Por más que el cibercrimen esté en boca de todos y constituya una de las industrias más rentables del mundo, es mucha la desinformación y los mitos que circundan a la seguridad informática. En especial cuando el escenario cambia y evoluciona día a día. Lo problemático de esta persistente circunstancia es cualquier paso mal dado en ciberseguridad, cualquier espacio poco protegido en una organización, podría dar paso a una verdadera catástrofe para el negocio.
Actualmente, 71% de los robos de información tienen como objetivo obtener dinero y 25% se hacen con fines de espionaje industrial. Las técnicas también se están sofisticando, y ataques como el ransomware, que antes solo bloqueaba el acceso a la información corporativa, ahora están incluso amenazando a las empresas con compartir la información secreta con la competencia. Los cibercriminales son implacables, por lo que la organización también debe estar preparada lo mejor posible.
A continuación, seis de las creencias falsas más comunes en torno a la ciberseguridad y qué se puede hacer para enfrentarlas:
- El departamento IT es el único responsable de la ciberseguridad: En esta área se implementan procesos y políticas, pero no realizan pases mágicos para proteger la información de toda la empresa. Es necesario ampliar la cultura de seguridad a todos los departamentos e involucrar a todos los que trabajan con datos en la organización.
Si se piensa en el organigrama, la labor que realiza el CISO tiene alcance interdisciplinario: tiene que ver con la alta dirección así como con los encargados de los diferentes departamentos como Finanzas, Recursos Humanos, Ventas, Mercadotecnia y otros, para así hacer una gestión eficiente de los riesgos y de la seguridad de la información. - Los profesionales IT no caen en ciberataques: Pensar que por tener un equipo IT bien capacitado y actualizado ya se está protegido es otro mito peligroso. Si la toman desprevenida, cualquier persona puede caer en un ataque de ingeniería social.
Existen consejos básicos como evitar abrir correos de remitentes desconocidos o entrar a enlaces sospechosos. Se ha visto que si un dispositivo es inteligente, también es vulnerable.
A lo largo el tiempo, ataques como el de Stuxnet, Equifax, las vulneraciones a entidades financieras o el mismo WannaCry han puesto de manifiesto que nadie está a salvo. - Usar software de seguridad protege toda la información: Hace dos décadas podría ser válida esta idea. Pero ahora, ante el avance de técnicas y herramientas de los hackers, no hay software que por sí mismo logre resguardar a toda la organización. Por ello, se requiere de estrategias más robustas, como la detección temprana a través del engaño o modelos Zero-Trust.
No solo es importante en los esquemas de trabajo remoto, la actualización de los sistemas operativos de cualquier dispositivo que interactúe con los datos corporativos es algo que no hay que soslayar. Estar pendiente de lo que sucede en el día a día implica también monitoreo de aspectos de seguridad constantemente. - Es suficiente usar contraseñas robustas: El tema de las contraseñas persigue a los usuarios IT todo el tiempo. Aquí cabe señalar la importancia de usar claves robustas para tener acceso a los diferentes sistemas y también incluye a las redes sociales. Una autenticación robusta permite confirmar que la persona que desea hacer una transacción es quien dice ser. José Tam, vicepresidente de Transformación digital en Softtek, ha comentado que para esto suelen solicitarse tres acciones: pedir al individuo algo que él sabe, típicamente su password; algo que tiene, una smartcard o un token, a través de los que se genera una clave temporal llamada one time password (OTP); y algo propio de la persona, donde se recurre a sus biométricos, ya sea que se autentique su huella digital, los puntos geométricos de su cara, el iris o las venas para permitir que realice la acción solicitada. En una autenticación robusta se pueden combinar las tres acciones o al menos dos de ellas.
- Los ciberataques solo llegan a través de internet: Creer que los riesgos solamente están en internet es otro error frecuente. La superficie de ataque se ha ampliado y la gente es el nuevo perímetro de la seguridad IT.
Es verdad que internet puede representar un gran riesgo. De acuerdo con el 2019 Internet Crime Report (IC3) del FBI, tan solo en Estados Unidos se recibieron 467,361 quejas por fallas en ciberseguridad, 1,300 diarias en promedio; además de registrar más de $3,500 millones de dólares en pérdidas tanto a individuos como a compañías. Sin embargo, los atacantes buscarán otras maneras de tener acceso a la red corporativa: su objetivo casi siempre es robar la información más valiosa. - Son pocas las industrias atractivas para los ciberatacantes: Tener la percepción de que el nicho al que se pertenece no es atractivo para el cibercrimen da una falsa sensación de seguridad. Los hackers atacan compañías de cualquier tamaño, no importa a qué industria pertenezcan. Tener información de tarjetas de crédito de los clientes o las mismas bases de datos con información segmentada puede ser atractivo suficiente para un hacker.
Aunque algunos sufren más que otros. Infosec Institute ha identificado cinco sectores que suelen estar en la mira de ciberatacantes: salud, manufactura, servicios financieros, agencias gubernamentales y el educativo, una organización de cualquier otra industria es punto potencial de ataque.
Por otra parte, en el reporte 2019 Data Breach Investigations, de Verizon, se encontró que 43% de las vulneraciones involucraron a pequeñas empresas como víctimas. Así que el tamaño no es condición para estar a salvo.
Diversos especialistas y proveedores de seguridad han señalado que el cuestionamiento para las empresas no es si van a ser atacadas, sino cuándo sucederá. Tener conciencia de este hecho y eliminar mitos de ciberseguridad será punto de inicio para estar preparados ante un incidente.