Saltar al contenido

Un Plan de Concienciación y Acción para Combatir las Amenazas a la Seguridad de la Ingeniería Social

A fin de dedicar un esfuerzo sostenido a garantizar que la información de los clientes sea utilizada de manera segura por la empresa, los contadores deben estar atentos y capacitados para identificar y mitigar el riesgo de violaciones de la seguridad.

Para las empresas de contabilidad y sus profesionales que acceden, utilizan y transmiten directamente datos extremadamente sensibles para sus clientes, las consecuencias de una violación de datos o de un ciberataque pueden ser enormes dado el alto valor de la información que se ve comprometida. Las cuentas bancarias, los números de la seguridad social, el historial financiero, la información de empleo y más – que es personalmente identificable para un individuo o el personal de una empresa en general – es un tipo de datos de muy alto riesgo para acceder, transmitir, almacenar y retener a largo plazo.

Un Plan de Concienciación y Acción para Combatir las Amenazas a la Seguridad de la Ingeniería SocialUn Plan de Concienciación y Acción para Combatir las Amenazas a la Seguridad de la Ingeniería Social

Un riesgo peligroso, aunque desafortunadamente común, viene por medio de la “ingeniería social”, que es una táctica que los hackers utilizan para engañar a las víctimas con trucos psicológicamente manipuladores. Las empresas de contabilidad pueden arriesgar los datos de sus clientes sin saberlo y sin querer estar entregando datos cuando sus empleados son engañados con tácticas de ingeniería social para descargar malware o introducir datos en sitios falsos. El principal vector de estos ataques es el phishing.

En resumen, es necesario proporcionar a los empleados una formación de concienciación en materia de seguridad y tener un plan de acción para contener cualquier daño.

Aquí hay algunos consejos estratégicos sobre cómo combatir las tácticas de ingeniería social para proteger su marca como empresa de contabilidad confiable y para asegurar que los datos de sus clientes se utilicen de manera segura dentro de su empresa:

Políticas, educación y capacitación en materia de sensibilización

El procedimiento operativo estándar de la mayoría de las empresas de contabilidad incluye protocolos informáticos que salvaguardan los datos. Sin embargo, tales políticas sólo son útiles si se siguen realmente. Y, en tiempos de temporadas extremadamente ocupadas – desde las vacaciones hasta la temporada de impuestos – apresurarse a cumplir un plazo puede a menudo hacer que incluso el profesional más bien intencionado tome un atajo fuera de la política de TI para ser eficiente.

Los fundamentos de los protocolos informáticos que salvaguardan deben incluir la educación de los empleados y el compromiso diario sobre cómo transferir datos adecuadamente, qué datos deben ser encriptados, una lista de aplicaciones permitidas en el trabajo, sitios web apropiados, etc. Por ejemplo, puede parecer obvio, pero Skype, por ejemplo, no es la mejor manera de transferir datos confidenciales dentro de una empresa de contabilidad, y los empleados deben ser conscientes de ello.

Proteger la información importante – Asegurarse de que el personal sea educado en su valor en la calle

Las empresas de contabilidad son un objetivo importante para los hackers de ingeniería social porque hay dos tipos de información a la que pueden acceder los hackers: los datos de la empresa y los datos personales de otras personas. Ambos deberían estar en su lista de prioridades de datos a proteger.

Normalmente, los hackers buscan información que puedan vender o monetizar de alguna manera. Tenga en cuenta que mientras que la IP de su empresa es cara, también lo son los números de tarjeta de crédito o de cuentas bancarias de sus clientes.

La diligencia de los empleados para controlar sus propias acciones que podrían poner en riesgo dicha información puede reforzarse cuando los hackers les enseñan el “valor en la calle” de la información en caso de que sea robada, además del alto costo para la empresa si ocurriera lo peor.

Establecimiento de reglas automatizadas y bloqueo

Las reglas automatizadas que bloquean automáticamente las actividades pueden reducir el riesgo de manera significativa. Mi experiencia con el software de amenazas internas ha demostrado que puede ser extremadamente útil para las empresas que necesitan mitigar las amenazas de la ingeniería social.

