El número de violaciones de datos ha aumentado cada año durante más de una década. La reparación de cada incidente cuesta a las empresas tiempo, dinero y recursos, al tiempo que inflige un daño, a menudo irreparable, a la reputación de la marca y la lealtad del cliente.
Esta realidad solo se hizo más evidente durante la pandemia, cuando los actores de amenazas capitalizaron la interrupción y la incertidumbre del momento para causar estragos en nuestros entornos digitales.
En 2021, el número de violaciones de datos ya está en camino de alcanzar un nuevo récord. De alguna manera, el miedo omnipresente al fracaso puede parecer paralizante o, incluso más preocupante, inevitable.
Afortunadamente, para las empresas que buscan defender sus datos, TI y propiedad intelectual, los riesgos no son tan inevitables. Específicamente, el informe de Investigaciones de Violación de Datos 2021 de Verizon detalla que el 85% de las violaciones de datos involucran un «elemento humano», lo que brinda a las organizaciones una dirección clara para sus iniciativas de ciberseguridad en el cuarto trimestre de 2021 y en adelante.
Aquí hay tres lecciones que los líderes empresariales pueden aprender de este informe y los próximos pasos que pueden dar para comenzar a responder al elemento humano de la privacidad de los datos y la ciberseguridad.
El abuso de privilegios y el mal manejo de datos son comunes y evitables
Los usuarios privilegiados tienen acceso a sistemas de TI críticos, aplicaciones de red y datos de la empresa. Su estado hace que sea especialmente difícil detectar personas privilegiadas antes de que provoquen un desastre. Verizon estima que más del 30% de los abusos de privilegios tardan meses o incluso años en identificarse, lo que deja a todas las organizaciones vulnerables a un empleado descontento o la exposición accidental de datos.
Por supuesto, estos riesgos se ven amplificados por un número creciente de credenciales comprometidas que pueden dar a los actores de amenazas acceso directo a información confidencial. El software de supervisión de empleados permite a las empresas distinguir y rastrear a estos usuarios, desde usuarios remotos y proveedores externos hasta arquitectos y administradores de sistemas.
Cuando se combina con una estrategia de prevención de pérdida de datos de confianza cero, todas las empresas pueden confiar en el monitoreo de los empleados para lograr visibilidad en tiempo real de los usuarios privilegiados, lo que les permite tomar medidas contra el uso indebido accidental o malintencionado de las credenciales antes de que se produzca una violación de datos.
Las estafas de suplantación de identidad no pueden ignorarse
Las estafas de phishing, mensajes maliciosos diseñados socialmente, aumentaron significativamente durante la pandemia. El análisis de Verizon encontró que el phishing estaba presente en el 36% de las filtraciones de datos, un aumento del 11% año tras año. Además, los Compromisos de correo electrónico empresarial (BEC) fueron la segunda forma más prominente de ingeniería social, ya que tenía quince veces más probabilidades de ocurrir que el año pasado.
Es fundamental que los líderes recuerden que los ataques de phishing no tienen una sola forma. Un análisis reciente de Microsoft identificó varias formas de phishing, que incluyen:
- Phishing de facturas.
- Estafas de pago/entrega.
- Estafas de phishing relacionadas con impuestos.
- Descargas.
- Spear phishing.
- Whaling o caza de ballenas.
En conjunto, se envían más de tres mil millones de estafas de phishing todos los días, por lo que es fundamental que los líderes empresariales equipen a sus equipos para identificar y defenderse de estas estafas. Dado que los trabajadores remotos pueden ser más propensos que sus contrapartes en el sitio a caer en estafas de phishing, las iniciativas de enseñanza y capacitación tienen una urgencia particular en la fuerza laboral híbrida actual.
En respuesta, las empresas deben capacitar a los empleados en las mejores prácticas de concientización sobre estafas de phishing, brindando instrucción regular y continua para mitigar el riesgo de una violación de datos o un incidente de ciberseguridad.
Los accidentes ocurren (pero el descuido no es un accidente)
Las personas son falibles y sus errores pueden comprometer la integridad de los datos. Se estima que el 90% de las filtraciones de datos en la nube se pueden atribuir a errores humanos, mientras que el intercambio accidental y la exposición afectan a empresas de todos los tamaños en todos los sectores.
Sin embargo, no se deben confundir los descuidos con los accidentes. En particular, la mayoría de las personas no actualizan regularmente sus credenciales de inicio de sesión incluso después de una violación de datos, y muchas personas no han habilitado funciones de seguridad simples como la autenticación multifactor.
Por eso las empresas deben predicar una buena higiene digital y responsabilizar a las personas por esos estándares. Como explica el informe del NYT, la higiene digital es “la acumulación de inversiones diarias e inconvenientes por parte del gobierno, las empresas y las personas que dificultan el trabajo de los piratas informáticos. Y algunas son de muy baja tecnología».
A medida que los líderes empresariales toman decisiones estratégicas para navegar con eficacia en la “nueva normalidad” posterior a la pandemia, la ciberseguridad es cada vez más una prioridad. Con nuevas amenazas que surgen continuamente, las empresas pueden tomar medidas significativas para defenderse de las amenazas más probables. Dado que la gran mayoría de las filtraciones de datos incluyen un «elemento humano», las empresas pueden comenzar a abordar este enorme riesgo hoy.
Las filtraciones de datos no tienen por qué ser inevitables, pero una defensa adecuada requiere una respuesta, y los líderes empresariales deberían comenzar ese proceso hoy.
Me interesa
- Cómo ejecutar una prueba de phishing con éxito para tus empleados
- El timo del CEO: los cibercriminales sacan partido del teletrabajo para lanzar ataques de Business Email Compromise
- 7 consejos de seguridad TI para una fuerza laboral remota
- 5 ataques de ingeniería social que las empresas deben conocer y prevenir
- La evolución del ransomware: del email al acceso inicial como primer paso