Así es como proteges la seguridad de la información en tu empresa

Aquí te contamos cómo proteger la seguridad de la información de tus activos digitales. Sólo sigue estos consejos.

Ideas clave del artículo  

1. Proteger a tu empresa contra ciberataques (malware, phishing, ransomware, fuerza bruta) es crucial para que prevengas pérdidas financieras, de información y daños a la reputación.

2. La primera barrera para resguardar la información de tu empresa está en la creación de contraseñas seguras y capacitar permanentemente a tu equipo de trabajo.

3. Usar software de antivirus y antimalware, realizar actualizaciones permanentes e implementar un Sistema de Gestión de la Seguridad de la Información (SGSI) hacen parte de las mejores prácticas de ciberseguridad que puedes tener en tu empresa.

Los datos: un activo fundamental en todas las empresas

La seguridad de la información es una prioridad para todas las empresas, independientemente de su tamaño; puesto que la información es uno de los activos más importantes que existe.

Los datos se utilizan para tomar decisiones, comercializar productos y servicios, y gestionar las operaciones de tu empresa. Por lo tanto, es esencial que protejas tu información de los ataques cibernéticos, que cada vez son más comunes y sofisticados, pues los atacantes utilizan una variedad de técnicas, para robar información, como:

Malware. Software para infiltrarse, dañar o acceder a sistemas de información sin autorización.

Phishing. Intento de suplantación en línea que involucra mensajes engañosos para obtener información confidencial de las víctimas.

Ransomware. Software malicioso que bloquea el acceso a los datos de una persona u organización dejándolos ilegibles (cifrados) y exige un pago (rescate) para restaurar el acceso.

Ataques de fuerza bruta. Intentos repetidos y automatizados para acceder a sistemas o cuentas adivinando contraseñas o claves, con el objetivo de encontrar la correcta.

A todas estas técnicas de ciberataques hay que ponerles especial atención, pues todas ellas tienen un impacto devastador, provocando problemas como pérdidas financieras, daños a la reputación personal y/o corporativa, e incluso la interrupción de las operaciones en empresas de todos los tamaños.

Por un lado, están las pymes, que son especialmente vulnerables al tener menos recursos para invertir en la seguridad de la información. Por el otro lado están las grandes empresas, en donde los costos de un eventual ataque pueden ser enormes.

5 datos de cómo está la ciberseguridad en América Latina

1. El informe de Brecha de Habilidades de Ciberseguridad de 2023 de Fortinet destacó que 84% de las organizaciones experimentó una o más intrusiones de ciberseguridad en los últimos 12 meses, frente al 80% del año pasado. Las organizaciones de América Latina y el Caribe experimentan un promedio de tres brechas en el último año.

2. El costo promedio de un ataque cibernético en América Latina es de $1,75 millones de dólares, de acuerdo con una publicación citada en itd consulting.

3. Según una reciente edición del Índice Global de Ciberseguridad, Latinoamérica es la región más vulnerable del mundo a los ciberataques.

4. Los incidentes en ransomware han incrementado en un 36% de acuerdo con una reciente publicación de Palo Alto Networks.

5. El 80% de las organizaciones experimentan ciberataques que tienen a sus empleados como objetivo. Esto según un informe de Fortinet.

La información como activo empresarial

Desde la toma de decisiones estratégicas hasta la optimización de procesos internos, la información es el motor que impulsa el progreso y la innovación en las empresas. Ya sea que se trate de datos financieros, información comercial o datos estratégicos, ten en cuenda que se trata de un activo clave para procesos como: toma de decisiones, el mejoramiento de la eficiencia operativa y el sustento de la ventaja competitiva.

Nuevos desafíos en el horizonte digital

Sin embargo, a medida que la dependencia de la información ha aumentado, también lo han hecho los riesgos asociados. Los ciberdelincuentes, armados con habilidades técnicas avanzadas y una amplia gama de herramientas, están siempre al acecho, buscando oportunidades para infiltrarse en sistemas y robar información valiosa.

Según el barómetro de riesgos de Allianz este 2023 el foco de atención del riesgo se centra en el componente cibernético. Aquí te dejamos algunas claves de este estudio.

–> Las empresas están más preocupadas por las violaciones de datos (53%) y el aumento de los ataques de ransomware (50%).

–> El coste medio de una violación de datos ha alcanzado un máximo histórico de 4,35 millones de dólares y se espera que supere los 5 millones en 2023.

–> La ciberseguridad es la causa de interrupción de la actividad más temida por las empresas y el principal factor de pérdidas en las reclamaciones por este tema.

Estrategias para proteger la información empresarial digital

1. Cifrado de datos: aplica el cifrado a los datos almacenados y en tránsito para garantizar que sólo las partes autorizadas puedan acceder a ellos, incluso si estos datos son interceptados.

