Tres estrategias de higiene cibernética

Los ciberdelincuentes persiguen a las Pymes porque las consideran objetivos más fáciles

.
 .  (Foto: iStock)

Muchas Pymes aún piensan que no son susceptibles de sufrir un ciberataque; sin embargo, cualquier empresa que almacene información de clientes, como direcciones de correo electrónico, números de teléfono y direcciones de facturación, o que opere en un entorno de nube, es un motivador para los piratas informáticos, aseguró el Country Manager de Tenable en México, Luis Fornelli.

Detalló que los ciberdelincuentes persiguen a las Pymes porque las consideran objetivos más fáciles. De acuerdo con un estudio de abril de 2020 realizado por Infrascale, el 46% de las  pequeñas empresas fueron atacadas específicamente con ransomware y el 73% de ellas  pagaron el dinero que se les exigía.

Desafortunadamente, advirtió, las Pymes no cuentan con los mismos recursos humanos, tecnológicos y financieros que las empresas más grandes para protegerse contra los ciberataques. No obstante, sí pueden poner en marcha mejores prácticas de "higiene cibernética" que minimicen el riesgo en esta nueva normalidad, considerando que hoy los hackers tienen más opciones de explotar vulnerabilidades en las plataformas de trabajo remoto.  

Por ello, Fornelli profundizó en tres estrategias claves para una "higiene cibernética" exitosa: 

Comprender el riesgo de vulnerabilidad. Es importante comprender que el término  vulnerabilidad significa cualquier debilidad dentro de la red pueda ser explotada. Las  vulnerabilidades pueden ser errores en la codificación de aplicaciones, fallas sin parchar en  los sistemas operativos de los hosts de la red, dispositivos en la red con medidas de seguridad insuficientes u otras complicaciones. El malware y otras amenazas cibernéticas a menudo  ingresan a las redes debido a vulnerabilidades pero no son vulnerabilidades en sí mismas. Reconocer cuáles son estas debilidades es el primer paso para establecer la higiene cibernética. 

"Shadow IT " y su superficie de ataque. Las PyMEs deben prestar especial atención a los dispositivos que no son emitidos por la compañía: las computadoras personales, teléfonos inteligentes y tabletas pueden no contar con las mismas protecciones que sus contrapartes provistas por la organización y, por lo tanto, representan un grave riesgo latente.  

Del mismo modo, es primordial estar al tanto de todas las aplicaciones que se ejecutan en la  red. Las aplicaciones no autorizadas y desconocidas siempre son una señal de alerta  importante, pero también lo son las aplicaciones que no se han actualizado en un tiempo: las  últimas pueden ser tan peligrosas como las primeras, debido a su mayor probabilidad de  presentar vulnerabilidades sin parchear. 

Implementar protecciones fundamentales de ciberseguridad. Hacer uso de soluciones de  escaneo ayuda a identificar vulnerabilidades específicas donde sea que se encuentren en la red. Muchas de ellas se pueden solucionar fácilmente descargando e instalando los últimos  parches de seguridad de los fabricantes. Otra remediación de vulnerabilidades puede requerir que se eliminen aplicaciones excesivamente comprometidas y se reemplacen con programas similares no vulnerables.  

Pero existe otra opción de hacerlo, al emplear una gestión de vulnerabilidades basada en el  riesgo, los equipos de seguridad pueden concentrarse en las vulnerabilidades y los activos  que más importan y, al mismo tiempo, eliminar la prioridad de aquellas vulnerabilidades que  probablemente nunca se exploten. 

Por último, el experto de Tenable hizo un llamado a aquellas pequeñas y medianas empresas a  implementar de inmediato estas mejores prácticas de higiene cibernética y sensibilizar a los  empleados sobre su importancia; además recomendó no perder tiempo en vulnerabilidades que no representan un verdadero riesgo.  

“Es importante comprender el contexto de cada vulnerabilidad, incluyendo la criticidad de los  activos afectados y realizar una evaluación de la actividad actual y probable de los atacantes. Eliminar amenazas definitivas o potenciales es solo la mitad de la batalla, por supuesto; también se debe reducir la posibilidad de exposición futura”, señaló.