Tabla de contenido:
- Adoptando las actitudes correctas
- Traiga su propio dispositivo ... o traiga su propia violación de datos?
- Las pymes pueden quedar atrás
En un informe reciente, McAfee declaró 2014 "el año de la violación", y es fácil ver por qué. Varias compañías y corporaciones de alto perfil han sufrido violaciones de datos paralizantes desde enero, de más de 50 millones de personas en Home Depot a más de 70 millones en JPMorgan. Mientras tanto, Staples, PF Chang's, Goodwill y muchos otros han caído presas del cibercrimen.
Según el Índice de Nivel de Infracción de SafeNet para el tercer trimestre de 2014, hubo 320 violaciones de datos reportadas entre julio y septiembre, el 46% de las cuales involucraba robo de identidad.
Burbujear bajo la superficie de estas notificaciones de incumplimiento importantes es una oleada de violaciones de datos de bajo perfil que ocurren cada semana de las que es menos probable que escuche. Un objetivo como Home Depot brinda la oportunidad de un día de pago masivo, pero también es un riesgo mayor e implica una gran planificación del trato. Por lo tanto, no es tan sorprendente ver a algunos piratas informáticos apostando por frutas bajas como las pequeñas empresas (PYMES). Estos producirán días de pago más pequeños, pero pueden ser abundantes si se eliminan varios sucesivamente.
Mientras tanto, los delincuentes cibernéticos están utilizando nuevas herramientas para apuntar a las PYMES, dice Trend Micro en uno de sus últimos informes sobre keyloggers, que los piratas informáticos pueden usar para extraer datos de la compañía.
"Las pequeñas y medianas empresas tienen esta falsa sensación de seguridad, pensando que tal ataque nunca les sucederá", dice Gary Davis, evangelista jefe de seguridad del consumidor en McAfee. "Las amenazas a la seguridad no discriminan por el tamaño de la organización y para las pymes cuyos empleados usan múltiples dispositivos, es cada vez más crucial contar con soluciones de seguridad exclusivas".
No necesita excavar demasiado para encontrar ejemplos de infracciones pequeñas a medianas. El hotel Houstonian en Houston, Texas, vio los detalles de la tarjeta de crédito de 10, 000 clientes expuestos durante una violación de seguridad a principios de este año. En una escala más pequeña pero no menos grave, la tienda de equipos deportivos para exteriores Backcountry Gear, con sede en Oregón, que envía productos a todo Estados Unidos, descubrió malware en su sistema en julio de 2014 que puede haber comprometido los datos de los clientes.
"El problema es que muchas de estas compañías simplemente no consideran la seguridad como algo que deben hacer, sino más bien como algo que tienen que hacer", dice Marcus Ranum, director de seguridad de Tenable Network Security. "Siendo sinceros, a menudo adoptan un enfoque mínimo en el mejor de los casos, y subcontratan e intentan diferir la responsabilidad".
Adoptando las actitudes correctas
La seguridad funciona mejor cuando se trata como un "proceso comercial central", según SMB Security Guide, un sitio que aconseja a las pequeñas empresas sobre las mejores prácticas de seguridad.
Se necesita una formación básica básica para cualquier pequeña empresa en la protección de sus activos digitales. Davis dijo que los empleados deben estar capacitados para usar contraseñas únicas y difíciles, y los dueños de negocios necesitan conocer sus datos por dentro y por fuera, dónde está almacenado todo y quién tiene exactamente acceso a ellos. Es probable que tener un libro abierto sobre datos entre los empleados conduzca a una fuga de datos, ya sea deliberada o accidental.
En otros lugares, los dueños de negocios deben asegurarse de que sus aplicaciones y sistemas operativos también se actualicen, pero la seguridad cibernética es multifacética y también puede tener una presencia física. ¿Quién tiene acceso a las habitaciones donde se almacenan los discos duros, por ejemplo?