2. Autenticación de múltiples factores: implementa la autenticación de múltiples factores (como contraseñas junto con verificaciones biométricas o códigos temporales) para agregar capas de seguridad a las cuentas y sistemas.

3. Actualizaciones y parches: mantén sistemas y software actualizados con las últimas versiones y parches de seguridad para cerrar posibles vulnerabilidades y prevenir ataques basados en brechas conocidas.

Generación de contraseñas seguras: la primera línea de defensa

Las contraseñas actúan como una primera línea de defensa contra los intentos de acceso no autorizados. Si te estás preguntando “¿qué tan segura es mi contraseña?”, estos son algunos consejos para crear una clave segura:

1. ¿Qué tan larga debe ser? mínimo de 12 a 14 caracteres. Pero si puedes hacerla más larga, mejor.
2. ¿Es difícil de adivinar? Evita usar secuencias de números o letras (“1234”, “qwert”) ya que son susceptibles de hackear con técnicas como fuerza bruta en cuestión de segundos. También evita las palabras comunes (“contraseña1”) por la misma razón.
3. ¿Usas tipos de caracteres variados? Usar minúsculas, mayúsculas, números y símbolos puede ayudarte a formar una contraseña robusta.  La variedad aumenta lo impredecible que es tu contraseña.
4. ¿Usas combinaciones de palabras poco comunes? Las frases de contraseña pueden ser más seguras cuando se usan palabras inesperadas. Incluso si estás usando palabras comunes, puedes ordenarlas en un orden extraño y asegurarte de que no tengan relación entre sí.  
5. ¿La recuerdas con facilidad? Usa algo que tenga sentido para ti, pero que sea difícil de adivinar. Crea tu contraseña evitando usar información que publicas en redes sociales.
6. ¿La has usado antes? Evita reutilizar contraseñas que usas en otras cuentas.  Haz que siempre sea original.

Frase o caracteres aleatorios: 2 formas de crear tu contraseña

En general, hay dos enfoques principales para crear contraseñas fuertes. Aquí te contamos cuáles son, usando información de Hive Systems y Kaspersky. También conocerás varios ejemplos de claves seguras.

Frase de contraseña: se basan en una combinación de múltiples palabras reales. En el pasado, se han usado palabras poco comunes con intercambio de caracteres y caracteres aleatorios mezclados, como “TruC0” para “truco” o “70rM3n74” para “tormenta”. Los hackers están al tanto de este tipo de métodos, por lo que las mejores frases de contraseñas suelen ser una mezcla de palabras comunes no relacionadas entre sí, en un orden sin sentido.

Un ejemplo de frase de contraseña podría ser “gatO!quema#movEr?pianOh” (con las palabras gato, quemar, mover y piano).

Las frases de contraseña funcionan porque:

–> Son fáciles de recordar.

–> Engañan a los hackers que usan diccionarios de fuerza bruta.

Cadena de caracteres aleatorios: son una mezcla de todos los tipos de caracteres en desorden. Estas contraseñas incluyen minúsculas, mayúsculas, números y símbolos en un orden espontáneo. Dado que no hay un método para la disposición de los caracteres, adivinarlos es increíblemente difícil. Incluso el software de hackeo puede tardar hasta billones de años para averiguarla.

Un ejemplo de cadena de caracteres aleatorios podría ser “f2m_+Vm4f/*j” (que podría ser recordada al usar la nemotecnia, fruta 2 manzana _ + Visa mono 4 fresa / * juego)

 Las cadenas de caracteres aleatorias funcionan porque:

–> Son casi imposibles de adivinar.

–> Son difíciles de hackear.

–> Se pueden recordar mediante la memoria muscular y la nemotecnia.

Cómo usar y recordar las contraseñas

Puede que en este momento te estés preguntando, “¿cómo hago para recordar todas mis contraseñas si tengo varias cuentas?”. Con tantas contraseñas únicas, debes tener cuidado con la forma en que las guardas. Ya que, de nada sirve tener claves que te impidan acceder a tu propia cuenta.

Para empezar, evita hacer lo siguiente:

• Escribir las contraseñas en un papel.
• Guardar las contraseñas en la aplicación de notas de tu teléfono o computador.
• Guardar automáticamente las contraseñas en tu navegador.

Pero si querrás usar los siguientes métodos:

1. Usa un administrador de contraseñas: existen muchas opciones en el mercado para gestionar tus contraseñas. Y no sólo gestionarlas, puedes generarlas, almacenarlas y autocompletar cuando sea necesario en cualquier dispositivo. Los principales beneficios que ofrece este tipo de soluciones incluyen almacenar contraseñas, usuarios y sitios en los que estás registrado(a), normalmente cifrados y la accesibilidad que tengas a internet en cualquier lugar.
2. Activa la autenticación de múltiples factores: este método te permite comprobar tu identidad como usuario utilizando múltiples tecnologías para autenticarte. Los factores de autenticación se dividen en tres categorías: algo que sabes (como una contraseña o PIN memorizado), algo que tienes (como una app en tu smartphone o una clave de seguridad USB) y algo que eres (como una huella digital o un reconocimiento facial).

