10 razones por las que las empresas no invierten en ciberseguridad

Recomendados:  Metallic Salesforce Backup Leer 7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer Anatomía del ataque a una cuenta privilegiada Leer

Con la llegada de la pandemia, millones de empresas, tanto españolas como en el resto del mundo, tuvieron que acelerar sus procesos de digitalización para adaptarse a la nueva realidad y apostando por el teletrabajo, convirtiéndose en el punto de mira de los ciberdelincuentes. Y a pesar de ello, un gran número de compañías hoy en día siguen sin invertir en políticas de seguridad para mantener las redes, dispositivos y datos seguros ante posibles ataques cibernéticos. Según NUUBB, hay 10 razones principales y erróneas por las que las empresas no invierten en ciberseguridad:

--No somos un objetivo, somos demasiado pequeños y/o no tenemos activos de valor para un atacante. Las empresas que suelen ser presas de los ciberataques piensan que no son atractivas para los ciberdelincuentes. Sin embargo, cualquier compañía que tenga presencia digital y capacidad de procesamiento puede ser un claro objetivo. Y es que, muchos de estos ciberataques no son provocados por ciberdelincuentes avanzados, sino por oportunistas que buscan presas fáciles, como organizaciones con brechas de seguridad, errores o configuraciones erróneas que ponen en jaque a muchas compañías.

--No necesitamos tecnologías de seguridad avanzadas en todas partes. Algunos equipos de TI todavía creen que un software de seguridad es suficiente para detener todas las amenazas y no necesitan seguridad para sus servidores. Sin embargo, la lista de técnicas de ataque que intentan eludir o deshabilitar un software básico y evitar la detección por parte de los equipos de seguridad de TI va en aumento. Del mismo modo, los servidores pueden estar desprotegidos, y los atacantes pueden encontrar fácilmente una ruta de acceso utilizando credenciales de acceso robadas. Por todo ello, teniendo solo presente la seguridad básica, sin herramientas más avanzadas e integradas, como la detección basada en el comportamiento y la inteligencia artificial y un centro de operaciones de seguridad, es probable que los intrusos eventualmente encuentren el camino para poder atacar.

--Contamos con políticas de seguridad sólidas. Disponer de políticas de seguridad para aplicaciones y usuarios es clave, pero deben revisarse y actualizarse constantemente a medida que se agregan nuevas características y funcionalidades a los dispositivos conectados a la red. Los expertos recomiendan verificar y probar las políticas, utilizando técnicas como pruebas de penetración, sesiones de control y ejecuciones de prueba de los planes de recuperación ante desastres.

--Los servidores de protocolo de escritorio remoto (RDP) pueden protegerse de los atacantes cambiando los puertos en los que se encuentran e introduciendo la autenticación multifactor (MFA). Si bien la mayoría de los atacantes escanearán el puerto 3389 (el puerto estándar utilizado para los servicios RDP) para encontrar servidores de acceso remoto abiertos, el escaneo identificará cualquier servicio abierto, por lo que cambiar de puerto ofrece poca o ninguna protección por sí solo. Idealmente, a menos que su uso sea esencial, la seguridad de TI debería limitar o deshabilitar el uso de RDP interna y externamente.

--Bloquear direcciones IP de regiones de alto riesgo nos protege contra ataques desde esos lugares. Es poco probable que el bloqueo de direcciones IP de regiones específicas cause algún daño, pero podría dar una falsa sensación de seguridad si solo se confía en eso para la protección. Los ciberdelincuentes alojan su infraestructura maliciosa en muchos países, con puntos de acceso que incluyen los Estados Unidos, los Países Bajos y el resto de Europa.

--Las copias de seguridad ofrecen inmunidad frente al impacto del ransomware. Mantener actualizadas las copias de seguridad de los documentos es clave para la empresa, pero si éstas están conectadas a la red, entonces están al alcance de los ciberdelincuentes y son vulnerables a ser cifradas, eliminadas o deshabilitadas en un ataque de ransomware. La fórmula estándar para copias de seguridad seguras que se pueden usar para restaurar datos y sistemas después de un ataque de ransomware es 3: 2: 1: tres copias de todo, usando dos sistemas diferentes, uno de los cuales está offline.

--Nuestros empleados entienden de seguridad. Es difícil evitar que los usuarios finales pongan en peligro la seguridad, debido a que las tácticas de ingeniería social, como los correos electrónicos de phishing, son cada vez más difíciles de detectar. Los mensajes a menudo son hechos a mano, escritos con precisión, persuasivos y cuidadosamente dirigidos. Los empleados deben saber cómo detectar mensajes sospechosos y qué hacer cuando los reciben.

--Los equipos de respuesta a incidentes pueden recuperar los datos después de un ataque de ransomware. En la actualidad, los atacantes cometen muchos menos errores y el proceso de cifrado ha mejorado, por lo que confiar en los expertos para encontrar una laguna que pueda deshacer el daño es extremadamente raro. Las copias de seguridad automáticas, como las instantáneas de volumen de Windows, también se eliminan con la mayoría de los ransomware modernos y sobrescriben los datos originales almacenados en el disco, lo que hace que la recuperación sea imposible más allá del pago del rescate.

--Pagar el rescate permite recuperar los datos después de un ataque de ransomware. Pagar el rescate, incluso cuando parece la opción más fácil y está cubierto por la póliza de ciberseguro, no es una solución sencilla para recuperarse. Igualmente, la restauración de datos es solo una parte del proceso de recuperación. En la mayoría de los casos, el ransomware desactiva por completo los ordenadores, y el software y los sistemas deben reconstruirse desde cero antes de que se puedan restaurar los datos.

--La ejecución de ransomware es todo el ataque, si sobrevivimos, estamos bien. El ransomware es solo el punto en el que los delincuentes quieren que la empresa se dé cuenta de que están ahí y de lo que han hecho, pero probable que hayan estado en una red durante días. Mantener una presencia en las redes de la víctima permite a los atacantes lanzar un segundo ataque si así lo desean.