Hoy es el Día Internacional de la Privacidad de Datos. De hecho, todos los días deberían ser el día de la Privacidad de Datos, dada su relevancia y la probabilidad de que sea uno de los temas más discutidos en el mundo tecnológicamente dependiente y posterior a la pandemia.
El Día de la Privacidad de Datos marca la firma del Convenio 108, el primer tratado internacional legalmente vinculante que aborda la privacidad y la protección de datos, el 28 de enero de 1981.
La importancia de los datos ha crecido en la cúspide de la pandemia de COVID-19, ya que cada vez más personas deben pasar tiempo en línea. Millones de personas todavía no entienden cómo se utiliza, recopila y comparte su información personal. La falta de protección de la privacidad de uno puede resultar en explotación y daño a las finanzas de una persona e incluso afectar la salud mental.
Según el informe The State of Ransomware 2021 de Sophos, el 51 % de las organizaciones que no han sido atacadas por ransomware pero que esperan estarlo en el futuro creen que se debe a que los ataques de ransomware son cada vez más difíciles de defender debido a su sofisticación.
Además, el informe más reciente de la Oficina del Comisionado de Información de Australia (OAIC) dijo que el 30 por ciento de las violaciones de datos fueron causadas por errores humanos, lo que enfatiza la importancia de priorizar la conciencia cibernética dentro de las organizaciones.
“Debido a que las organizaciones han mejorado en protegerse a sí mismas a nivel técnico, los atacantes engancharán a las víctimas a nivel emocional aprovechando el miedo, la incertidumbre y la duda (FUD) para presionar a los empleados a cumplir con sus demandas, Aaron Bugal, ingeniero de soluciones globales, Sophos le dice a espanol.
“Suena simple, pero la concienciación es clave para reducir el impacto de un ciberataque, sin importar cuán sólida sea la infraestructura de ciberseguridad de una organización.
“Una vez que una amenaza encuentra su camino a través de un sistema de seguridad, depende del receptor de la amenaza reaccionar en consecuencia, lo que determinará si se convierte en una víctima o en una barrera adicional para prevenir un ataque.
“Es importante que los empleados estén equipados con el conocimiento para poder detectar, identificar y responder en consecuencia a un ataque. Usted y su equipo deben estar preparados para no desmoronarse bajo la presión porque eso es lo que quiere el atacante: usar un sentido de urgencia para hacerlo sentir vulnerable para que puedan obligarlo a cumplir con sus demandas”.
“Las buenas prácticas de higiene de ciberseguridad para ayudar a proteger su organización incluyen:
Aplicación de parches pronto, aplicación de parches a menudo – asegúrese de tener las últimas actualizaciones del sistema operativo para sus aplicaciones, dispositivos o servicios
Uso de contraseñas seguras – asegúrese de que su contraseña sea lo más única posible, mezclando letras, números y especiales como “#WeL!k3Th3B34ch!#”. Usar un administrador de contraseñas o 2FA para dificultar que los estafadores descifren su cuenta
Educar a los empleados – enséñeles qué buscar en términos de phishing y spam malicioso e introduzca políticas de seguridad sólidas. Mantener copias de seguridad periódicas de los datos más importantes y actuales en un dispositivo de almacenamiento fuera de línea. Tenga un plan de respuesta a incidentes que se revise y actualice periódicamente.
Siendo conscientes – el gobierno australiano tiene una gran cantidad de activos disponibles para los propietarios de pequeñas y medianas empresas, como el manual de seguridad de la información del Centro de Ciberseguridad de Australia, que tiene lo que se conoce como los ‘ocho esenciales’, un conjunto de técnicas y procedimientos.
Pidiendo ayuda – si no tiene los recursos para monitorear su negocio en busca de amenazas, busque los servicios del servicio de respuesta a amenazas administrado para ayudar a mantener su red segura en función de los controles que una organización puede implementar para ayudarlos a mitigar muchas de las amenazas y calcular el riesgo.
Carol Chris, gerente general regional de ANZ, GBG, dice que los ciberdelincuentes se aprovechan de la vulnerabilidad y la confusión que a menudo acompañan a estos escenarios.
“Hemos visto esto recientemente con el aumento de las estafas relacionadas con RAT en Australia, donde los sitios web falsos están haciendo que los australianos y las PYMES australianas pierdan miles de dólares a la vez.
