacidad de la información almacenada.

1Nueva-imagen-Kas

Todo ello sin olvidar la Conformidad de los usuarios sobre las medidas de seguridad. Si el establecimiento de medidas de seguridad en determinados sitios de internet resulta demasiado complicado para los usuarios, muchos de estos desistirán de proteger sus datos e información clave. Debe haber auditorías continuas de los sistemas de seguridad de los sites habituales utilizados por los empleados de la empresa para asegurarse de que estos cumplen con las normas de protección necesarias para proteger la información y los sistemas internos de red. Sin olvidar la Gestión de software, ya que actualizar el software debe ser una responsabilidad continua del departamento informático. Si los empleados navegan con su navegador con soluciones antimalware anacrónicas o desactualizadas podría ser aprovechado por los cibercriminales en eventuales ataques como punto de entrada a la red.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.