"No permita que extraños deambulen por los pasillos y limite el acceso físico con puertas cerradas y sistemas de entrada administrados", dice Davis. "Asegúrese de realizar una verificación exhaustiva de antecedentes y referencias antes de contratar nuevos empleados".
Traiga su propio dispositivo … o traiga su propia violación de datos?
La Guía de respuesta de violación de datos 2014/2015 de Experian y el Instituto Ponemon exponen el caso para desarrollar una política de respuesta de violación rígida. Las políticas efectivas en todos los ámbitos ayudarán a cualquier empresa a lidiar mejor con sus infracciones de datos, especialmente en el caso de empresas con prácticas BYOD, que crean más y más vías para que ocurran infracciones.
BYOD en la oficina se está volviendo inevitable, dice el asesor de seguridad de F-Secure, Sean Sullivan.
"Desde el punto de vista del usuario, BYOD es una gran idea, pero desde el punto de vista de la seguridad, es una idea terrible", dice. "Estás jugando a la lotería de la mala suerte; las probabilidades son pequeñas, pero el primer premio es una pérdida sustancial de dinero".
El dispositivo pertenece al individuo y esto plantea problemas relacionados con la responsabilidad, por lo que idear una política de hierro es vital y debe complementar la capacitación de sus empleados en protocolos de seguridad.
"Recomendamos que las organizaciones brinden a sus empleados capacitación adicional sobre los dispositivos físicos", agrega Sullivan. "Al ofrecer a los empleados una excelente experiencia de usuario, es menos probable que se ignoren las pautas de la compañía relacionadas con la seguridad".
Las pymes pueden quedar atrás
Se alienta a las pequeñas empresas a adoptar un enfoque proactivo para la seguridad y adoptar las mentalidades de las grandes empresas, ya que nadie más lo cuidará.
"En realidad, la industria de la seguridad ha decepcionado a las pequeñas y medianas empresas", dice Paul Lipman, CEO de iSheriff, una empresa de seguridad en la nube con sede en Redwood City, California. Las pequeñas y medianas empresas pueden perderse en la conversación y no reciben la misma atención cuando se trata de seguridad, a menudo dejándolas valerse por sí mismas.
Es posible que las pymes no tengan tanto para ofrecer un cibercriminal como un Home Depot o un Target, pero las empresas aún tienen mucho que perder.
"No están interesados en robar secretos o propiedad intelectual como los piratas informáticos dirigidos a empresas más grandes", dice Lipman, pero donde hay un negocio, hay dinero y los ciberdelincuentes atacarán cualquier cosa que sepan que pueden penetrar.
Algunas empresas se están volviendo cada vez más conocedoras de la tecnología, pero la parte crucial es que las pymes no pueden tomarse su tiempo con esto. La tecnología, y las amenazas cibernéticas, están evolucionando a un ritmo sorprendente.
El informe del propietario de pequeñas empresas del Banco de América establece que el 80% de las pequeñas empresas han incorporado "algún tipo de método digital" en sus negocios, pero esto puede incluir las redes sociales y la seguridad. ¿Cuánta atención se está prestando para reforzar la seguridad y se está prestando para ampliar el alcance de las redes sociales?
La firma de seguridad BitSight publicó una nueva investigación en noviembre de 2014 que corrobora muchas preocupaciones sobre la seguridad de las empresas, especialmente minoristas, y señala que la integridad de la seguridad ha disminuido en estas empresas.
"Si bien es alentador que la mayoría de los minoristas violados hayan mejorado su efectividad de seguridad, hay más trabajo por hacer, especialmente en el área de gestión de riesgos de proveedores", dijo el CTO de BitSight, Stephen Boyer, al anunciar la investigación.
Plantea varias preguntas. Si es propietario de una pequeña empresa, ¿ha auditado las prácticas de seguridad de su empresa y evaluado cuál es la seguridad en su jerarquía? A medida que las amenazas cibernéticas evolucionan, las pequeñas empresas deberán hacer lo mismo.