También puedes buscar buenas prácticas para crear una contraseña. Aquí te compartimos un artículo que te habla sobre ello. Además, vamos a contarte cómo proteger a tu empresa de ataques cibernéticos con seguridad y capacitación.

Software antivirus y antimalware para fortalecer las barreras contra el malware

El malware, como virus, gusanos y troyanos, es una amenaza constante en el mundo digital. El software antivirus y antimalware es esencial para detectar y prevenir infecciones dentro de tu empresa. Estas herramientas escanean archivos y sistemas en busca de amenazas conocidas y, en muchos casos, incluso desconocidas. Es importante mantener el software actualizado para garantizar la máxima eficacia.

Actualizaciones de software para cerrar brechas de seguridad

Los fabricantes de software a menudo lanzan actualizaciones para corregir vulnerabilidades y cerrar brechas de seguridad. Ignorar estas actualizaciones puede dejar sistemas y dispositivos expuestos a riesgos cibernéticos. Tu empresa debe implementar una política de actualización constante para garantizar que todos los programas y sistemas estén protegidos con las últimas correcciones de seguridad.

Concienciación y entrenamiento del personal para que capacites a tu equipo

Incluso con las tecnologías más avanzadas, el trabajo humano sigue siendo un factor crítico en la seguridad de la información. Por eso se deben generar campañas informativas y de capacitación que tengan la finalidad de prevenir ataques de todo tipo de amenazas.

Tips generales de seguridad de la información

Hay una serie de medidas que las empresas pueden tomar para que protejas a tu empresa de un ataque cibernético. Estas medidas incluyen:

1. Tener cuidado con tu información. No compartas información personal, como tu número de cédula o tu dirección, en línea.
2. Realizar copias de seguridad de tus datos. Las copias de seguridad te permiten restaurar tus datos en caso de que se pierdan o se dañen.
3. Implementar un Sistema de Gestión de la Seguridad de la Información (SGSI). Con esto ayudarás a tu empresa a gestionar su seguridad de la información.

Ciberdelitos frecuentes en las empresas

Phishing. Generalmente son correos electrónicos con enlaces o archivos adjuntos que, si se abren, pueden instalar malware. Durante 2022, marcas como Microsoft o Google fueron ampliamente suplantadas, al igual que redes sociales como LinkedIn y WhatsApp. Por eso siempre debes revisar que el remitente de la información que recibes y descargas sea confiable.

Fraude del CEO. Es la suplantación de identidad de la persona a cargo de una empresa para, por ejemplo, solicitar información confidencial o exigir el pago inmediato por la prestación de un servicio. Por falta de conocimiento, hay personas que caen en este tipo de fraude que se materializa principalmente por correo electrónico.

Ransomware de doble extorsión. Aquí, las víctimas no sólo enfrentan el secuestro o robo de datos confidenciales, sino que también se enfrentan a la filtración de estos, haciéndolos públicos, afectando la reputación de la empresa y la privacidad de clientes y usuarios.

Ataque de denegación de servicios distribuidos (DDOS). El envío masivo de peticiones para evitar que un sitio web funcione correctamente; provocando así su caída, el cierre de las conexiones y quede completamente inaccesible para los usuarios.

Ataque a la cadena de suministro. Tiene el, objetivo de infectar aplicaciones legítimas para distribuir malware masivamente. De acuerdo con la consultora Gartner, para el año 2025 el 45% de las empresas del mundo habrán sufrido ataques a sus cadenas de suministro de software.

Medidas avanzadas para una protección integral de la información empresarial

Firewalls: barreras virtuales contra amenazas

Un firewall es una barrera virtual que actúa como un filtro entre una red privada y las amenazas externas. Puede bloquear el tráfico no autorizado, lo que ayuda a prevenir intrusiones y ataques. Los firewalls pueden ser de hardware o software y se pueden personalizar para filtrar tráfico específico, como bloquear sitios web fraudulentos o direcciones IP de ataque masivo reportadas. La implementación de firewalls es esencial para garantizar que solo el tráfico legítimo tenga acceso a los sistemas y datos de la empresa.

