Saltar al contenido

Lo que preocupa a la seguridad de las pequeñas y medianas empresas

La seguridad de la información es clave en el control interno de las pequeñas y medianas organizaciones ahora y en los años futuros, según una reciente investigación de Thomson Reuters.

De hecho, “las preocupaciones de seguridad informática permean el control interno incluso en las corporaciones más pequeñas”, según un nuevo informe de Thomson Reuters Cómo las pequeñas y medianas entidades pueden protegerse de una violación de la seguridad cibernética.

Lo que preocupa a la seguridad de las pequeñas y medianas empresas
Lo que preocupa a la seguridad de las pequeñas y medianas empresas

“Las organizaciones modernas dependen de sus sistemas de información para llevar a cabo casi todos sus negocios; cualquier debilidad en la seguridad de la información pone en peligro a toda la organización”, según el informe. “Las organizaciones que sufren una violación de la seguridad no sólo se enfrentan a trastornos internos, sino que también pueden estar sujetas a sanciones gubernamentales, multas de la industria, demandas de los consumidores y, sobre todo, daños a la reputación”. (Target, por ejemplo, tuvo que pagar 18,5 millones de dólares para resolver las demandas presentadas en 47 estados y el Distrito de Columbia relacionadas con una base de datos a finales de 2013.

Pero no se trata sólo de los dólares que hay que pagar. El estudio sostiene que “la principal preocupación de una organización es un fallo informático, por pequeño que sea, que comprometa todo el sistema y permita a un hacker acceder al software de aplicación y a los datos de origen”.

De hecho, “muchos sistemas y organizaciones siguen siendo infectados por usuarios que hacen clic en un archivo adjunto de un correo electrónico, o por usuarios que comparten contraseñas”, sostiene el estudio. “Un estudio reciente de Willis Towers Watson encontró que casi el 90 por ciento de todas las violaciones de seguridad cibernética fueron causadas por algún tipo de error o comportamiento humano.

Empresas de todos los tamaños luchan constantemente para defenderse de los piratas informáticos de todo el mundo que intentan robar identidades, información de tarjetas de pago y propiedad intelectual, y manipular los sistemas de la empresa para generar pagos fraudulentos. Estos malhechores también pueden penetrar en el entorno informático de la empresa para crear falsos proveedores en el sistema de pago, enviar facturas por correo electrónico (desde las cuentas de correo electrónico de los empleados como archivos adjuntos) y luego aprobar las facturas por correo electrónico, utilizando la codificación de la cuenta de otras cuentas de correo electrónico de los empleados”.

Además, los delincuentes pueden duplicar los procesos de la empresa con el fin de engañarla para que transfiera grandes pagos en efectivo directamente a los delincuentes. “En este sofisticado y evolutivo entorno de piratería informática, todo sistema expuesto a Internet u otras interfaces externas debe ser protegido contra la intrusión digital”, según el informe. “La seguridad adecuada debe incluir la educación del usuario y la aplicación de controles preventivos, detectives y reactivos”.

Entonces, ¿quiénes son estos hackers?

El informe de Thomson Reuters los describe así:

– Los “sombreros negros” buscan robar información o comprometer de alguna manera la seguridad de la información de las entidades. Obtienen datos a través del compromiso ilegal de sistemas descuidados, mal diseñados o poco protegidos. A menudo son noticia, propagando malware o robando información financiera, personal y credenciales de acceso.

– Los “sombreros blancos” quieren proteger la seguridad de la información de las entidades. A menudo son expertos en seguridad tecnológica, y trabajan para encontrar las debilidades de seguridad.

– Los “sombreros grises” hacen hacking que pueden violar la ley pero no son maliciosos.

– Los “Hacktivistas” son activistas sociales, como Anónimo, que hackean sitios web para avanzar en un ángulo social, político o religioso.

Los hackers han demostrado ser expertos en eludir los sistemas de las empresas. Son capaces de acceder a los sistemas de la compañía; a menudo, eso se hace a través del correo electrónico.

El hackeo no es particularmente difícil de frustrar. Como dice el informe, “La gente es su peor enemigo y muchos usan contraseñas similares, según Fortune.com”. A finales de 2017, las dos principales contraseñas de todos los tiempos eran “password” y “123456”.

Así es como funciona, el estado del informe: “Los hackers identificarán entonces el número de intentos fallidos de usuario que bloquean la cuenta y el período de tiempo para los intentos de bloqueo. Configurarán su programa para que se detenga en un intento menos que el bloqueo, esperen el tiempo asignado y vuelvan a intentarlo”. Una sola computadora intentará esto simultáneamente en muchas cuentas y en muchas computadoras al mismo tiempo.

Por ejemplo, muchas empresas utilizan la primera letra del nombre de los empleados y los primeros siete a diez caracteres de sus apellidos seguidos del nombre de dominio de la empresa. Imagine que miles de ordenadores intentan simultáneamente acceder a miles de cuentas de usuario utilizando nombres de usuario fáciles de encontrar o deducir, por ejemplo, buscando en un sitio de medios sociales como LinkedIn , que proporciona los nombres de personas reales y sus empresas asociadas. Estos ataques se conocen como amenazas persistentes avanzadas (APT).

Entonces, ¿cuál es la lección para las pequeñas empresas?

“Deben entender que los APT están jugando a largo plazo”, dice el informe. “El objetivo no suele ser simplemente hackear el sistema de una empresa una vez y robar una lista de números de tarjetas de crédito o propiedad intelectual, sino lograr ese mismo objetivo de forma sistemática y, posiblemente, para siempre”.

Cada empresa debe documentar la información que tiene, dónde se guarda y cómo se protege. Esta información incluye:

– Direcciones de correo electrónico

– Nombres de empleados y su información personal como números de teléfono y direcciones.

– Cualquier información de identificación personal, que incluye listas de clientes y el historial de compras del cliente

– La información personal de salud, que también está sujeta a las leyes estatales y federales

– Información sobre tarjetas de crédito, cuentas bancarias y otros pagos

– Propiedad intelectual de todo tipo relacionada con el negocio de la empresa

– Información financiera, de ventas y cualquier otra información comercial sujeta a las reglas de divulgación de la SEC

– Cualquier otro dato que sea exclusivo de la empresa, cuya divulgación podría perjudicar la ventaja competitiva de la empresa u otorgar a cualquier otra empresa o país conocimientos exclusivos que no se podrían obtener de otro modo