Las empresas de todo el mundo son más vulnerables que nunca a los ataques cibernéticos derivados de la pandemia.
A medida que la pandemia de COVID-19 asola el mundo, las empresas se están adaptando a un nuevo modelo de trabajar con el objetivo de minimizar los riesgos de salud asociados con los colaboradores y clientes, apuntando a evitar el contacto físico y favoreciendo el distanciamiento social. Esta adaptación ha empujado a millones de personas a estructuras de trabajo remoto o a interacciones en línea entre clientes y empresas. Con este cambio de comportamiento vienen riesgos adicionales de seguridad de la información para la confidencialidad, integridad y disponibilidad de los sistemas de información clave.
EY a nivel global identificó los factores de riesgo empresariales y propuso algunas mitigaciones de riesgo que pueden ayudar a que una empresa sea resiliente cibernéticamente.
Riesgos por software
A medida que los equipos de tecnología de la información se esfuerzan por habilitar la infraestructura de trabajo a distancia, la presión para garantizar que puedan responder al creciente volumen de solicitudes de la empresa puede dar lugar a que algunos equipos de TI y/o usuarios pasen por alto las mejores prácticas de seguridad de la información. Estos son algunos desafíos:
“Los usuarios que no están familiarizados con las soluciones de teletrabajo aprobadas corporativamente pueden cometer el error de instalar sus propias soluciones y software sin controles de seguridad y privacidad. Otro problema es el aplazamiento de las actualizaciones de los equipos que se hacen de manera física”, explicó el socio de Consultoría en Riesgos de EY, Marcelo Zanotti, quien añadió la importancia de contar con una conexión de Internet segura con clave alfanumérica de mínimo ocho dígitos y evitar usar redes wifi públicas.
Feak News y correos falsos
En este tiempo ha aumentado el número de ataques de phishing, sitios maliciosos e intentos de vulnerar el correo electrónico empresarial con temas relacionados con la pandemia. Este contenido malicioso puede aparecer en forma de actualizaciones de noticias fraudulentas o fake news, guías de precaución, mapas de virus, resultados de laboratorio o memorandos de empleadores.
“Los grupos de ciberdelincuentes profesionales y lo más aficionados están utilizando información sobre la pandemia para que los usuarios descarguen sus herramientas maliciosas. Éstas incluyen downloaders, keyloggers, sitios de phishing, ramsonware, etc. Los objetivos de estos grupos siguen siendo los mismos: datos personales, datos de salud, financieros, credenciales de cuentas, pagos de rescates”, añadió el ejecutivo de EY.
Riesgos de identificación
Con respecto al trabajo remoto, se sugiere administrar y promulgar centralmente soluciones robustas de teletrabajo para capacitar y habilitar a los empleados, clientes y terceros. De igual forma, es importante aprovechar las soluciones de gestión de identidad y acceso, los análisis y los controles basados en funciones.
“Para todos los procesos que antes se realizaban personalmente como llamadas telefónicas, preguntas de seguridad u otros controles que permitían validar identidad, es necesario agregar doble factor de autenticación. Otra medida importante es brindar enlaces a las fuentes oficiales de información relacionada con la pandemia para evitar la propagación de la desinformación dentro de la organización”, declaró Marcelo Zanotti.
Por último, la firma de auditoría y consultoría recomienda establecer canales formales y transparentes para la comunicación corporativa interna con el fin de destacar lo que la empresa está haciendo para enfrentar esta pandemia.