La tecnología evoluciona a un ritmo increíble. Si bien esto ha aumentado la eficiencia, las oportunidades de negocio y las innovaciones emocionantes, también ha abierto la puerta a un riesgo sin precedentes. Si las organizaciones han evolucionado con la tecnología de los tiempos, también lo han hecho los delincuentes. Ya no están restringidos por las limitaciones físicas, sino que pueden atacar a cualquier persona, en cualquier parte del mundo, con el simple clic de un botón.
Los datos para una empresa son el nuevo oro, así que, al igual que los bancos tienen cajas fuertes de protección, las empresas también necesitan este tipo de bóvedas de protección y prácticas de seguridad.
De la gestión de datos sanitarios a los servicios financieros: nadie está a salvo
Lo que sí sabemos es que los actores de las amenazas tienden a atacar a quienes tienen acceso privilegiado a los datos sensibles. Los ciberataques más importantes de los últimos años lo confirman, con instalaciones sanitarias, bancos y otras instituciones financieras como objetivos desproporcionados. Quizás el más conocido de ellos fue el de 2017 WannaCry, el ataque de ransomware de 2017 que afectó a organizaciones de más de 150 países. WannaCry se dirigió a empresas que ejecutaban versiones antiguas y sin parches de Windows, lo que provocó casi 4.000 millones de dólares en daños totales.
Las cosas tampoco han disminuido desde entonces. La ciberdelincuencia se ha disparado un 600% como resultado de la pandemia COVID-19. A partir de 2022, el 66% de las pequeñas y medianas empresas han sufrido un ciberataque sólo en los últimos 12 meses. Es más, los expertos predicen que para 2023, los ciberdelincuentes habrán expuesto más de 33.000 millones de registros al mundo.
Este es un problema serio, y sólo va a ser más caro a medida que pase el tiempo. Entonces, ¿qué se puede hacer? He aquí cinco maneras en que las organizaciones pueden garantizar la seguridad de sus datos empresariales.
1. Reforzar la infraestructura informática
La infraestructura de TI abarca en general las tecnologías, el hardware, el software y los componentes de red que intervienen en el funcionamiento de los sistemas de información de una empresa. Esto incluye todo, desde los servidores de almacenamiento de datos hasta las plataformas de correo electrónico utilizadas por los empleados.
Como puede imaginar, dado su amplio alcance, la infraestructura de TI es una parte crucial de cualquier organización. Es lo que permite a las empresas almacenar y compartir datos confidenciales, comunicarse con los clientes y llevar a cabo las operaciones diarias.
Objetivo principal de los ciberdelincuentes
Dada la importancia de la infraestructura informática, es esencial que las organizaciones tomen las medidas necesarias para protegerla. Esto significa contar con un sistema de seguridad sólido que detecte y responda a las amenazas en tiempo real, de forma rápida y eficaz.
Invertir en soluciones como pasarelas de correo electrónico seguras, redes privadas virtuales (VPN) y otras medidas de seguridad perimetral siguiendo los protocolos DMARC es un buen punto de partida. Al realizar funciones como el cifrado y la supervisión de la red, estas herramientas pueden dificultar mucho el acceso de los ciberdelincuentes a los datos sensibles.
2. Administrar las auditorías periódicas
Al igual que las auditorías en el mundo empresarial, las auditorías de ciberseguridad son evaluaciones periódicas de la postura de seguridad de una organización. Específicamente, las auditorías de seguridad son evaluaciones exhaustivas de las políticas, procedimientos y tecnologías de seguridad de una empresa u organización. Ayudan a identificar y solucionar posibles vulnerabilidades antes de que se conviertan en problemas. También pueden producirse durante los informes posteriores a la acción para ayudar a determinar lo que salió mal y evitar que vuelva a suceder.
Para garantizar la seguridad de los datos de la empresa, las auditorías son imprescindibles. Sin embargo, muchos todavía no las administran con regularidad. De hecho, un estudio reciente mostró que el 47% de las pequeñas empresas no saben cómo protegerse contra los ciberataques, y muchas no tienen una estrategia formal de ciberseguridad.