“En consecuencia, lo más importante que las PYMES pueden hacer hoy para mitigar los riesgos de privacidad y seguridad de los datos es mantenerse alerta e invertir de manera proactiva en tecnología, soluciones y procesos que puedan identificar y defenderse de los ataques a medida que ocurren.
“El uso cada vez mayor de la identidad digital por parte de los australianos durante la pandemia en curso también está llevando a que los consumidores se sientan más cómodos compartiendo su identidad en línea debido a la necesidad de un producto o servicio.
“Si bien esta tecnología está aumentando significativamente la eficiencia y el acceso a los suministros necesarios, las PYMES deben asegurarse de que también cuentan con los procesos y la tecnología adecuados para poder confirmar que un cliente es quien dice ser”.
2 de cada 3 pymes australianas afirman que los incidentes les cuestan más de 700 000 USD
Un estudio reciente de Cisco encontró que el 65 por ciento de las PYMES australianas experimentaron un incidente cibernético durante un período de 12 meses entre 2020 y 2021, y dos de cada tres incidentes les costaron más de $ 700,000.
La mayoría de las pequeñas empresas no pueden permitirse perder tanto dinero.
“Dadas las restricciones presupuestarias que enfrentan la mayoría de las PYMES, particularmente a la luz de la pandemia en curso, las empresas deben adoptar un enfoque basado en el riesgo para la resistencia cibernética y construir la base adecuada”, dice Ian Yip, director ejecutivo de Avertro.
“Comience por determinar dónde están sus datos críticos. Asegúrese de que haya una forma de recuperarlo en caso de un ataque de ransomware. Por lo general, esto implicará realizar copias de seguridad periódicas de alguna forma. Ordene que solo las personas que necesitan trabajar con estos datos tengan acceso y elimínelos para todos los demás.
“Luego, asegúrese de que todos los sistemas críticos estén parcheados regularmente para reducir el riesgo de compromiso. El malware aprovecha regularmente las fallas en el software que los desarrolladores han pasado por alto.
“Finalmente, la educación y la conciencia cibernética comienzan desde arriba. Todos en la empresa deben saber que la ciberseguridad se toma en serio en todos los niveles y que se siguen los comportamientos correctos en todo momento. Por ejemplo, una forma sencilla de garantizar que se reduzca el riesgo de ataques de phishing es recordarles a todos que nunca deben hacer clic en los enlaces de los correos electrónicos”.
No confíes en nadie
Noel Allnutt, director de ventas y estrategia de Sekuro, cree que la privacidad de datos no necesita complicarse demasiado, especialmente cuando los recursos son limitados.
“Las PYMES pueden dar su primer paso para mejorar su postura de seguridad de datos al adoptar Zero Trust como una postura defensiva clave o marco de seguridad.
“Esencialmente, Zero Trust se trata de asumir todo y que todos no son quienes crees que son hasta que hayas validado su identidad, por ejemplo, mediante el uso de autenticación de múltiples factores, y luego solo les das acceso a lo que necesitan acceder.
“Más allá de Zero Trust, hay varios pasos pequeños que las PYMES pueden tomar para mitigar el riesgo de ser víctimas de amenazas comunes de ciberseguridad.
Secuestro de datos: Para ayudar a detener el ransomware, comience de manera simple. Asegúrese de que todo esté parcheado y actualizado y de que tenga una estrategia de respaldo que cubra lo que hay en su organización y lo que está dentro de las nubes de su organización. Sí, debe hacer una copia de seguridad de los datos almacenados en la nube. Son sus datos, después de todo. Además, asegúrese de saber cómo restaurar cuando lo necesite.
Robo de datos: Cuando se trata de robo de datos, el problema con muchas aplicaciones basadas en la nube es que les gusta compartir y almacenar datos fuera de la organización. Por ejemplo, con aplicaciones de almacenamiento como Box, Dropbox y Google Drive, es poco probable que sepa qué datos se envían y hacia dónde.
Hay plataformas como Netskope o Zscaler que le permiten ver qué datos se envían, lo que minimizará la posibilidad de robo de datos. Las empresas también deben hacer el trabajo para configurar la clasificación de datos y aplicarla en toda su organización.
Suplantación de identidad: Existen plataformas y sistemas como Mimecast que pueden proteger contra el phishing, pero también necesita un programa de educación interno realmente sólido para mantener a su equipo informado sobre las últimas tácticas utilizadas por los estafadores, como mensajes de texto o redes sociales de su ‘CEO’ solicitando información urgente. o compras sorpresa.
