Cinco mitos de ciberseguridad y cómo abordarlos
Estos mitos persisten debido a la desinformación y a la falta de concienciación sobre ciberseguridad.
La pobre ciberseguridad ha sido identificada como la amenaza más acuciante para las empresas hoy en día.
Los problemas de ciberseguridad suelen derivarse de la falta de concienciación sobre la misma. Según el informe 2020 Cyberthreat Defense Report de CyberEdge Group, la falta de concienciación sobre la ciberseguridad se identificó como el mayor perjuicio para las ciberdefensas de una organización.
Las razones de esta falta de concienciación incluyen la falta de formación en ciberseguridad y la persistente desinformación. A pesar de que los medios de comunicación han prestado más atención que nunca, todavía existen algunas ideas erróneas sobre la ciberseguridad que ponen en peligro a las empresas.
A continuación, le presentamos algunos de los principales mitos en torno a la ciberseguridad y cómo puede abordarlos.
1. La ciberseguridad no es mi responsabilidad
La seguridad informática sigue considerándose un problema del equipo de TI, cuando no es así en absoluto. Todos los empleados tienen la responsabilidad de garantizar la seguridad de su empresa. Su gente es la primera línea de su defensa y representa su mayor superficie de ataque. Son las personas a las que se dirigen los hackers con campañas de phishing porque apuestan por la falta de conocimientos de seguridad.
Este mito puede tener graves consecuencias si su personal no practica una higiene básica de ciberseguridad. Si no tienen cuidado al hacer clic en los enlaces de los correos electrónicos o al descargar software, podrían poner en peligro la seguridad de su empresa. La educación es fundamental porque sus empleados deben entender por qué la ciberseguridad es tan importante y que ellos tienen un papel que desempeñar. La formación también les dotará de las habilidades necesarias para detectar las amenazas y cambiar su comportamiento para mejor.
2. Los hackers no tienen como objetivo a las pequeñas empresas
Si la cobertura de los medios de comunicación sirve de algo, solo las grandes organizaciones como Yahoo, Uber y Marriott son atacadas, ¿cierto?
Falso.
Este mito es particularmente persistente debido a las noticias generales y al hecho de que los hackers pueden potencialmente extorsionar mayores sumas de dinero de estas empresas. Pero la Federación de Pequeñas Empresas informó que las pequeñas empresas del Reino Unido son objeto de más de 10.000 ciberataques al día. El mismo informe destacaba la debilidad generalizada de los procedimientos de seguridad en las pequeñas empresas, como la falta de políticas formales de contraseñas, la no instalación de actualizaciones y la no utilización de software de seguridad.
Aunque el beneficio económico de atacar a las corporaciones es más lucrativo, lo que está en juego es más importante para las pequeñas empresas. Los ciberdelincuentes lo saben. Un ciberataque podría destruir una pequeña empresa y obligarla a cerrar, y por eso una pequeña empresa es hackeada con éxito cada 19 segundos en el Reino Unido. Las pequeñas empresas que tienen un presupuesto limitado para la ciberseguridad deberían aprovechar los conocimientos de un servicio de asistencia informática, que puede asesorarlas sobre las defensas más adecuadas.
3. Mis contraseñas me mantendrán a salvo
Todavía existen dos ideas erróneas sobre las contraseñas. La primera es que añadir letras mayúsculas, números o caracteres especiales a tu contraseña de una sola palabra la hará indescifrable. Este mito se perpetúa en muchas cuentas de empresas que exigen estos requisitos.
Sin embargo, la verdadera medida de seguridad de las contraseñas es su longitud. Los programas informáticos pueden descifrar contraseñas cortas, por muy complejas que sean, en cuestión de días. Pero cuanto más larga es una contraseña, más tiempo se tarda en descifrarla. La recomendación es utilizar una frase memorable –de un libro o una canción, por ejemplo– que no incluya caracteres especiales.
Pero determinar una contraseña fuerte e indescifrable es solo el primer paso. Si el servicio que utiliza es hackeado y los delincuentes acceden a su contraseña, sigue siendo vulnerable. Ahí es donde entran en juego la autenticación de dos factores y la autenticación multifactorial. Estos métodos requieren que establezca un paso de verificación adicional. Cuando se conecte, se le pedirá que introduzca un código de seguridad, que se enviará a su teléfono o al que se accederá a través de una aplicación de verificación específica. Eso significa que si un hacker llega a poner sus manos en su contraseña, todavía se verá frustrado.
4. Un software antivirus básico será suficiente para proteger mi negocio
Atrás quedaron los días en los que su software antivirus McAfee o Avast sería suficiente para proteger su negocio. Ahora, existen herramientas dedicadas a luchar contra amenazas específicas, como el ransomware.
Un enfoque sincronizado de la seguridad, en el que todas las herramientas interactúan entre sí, es generalmente aceptado como el más fuerte. Su kit de herramientas de seguridad debe cubrir su punto final, el firewall, las conexiones de red, el correo electrónico y más. Además, se recomiendan herramientas de copia de seguridad y recuperación de desastres para mitigar cualquier incidente potencial.
5. Solo necesitamos protegernos de los hackers
Aunque los hackers suponen una enorme amenaza para su empresa, no puede ignorar la posibilidad de que haya personas malintencionadas dentro de la empresa o incluso accidentes del personal. Una de las violaciones accidentales más publicitadas fue la de un miembro del personal del aeropuerto de Heathrow que perdió una memoria USB con datos sensibles. Por suerte, la persona que lo encontró lo entregó en lugar de utilizarlo de forma maliciosa. Sin embargo, la empresa fue multada con 120.000 libras (unos 156.000 dólares) por sus graves fallos en la protección de datos.
Del mismo modo, un empleado descontento que tenga acceso a información sensible de empleados o clientes podría robarla o compartirla voluntariamente. Bloquear el acceso a sus sistemas principales y asegurarse de que menos empleados tienen acceso a ellos puede ayudarle a protegerse contra esto. En el caso de infracciones accidentales, aplique políticas que establezcan que los dispositivos extraíbles deben estar cifrados. También puede configurar su correo electrónico para bloquear ciertos archivos adjuntos y evitar que se compartan fuera de su organización.
¿Son usted o sus empleados culpables de creer alguno de estos mitos?
Barry O'Donnell es el director de operaciones de TSG, una empresa de gestión de servicios de TI.