Las empresas gastan tiempo y dinero en sofisticadas técnicas de ciberseguridad. Pero a veces los mayores errores se esconden a simple vista
1. Ser descuidado con las cuentas de administrador. Los ataques dirigidos a los administradores suelen ser pasados por alto. Las empresas a menudo le otorgan a varios empleados acceso sin restricción a las cuentas vitales de la compañía, lo que supone un peligro inminente para la seguridad de la información, por lo que se recomienda tres acciones principales:
- Reducir el número de cuentas de administrador y únicamente las personas necesarias las obtengan.
- Agregar seguridad granular, para que cada cuenta solo tenga acceso a los recursos que realmente necesita para hacer su trabajo.
- Requerir una aprobación secundaria para ciertas tareas, de esta manera, incluso si los hackers obtienen acceso a una cuenta de administrador, no podrán hacer tanto daño, ya que otros administradores de la organización tienen que autorizar acciones de alto riesgo.
Frecuentemente los hackers consiguen acceso a cuentas de administrador logrando apoderarse de la información de toda una empresa.
2. Omitir un marco integral de gestión del riesgo. Es muy común ver que la mayoría de las empresas suelen crear conjuntos y procedimientos de seguridad cuando se presentan riesgos que puedan afectar a la organización, sin embargo, muchas compañías no son consientes de los peligros de un ataque cibernético, ya que lo relacionan a un problema netamente técnico.
Cabe destacar, que es de suprema importancia sensibilizar a todos los empleados de una organización, de la junta directiva hacia abajo, con respecto a los riesgos que presenta una organización por una vulneración a la seguridad cibernética, ya que pueden arriesgar millones de dólares en costos de reputación y pérdida de confianza de clientes. El valor de las organizaciones está en poder identificar y prevenir los riesgos antes de que estos ocurran.
3. No parchar. Otro de los errores más comunes de las compañías. Es fundamental mantener los sistemas parchados y actualizados, los ciber atacantes saben cuáles son las vulnerabilidades de cada compañía. Es así, que se recomienda incorporarlo como una práctica estándar de las empresas.
4. Pasar por alto la seguridad de los dispositivos de IdC (Internet de las Cosas). Es habitual que las empresas olviden que sus dispositivos de internet de las cosas como sensores y cámaras de vigilancia, son objetivos muy tentadores para los hackers y pueden ser explotados fácilmente. Es importante tratarlos con el mismo tipo de seguridad que aplican a los servidores y otros sistemas informáticos.
Los dispositivos del internet de las cosas son conocidos por que a menudo dejan pasar por alto la seguridad y algunos de ellos son intrínsecamente inseguros, puesto que suelen tener contraseñas predeterminadas que no pueden ser cambiadas y en ocasiones los dispositivos no pueden ser actualizados automáticamente.
Para evitar estos riesgos hay que asegurarse de que estén protegidos por elementos como los firewalls y mantenerlos parchados, además de realizar un cambio habitual a las contraseñas predeterminadas.
5. No escatimar en la capacitación. La mejor protección contra hackers y filtraciones de datos es un personal instruido sobre los peligros de la ciberseguridad. Pero si bien esta es la primera línea de defensa de la organización, la gran mayoría de las empresas no han inculcado una cultura sólida de ciberseguridad.
Es fundamental que las empresas empiecen a sensibilizar y capacitar a los empleados en una cultura de toma de conciencia sobre la ciberseguridad, ya que son ellos la primera línea de defensa dentro de una organización.