Invierta en tecnología en la nube
Paul Davis, vicepresidente de área de ANZ en Confluent, sugiere que invertir en tecnología de nube es muy ventajoso para la seguridad y la privacidad de los datos.
“Uno de los mayores desafíos que enfrentan las empresas hoy en día es mantenerse al día con la privacidad de los datos. Con las actualizaciones de software interminables, los sistemas de parches, la nueva legislación gubernamental y las amenazas de seguridad en evolución que enfrentan, las empresas siempre están en una carrera constante para mantenerse al día”.
“A medida que las conexiones más rápidas dan lugar a la computación en la nube, las empresas pueden resolver los problemas de seguridad y mantenerse al tanto de los mecanismos rápidamente en entornos de TI complejos y desconectados”.
“Además, la inversión en talento dentro de la industria a menudo se pasa por alto, de manera similar, se determinan funciones y responsabilidades claras para responsabilizar a las personas y brindar los mejores servicios posibles.
“Contratar a un oficial de protección de datos que brinde información estratégica y supervise las operaciones de TI podría diferenciar a una organización y garantizar que el negocio se mantenga a la vanguardia”.
La privacidad de los datos es una prioridad
Según el App Attention Index 2021 de AppDynamics, la seguridad es el componente número uno de una “experiencia total de aplicaciones” de alto rendimiento para los consumidores.
Más del 90 por ciento dijo que su expectativa de que las marcas mantengan sus datos seguros ha aumentado desde 2020, dice Gregg Ostrowski, CTO ejecutivo de Cisco AppDynamics.
“Esto demuestra que las marcas deben ir más allá para cumplir con las expectativas de seguridad de sus usuarios. En esta era posterior a la pandemia, una sólida postura de seguridad significa que las organizaciones cuentan con los procesos necesarios para proteger sus aplicaciones y su negocio de vulnerabilidades y amenazas”, dice.
“En un mundo donde los datos confidenciales corren constantemente el riesgo de verse comprometidos por actores malintencionados, deben estar preparados y fortalecer su postura de seguridad, lo que les permite predecir, prevenir y responder a las amenazas.
“La metodología DevSecOps, un enfoque moderno para el desarrollo de software, lleva las cosas un paso más allá e incorpora mejoras de seguridad al comienzo del ciclo de vida del desarrollo de aplicaciones para un enfoque más proactivo para reducir los riesgos de amenazas a los datos confidenciales de los clientes.
“Pero para que un enfoque de DevSecOps sea completamente efectivo, los equipos deben implementar una solución de observabilidad completa. Este enfoque les dará una visibilidad profunda de toda la pila de TI, incluidos los sistemas heredados tradicionales hasta los nuevos entornos de nube nativos y las implementaciones híbridas. Es un paso vital en la dirección correcta”.
Simulacros de respuesta a violaciones de datos
“Con el crecimiento de la expansión de datos en entornos de red dentro y fuera del sitio, las organizaciones deben ser proactivas en la forma en que abordan la seguridad de sus sistemas.
La realización de “simulacros de incendio” periódicos es un ejemplo, probando la fuerza, la resiliencia y la velocidad de las defensas cibernéticas y las soluciones de recuperación ante desastres, dice Paul Lancaster, Director de ingeniería de preventa en Commvault.
“Los líderes empresariales pueden creer que tienen una estrategia sólida para defenderse y recuperarse de los ataques; sin embargo, los simulacros de integridad de datos pueden confirmar si estas estrategias son efectivas, asegurando que la información crítica siempre esté lista para la recuperación.
“Además, abordar los desafíos de visibilidad de la red debe ser una prioridad para los equipos y ejecutivos de TI. A medida que las empresas pasan de soluciones de administración de datos propias a modelos híbridos, los sistemas que brindan información sobre los activos en las redes se vuelven fundamentales para ayudar a impulsar la eficiencia y proporcionar advertencias tempranas de cualquier problema.
“Es hora de que los líderes empresariales adapten su comprensión de los sistemas de seguridad y recuperación, pasando de la gestión de la infraestructura a donde se implementan las soluciones para impulsar los resultados del negocio”.
Lea sobre las 10 principales tácticas de presión utilizadas por los atacantes de ransomware en 2021
Manténgase al día con nuestras historias en LinkedIn, ., Facebook e Instagram.