La falta de preparación es real en la protección de datos
Esta falta de preparación es un problema grave, ya que deja a las empresas vulnerables a los ataques. Esto es especialmente atroz para cualquiera que esté a cargo de la gestión de datos sanitarios o de otros datos sensibles de los clientes, ya que los registros robados probablemente acabarán vendiéndose en la Dark Web. Los ciberdelincuentes siempre están evolucionando y actualizando sus métodos; las empresas que no hacen lo mismo con sus defensas están en grave desventaja.
Las auditorías periódicas ayudan a cerrar esta brecha al garantizar que la postura de seguridad de una organización está al día. Deben realizarse al menos una vez al año, y con mayor frecuencia si se producen cambios significativos en la infraestructura de TI o en la postura de seguridad.
3. Limitar el acceso a los datos
Los datos son la savia de una empresa. Por eso, los datos deben estar restringidos a los empleados que "necesitan saber" y a nadie más. Cuanto mayor sea el acceso a los datos, mayor será la probabilidad de que los actores de la amenaza acaben encontrando un hueco. Cuantos más datos tenga una organización, más se puede perder en caso de una filtración.
Limitar el acceso a los datos mitiga este riesgo, por lo que las organizaciones deberían emplear técnicas como los controles de acceso basados en roles y la clasificación de datos. Adoptar estas medidas hace mucho más difícil que los ciberdelincuentes se hagan con información sensible. También es un paso obligatorio para garantizar la seguridad de los datos de la empresa.
4. Eliminar la información obsoleta e implementar copias de seguridad seguras
Para determinados sectores, como la sanidad y los servicios financieros, la privacidad y la seguridad de los datos lo son todo. En el caso de la sanidad, puede significar la vida o la muerte. Las organizaciones de estos sectores manejan información extremadamente delicada que requiere el cumplimiento de normas estrictas, como la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) en Estados Unidos.
Uno de los aspectos más importantes de la privacidad de los datos es la eliminación de información personal identificable (Pii) que ya no se necesita. Esto incluye cosas como registros antiguos de clientes, datos financieros y archivos de empleados. No hacerlo deja a las organizaciones expuestas a los ataques, ya que los ciberdelincuentes pueden aprovechar la información obsoleta para acceder a sistemas sensibles.
También es crucial realizar copias de seguridad diarias y disponer de copias de seguridad seguras en caso de que se produzca un ataque. Esto permite a las organizaciones restaurar rápidamente sus sistemas, minimizando cualquier impacto de la violación de datos.
5. Adoptar una mentalidad de seguridad
Una de las formas más importantes de mejorar la seguridad es cambiar la forma de pensar de los empleados. La mayoría de los empleados piensan por defecto que "la seguridad de los datos es el trabajo de otros". Por supuesto, este no es el caso y todo el mundo, desde el director general hasta la sala de correo, debería recibir una formación de concienciación en materia de seguridad para hacer entender este punto. La seguridad de los datos es responsabilidad de todos.
Para quienes tienen acceso privilegiado a datos sensibles, como los responsables del cumplimiento de la normativa, los directivos o los profesionales de la gestión de datos sanitarios, es necesario impartir una formación de seguridad adicional y personalizada.
El resultado final: Todos los empleados deben conocer los riesgos y las posibles consecuencias de una violación de datos. Igualmente importante es que sepan qué hacer en caso de ataque. La creación de una cultura de seguridad salvaguardará datos valiosos, por no hablar de los puestos de trabajo.
Nota de despedida
A medida que el panorama de las ciberamenazas sigue evolucionando, también deben hacerlo las prácticas de seguridad de los datos. Si no lo hacen, serán vulnerables a los ataques, con enormes consecuencias en cuanto a la pérdida de ingresos y de relaciones con los clientes. Adoptar los pasos anteriores garantizará la seguridad de los datos empresariales para organizaciones de todo tipo y tamaño.
Para más información sobre la formación de concienciación de seguridad de ThriveDX, por favor visite aquí.