Por ejemplo, con la metodología informática adecuada y las herramientas de apoyo, los administradores pueden establecer reglas para no aceptar unidades USB que no sean asignadas por la empresa como un método de prevención automática. Además, se pueden establecer alertas en las que se avise a los administradores si alguien recibe un correo electrónico que parece provenir de la red, pero que en realidad proviene de una red externa.

Además, las empresas de contabilidad deberían tener normas establecidas para no transferir datos a través de cuerpos de correos electrónicos. Los archivos adjuntos pueden estar bien si tienen una contraseña. El software también puede detectar si el cuerpo de un correo electrónico tiene números de cuenta, números de seguro social, etc., y puede bloquear el envío de tales datos fuera de las organizaciones.

Aprovechando las debilidades: Curiosidad, codicia y respeto a la autoridad

Los hackers atacan a los acontecimientos y se aprovechan de la curiosidad, la codicia y la tendencia de la gente a saltar cuando reciben un correo electrónico de alguien con autoridad, como su jefe o un regulador, para atraerlos.

La manera número uno en que los hackers apuntan a las empresas es el phishing.Esto se debe a que es muy difícil atacar a las empresas de frente.

Las defensas perimetrales (es decir, los cortafuegos) detienen la mayoría de los ataques directos, pero cuando un empleado hace clic en un enlace de phishing, opta por el truco del hacker y le da acceso a los hackers para rodear el cortafuegos. Educar a su personal en la existencia de este tipo de ataques debería ser una prioridad número uno.

Un correo electrónico difundido no funciona tan bien para engañar a los empleados para que hagan clic en los enlaces infectados o introduzcan datos en sitios inventados, ya que la mayoría de ellos se bloquearán. En cambio, los hackers tienden a buscar elementos que atraen a una persona a sus trampas, haciendo que su información sea oportuna y enviándola de a uno por vez a objetivos de alto perfil.

Por ejemplo, se puede hacer que los correos electrónicos parezcan enviados desde un club deportivo, escuela o cualquier otra organización con la que alguien pueda tener un vínculo personal.

Medios Sociales

Aunque no puedes controlar completamente el uso de los medios sociales de tu personal, educarlos sobre las tácticas de ingeniería social que usan los hackers es una buena idea.

Por ejemplo, si los empleados permiten que sus fotos sean públicas o que se registren, un hacker que tenga como objetivo una empresa específica puede mirar cuando un empleado hace clic en esa función de registro en Facebook que muestra en qué hotel se está alojando. Luego puede enviarles un correo electrónico que parezca provenir del hotel, y si el empleado viaja con su computadora del trabajo, puede hacer clic en un enlace que puede exponer los datos almacenados en su computadora.

Disponer de una lista de verificación de las mejores prácticas sobre las vulnerabilidades de seguridad que pueden resultar del uso de los medios de comunicación social puede ayudar a mitigar esos riesgos mediante la educación de los empleados.

Tomar medidas antes de que ocurra un incidente

En mi experiencia de trabajo con numerosas empresas a lo largo de los años, las pruebas indican una y otra vez que el mejor enfoque es el de la prevención. Y lo mismo se aplica para disuadir con éxito las amenazas a la seguridad de la ingeniería social.

Los costos asociados con el cumplimiento y las leyes de notificación de violaciones de la seguridad del Estado son bastante elevados, y las violaciones tienen importantes ramificaciones para la reputación. Asegúrese de que su personal verifique todo lo que parezca sospechoso y cree una cultura que permita a los empleados verificarlo entre ellos.

Si se descubre un correo electrónico u otro método de ingeniería social, asegúrese de que los empleados informen automáticamente del incidente a un empleador. Puede que no sean los únicos que hayan recibido el correo electrónico – y asegúrese de comprobar si se ha hecho clic en él.

Conclusión

Con el inicio de una temporada de impuestos a la vuelta de la esquina, ahora es el momento ideal para educar a los profesionales de la contabilidad de su empresa en las mejores prácticas. Recuérdeles que en el mundo digital de hoy, un elemento esencial de su trabajo diario tiene que ser la protección de la información a la que acceden si quieren ayudar a sus clientes a prosperar financieramente.