Línea WD
Las pequeñas y medianas empresas tienden a operar bajo la suposición de que los piratas informáticos apuntan solo a operaciones más extensas. Hay una lógica simple en esa idea errónea de que estos delincuentes instigan las infracciones cibernéticas que obtienen la mayor recompensa posible. Nada mas lejos de la verdad.
Si bien los ataques al Comité Nacional Demócrata y Equifax ocupan grandes titulares, la mayoría de los ataques cibernéticos se llevan a cabo en sistemas más pequeños y vulnerables. La mayoría de los piratas informáticos simplemente buscan la fruta madura. Si su pequeña o mediana empresa tiene datos modestamente valiosos y carece de seguridad cibernética de primer nivel, usted es esa fruta al alcance de la mano.
Según los informes, el delito cibernético ya ha superado las ganancias combinadas de todos los carteles de la droga más importantes del mundo en $ 6 billones anuales. A diferencia de las grandes organizaciones criminales, dos genios informáticos con computadoras portátiles a miles de kilómetros de distancia pueden extraer información confidencial sin que una empresa lo sepa hasta que es demasiado tarde.
En estos días, robar información de tarjetas de crédito no se encuentra entre las principales prioridades. Los ciberdelincuentes han descubierto que la información personal y de personal puede generar ganancias significativas. Si todavía no cree que la ciberseguridad se encuentre entre las principales prioridades para las pequeñas y medianas empresas, escuche esto.
Los hackers son a menudo trabajos internos
Puede parecer contradictorio, pero la amenaza cibernética más importante de una empresa se puede encontrar entre los empleados más valiosos. Los miembros del personal generalmente no actúan de manera nefasta. De hecho, los empleados leales a menudo son solo eso, leales. Pero existe una actitud generalizada en los lugares de trabajo de que registrarse en las redes sociales personales, usar varias aplicaciones y plataformas no relacionadas con el trabajo, es permitido y seguro.
Según los expertos en seguridad cibernética, más de 93 de todas las infracciones que se investigan a fondo se remontan a un empleado. Si bien esa persona generalmente no es el llamado "hombre interno" o "mujer interna" con respecto a la intención criminal, su actitud indiferente sobre el control de sitios personales expuso a la pequeña o mediana organización a una violación masiva de datos.
Muchos simplemente son engañados por estafas de phishing o, sin darse cuenta, infestan un sistema comercial con malware. Esto podría ocurrir al sincronizar un dispositivo no seguro, mover datos en una unidad USB de un lado a otro entre el hogar y el trabajo, o navegar por Internet, entre otros errores de seguridad. Si bien muchas personas que toman decisiones comerciales creen que sus datos no están en riesgo, se necesita un profesional de ciberseguridad para construir un "cortafuegos humano" específico de la empresa que reduzca las amenazas internas a través de políticas y capacitación procesables.
Organizaciones pequeñas y medianas retenidas como rehenes todos los días
Ningún cartel de la droga del Tercer Mundo puede compararse con el volumen de robos perpetrado por piratas informáticos de poca monta. El ransomware sigue siendo el principal software malicioso y se encuentra entre los tipos de ciberataques más lucrativos. Esta variedad de malware se dirige a los sistemas comerciales al penetrarlos a través de un método de encriptación de camuflaje. Una vez dentro de la red de una empresa, cifra rápidamente los datos críticos y hace que todo sea inaccesible para la organización.
El nombre “ransomware” se ganó por lo que viene después. Es probable que una organización contaminada reciba un aviso para pagar una cierta cantidad, a menudo en bitcoins, para obtener un código de cifrado que le permita restaurar el acceso a sus propios archivos. Esta situación de rehenes a menudo resulta fructífera para el ciberdelincuente porque pagarles parece ser lo mejor para los intereses financieros de la empresa. Lamentablemente, demasiados líderes empresariales solo avanzan con la ciberseguridad avanzada después de sufrir un sentimiento de impotencia y humillación.
Los protocolos de ciberseguridad de bajo rendimiento resultan costosos
Según se informa, un informe de violación de datos de Verizon concluyó que más del 60 por ciento de todas las incursiones durante 2016 podrían atribuirse a fuerzas externas. Estas violaciones de datos se consideraron instancias de "piratería" por parte de un tercero para eludir las medidas de seguridad existentes. Los piratas informáticos tienden a buscar los puntos de ciberdefensa más débiles de una empresa para obtener acceso.
En esencia, esto sigue el adagio de que una cadena es tan fuerte como su eslabón más débil. Entre los casos más notables de una falla de enlace débil estuvo la violación masiva de JP Morgan en 2014. A pesar de contar con un equipo de seguridad cibernética de primer nivel, se perdió un solo servidor durante una actualización de contraseña. Ese único servidor desprotegido resultó en lo que se clasificó entre los 10 peores robos cibernéticos de la historia. Según los informes, aproximadamente 83 millones de cuentas domésticas y comerciales se vieron afectadas por la friolera de $ 100 millones.
Si bien este nivel de robo cibernético ocupa los titulares de los principales medios de comunicación, los piratas informáticos tienden a tener más éxito al penetrar en empresas más pequeñas con sistemas de seguridad cibernética mucho menos sofisticados. El modelo de negocio criminal básico se basa en el volumen, no en días de pago masivos ocasionales. Piensa en ello de esta manera. The Brinks Job hizo historia en el robo de bancos en 1950, pero los atracadores atacan las tiendas de licores todos los días.
Errores de seguridad sin parches atraen infestaciones de delitos cibernéticos
Uno de los métodos más frecuentes utilizados por un pirata informático es infiltrarse en su sistema a plena vista. Los ladrones cibernéticos a menudo usan deficiencias de software conocidas comúnmente llamadas errores como un tipo de puerta rota.
Cuando las empresas de software envían correcciones de rutina, como parches, los usuarios tienen la opción de realizar esta reparación. Pero cuando un sistema parece estar funcionando correctamente, una pequeña o mediana empresa puede descartar el esfuerzo como una molestia más que cualquier otra cosa. Eso podría resultar ser un error fatal de violación de datos.
Cuando los sistemas permanecen sin parches, los piratas informáticos pueden aprovechar vulnerabilidades específicas e infiltrarse en la red de una empresa. Es importante comprender que la ciberseguridad solo parece otra tarea que consume mucho tiempo y que resta valor a los objetivos de la empresa. Cualquiera que use computadoras, dispositivos, software o acceda a Internet está inherentemente en el negocio de la ciberseguridad. Sin sistemas, políticas y protocolos de ciberseguridad adecuados, toda la organización permanece en riesgo.
Si usted pensaba que aún no es importante contar con ciberseguridad, ahora es cuando.