miércoles 25 de mayo de 2022
ACTUALIDAD Ciberseguridad
31-03-2022 11:32

Seguridad por diseño: ¿Cómo pueden protegerse las empresas para evitar que roben su información?

Los delitos cibernéticos están en alza en todo el mundo y Argentina no es la excepción. En este contexto, la seguridad por diseño llega para sumar una nueva forma de prevención y protección ante los riesgos de la web.

31-03-2022 11:32

Los ciberdelitos son un tipo de crímenes que crece a pasos agigantados en todo el mundo a la par del avance tecnológico irrefrenable que se vive en la actualidad. En este contexto, la búsqueda de seguridad en la red se ha vuelto una ardua tarea frente a las amenazas cibernéticas que se complejizan cada día más.

Uno de los sectores que más sufre esta problemática es el sector privado y/o empresarial, dado que, según un informe de CheckPoint, Argentina supo ocupar el segundo puesto en el ranking mundial de países más afectados por estos ataques en base a un promedio de 104 ataques a la semana por compañía.

Hackers consiguieron robar datos de usuarios de Apple y Meta

Dada esta situación, las organizaciones expertas en la prevención de los crímenes cibernéticos y abocadas a fortalecer la seguridad frente a estas nuevas amenazas digitales crean constantemente nuevas políticas, técnicas y herramientas que ayuden a combatir a los cibercriminales. Uno de estos nuevos métodos es la seguridad por diseño.

“La seguridad por diseño es un concepto novedoso y tiene un enfoque estratégico. Es una iniciativa en base a la creación de software y hardware que busca minimizar los riesgos cibernéticos antes de que sucedan, es una actitud proactiva” explicó Luciano Monchiero, experto en cibercrimen, en diálogo con PERFIL.

ciberseguridad
Según expertos la educación en materia de seguridad informática es esencial a la hora de prevenir ataques y robos de información.

Específicamente, según describe el portal We Live Security de ESET, compañía especializada en ciberseguridad, la seguridad por diseño es “un estándar en la regulación global de la privacidad” que propone trabajar en la mitigación y prevención de riesgos desde la base y no como un anexo o cuestión secundaria.

En este sentido, Monchiero señaló que este tipo de seguridad “se desarrolla a través de diferentes técnicas para resolver problemas en los procesos de desarrollo, con la finalidad de que la actuación frente a la inseguridad cibernética sea prevenida de antemano y no posterior a los incidentes”.

En la práctica, indican desde ESET, la seguridad por diseño se traduce en diversos tipos de acciones como:

  • Minimización de datos y cifrado para reducir la exposición de la información.

  • Control y gestión continua de los activos de IT.

  • Sesiones regulares de concientización y capacitación para el personal.

  • Gestión de accesos con doble factor de autenticación y principio de menor privilegio (que cada acceso ingrese solo a lo estrictamente necesario).

  • Gestión de parches de seguridad.

  • Registro, monitoreo, detección y respuesta ante cualquier ataque entrante.

  • Monitoreo continuo de la cadena de suministro.

  • Aplicar estrategia de seguridad “Zero Trust” o “Confianza Cero”, que consta de no confiar en ninguna entidad interna o externa que ingrese al perímetro cibernético. 

Sobre esto, el experto en cibercrimen enfatizó en la capacitación del personal: “El eslabón más débil de la cadena siempre es el trabajador. Se puede tener la mejor tecnología, la mejor seguridad, pero nada de eso funciona si no se concientiza”. Así sostiene que “se debe educar a toda la organización, incluso los directivos”.

A su vez, Monchiero mencionó que entre las medidas a tomar pueden incluirse “el hacer análisis de auditoría al menos una vez al año para ver dónde se está parado y a partir de ahí implementar un plan de ‘endurecimiento’, trabajar en un proceso de políticas de seguridad, aplicar los parches de seguridad y contar con un equipo de asesoramiento en la temática”.

Hackeo a Mercado Libre: cómo fortalecer la seguridad de la cuenta personal

Sin embargo, a pesar del peligro latente y la gran cantidad de herramientas de ciberseguridad existentes, muchas empresas y directorios dejan este aspecto en un segundo plano. Según indica el estudio “Business Frictions is Exposing Organisations to Cyber Threats” de la empresa Trend Micro Incorporated, el 90% de los equipos de dirección empresariales comprometería la seguridad en pos de impulsar la transformación digital y la productividad.

Al ser consultado sobre esta falta de interés en el tema, el especialista recalcó que “uno de los principales problemas es la subestimación, el ‘a mí no me va a pasar’. Ese es el engaño más grande de las empresas, no tomar consciencia y no aceptar que necesitan personas idóneas especializadas en la temática que se dediquen a ver la estructura, analizarla y exponer toda la situación en un informe”.

¿Qué sucede si no se invierte en ciberseguridad?

“Los riesgos son muy grandes. Si una empresa no se preocupa, cualquier ciberdelincuente va a tener en sus manos toda su información, todo su capital, porque información es igual a capital. El activo más importante hoy es la información”, sostuvo el especialista de Identidad Argentina y miembro cofundador del International Observatory of Computer Crime.

“He visto empresarios llorando enfrente mío porque han estado en situaciones sumamente críticas por incidentes de ciberseguridad que no pudieron afrontar y repercutieron consecuentemente en sus clientes y en toda la organización”, agregó Monchiero.

Ransomware
Contra estos tipos de ataques es fundamental contar con copias de respaldo y escudos anti-ransomware.

En este punto, el especialista señaló que una empresa que sufre un ataque severo en relación al robo de información puede llegar a la quiebra en pocos meses si no estaba preparada para enfrentarlo.

Además, añadió que en caso de ser víctima de un Ransomware, un tipo de malware que secuestra los datos y pide un rescate por ellos, los cibercriminales exigen sumas de aproximadamente 100 o 120 mil dólares en criptomonedas. Sin embargo no se recomienda pagar los rescates, no solo para no fomentar la ciberdelincuencia sino porque no existe garantía de que la información efectivamente será devuelta.

“Es importante que las empresas sepan que el gasto en ciberseguridad es una inversión y que deben aplicar medidas constantemente para resguardar su información y evitar padecer situaciones peores en el futuro”, concluyó el experto.

AS.