Red Privada Virtual (VPN): Protección de la Conexión en Línea

Una Red Privada Virtual (VPN) es una herramienta que cifra la conexión a Internet de una empresa, lo que garantiza la privacidad y seguridad de los datos transmitidos. Al utilizar una VPN, las empresas pueden crear una conexión segura, incluso en redes públicas, lo que dificulta que los ciberdelincuentes intercepten o accedan a la información. Las VPN son especialmente útiles para empleados que trabajan de forma remota o para empresas que necesitan compartir datos confidenciales a través de conexiones no seguras.

Sistema de Gestión de la Seguridad de la Información (SGSI): marco de gestión integral.

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un enfoque integral y estructurado para gestionar y proteger la información de una empresa. Implica la implementación de políticas, procesos y procedimientos que aborden la seguridad de la información en todos los niveles de la empresa. Un SGSI ayuda a las organizaciones a identificar riesgos, establecer controles y medidas preventivas, y garantizar que se cumplan las mejores prácticas de seguridad.

Asesoría de seguridad de la información: experiencia externa.

Entender los detalles de la seguridad de la información puede ser un desafío. Una persona o un equipo experimentado puede evaluar la infraestructura de seguridad de tu empresa, identificar vulnerabilidades y recomendar soluciones específicas. Al contar con una perspectiva externa, tu negocio obtendrá información valiosa sobre áreas de mejora para adoptar estrategias más efectivas en la protección de la información.

Simulacros de ciberataques: pruebas de resistencia.

La mejor manera de evaluar la preparación de una empresa para un ataque cibernético es someterla a pruebas reales. Los simulacros de ciberataques, también conocidos como ejercicios de penetración o pruebas de penetración, implican la simulación de un ataque cibernético real para evaluar la capacidad de una empresa para detectar, responder y mitigar la amenaza. Estos ejercicios proporcionan información valiosa sobre las áreas débiles de la seguridad de la información y permiten a las empresas ajustar sus estrategias en consecuencia.

Certificar a tu empresa con estándares internacionales

En la búsqueda por proteger datos y garantizar la información de la empresa y respaldar la seguridad de clientes y terceros, las empresas pueden certificar sus estándares de seguridad para que se garantice que se están implementando las mejores prácticas. 

Una de ellas es la ISO 27001, una norma internacional que establece los requisitos para un Sistema de Gestión de la Seguridad de la Información (SGSI). Un SGSI es un conjunto de procesos y procedimientos que ayudan a una organización a proteger su información confidencial.

Para darte un ejemplo, en KLYM, hemos obtenido la certificación ISO-IEC 27001:2013. Esto significa que hemos establecido un conjunto de reglas y procedimientos detallados para garantizar la seguridad de los sistemas y procesos. Esta certificación nos ayuda a proteger nuestra información y la de nuestros clientes, asegurando que todo se mantenga seguro y confiable.

3 casos reales para entender la importancia de la seguridad de la información

1. La campaña de phishing que involucra a Netflix

El Instituto Nacional de Ciberseguridad (Incibe) ha detectado una campaña de “phishing” dirigida a usuarios de Netflix. Los ciberdelincuentes envían correos que fingen ser de Netflix, ofreciendo una extensión gratuita de 90 días a la suscripción. Solicitan datos personales y bancarios en un enlace falso, que simula ser de esta plataforma, pero no lo es. Ante este hecho reseñado en el año 2023, la recomendación para las personas que reciben este correo es marcarlo como spam y borrarlo. Si se proporcionaron datos, se recomienda contactar al banco y tomar medidas.

2. Los millonarios pagos que hacen las empresas por el secuestro de información

De acuerdo con el informe “State of Ransomware 2023” elaborado por Sophos, el promedio de gastos para recuperarse de ataques cibernéticos en empresas aumentó a 1,82 millones de dólares en 2023, en comparación con los 1,4 millones de dólares registrados en 2022, informó Bloomberg. Dentro del artículo también se expone que este estudio revela que el 46% de las empresas que tenían sus datos encriptados optaron por pagar el rescate a ciberdelincuentes y para recuperar sus datos.

3. Los datos de la fuerza laboral de grandes compañías puede estar vulnerable por ciberataques

Más de 100,000 empleados de empresas como la BBC, British Airways y Boots han sido advertidos por ciberdelincuentes sobre posibles filtraciones de datos de nómina. Aunque las autoridades aconsejan no pagar a los hackers, estos han adoptado un enfoque poco usado al exigir a las víctimas que tomen la iniciativa en la comunicación. Aunque no es normal que los piratas informáticos soliciten a las víctimas que contacten primero, esta táctica subraya la creciente audacia y sofisticación en los métodos de extorsión digital, señaló la bbc.

Tu empresa puede enfrentar desafíos cibernéticos respaldándose en la utilización de enfoques proactivos, la implementación de medidas avanzadas y la búsqueda de certificaciones reconocidas. Si te gustó este artículo, mira aquí cuál es el poder de la inteligencia artificial en las empresas.

---