El nivel de riesgo de cada empresa se evalúa en 3 aspectos

La semana anterior a declarar el estado de alarma por Covid19 asistimos a una jornada en materia de Ciberseguridad impartida por Google junto con varios organismos como Fundación Incibe, Cámara de Comercio de Madrid, Cepyme, Guardia Civil y Ministerio de Industria, Comercio y Turismo.

Se comenzó viendo cual es la presencia de Pymes y autónomos en España

 

 

Aunque los porcentajes variaban un poco de unos a otros, como valor más consensuado, reflejaron que en España aproximadamente el 95% del tejido empresarial lo componen Pymes.

  • Del total de las Pymes Españolas actuales, el 75% de las mismas trabaja con el entorno online.
  • Y al preguntarles cómo se sienten de seguros en su presencia online, sólo el 40% dice que se siente con seguridad en este entorno.

Ante esta situación, de “Inseguridad Online”, atendamos a estas 3 recomendaciones para empezar a dar pasos correctos  en materia de seguridad.

1. El nivel de riesgo de cada organización (grande o pequeña) hay que trabajarlo en relación a 3 aspectos:

    • Personas
    • Procesos y
    • Tecnología.

 

Todos estos elementos hay que tenerlos en cuenta para tener protegido cada puesto de trabajo.

Hay diferentes vías para evaluarlo.  Incibe ofrece una herramienta de autodiagnóstico a través de su web. En poco más de 5 minutos puedes tener tu autodiagnóstico desde aquí: https://adl.incibe.es/

2. Acometer proyectos DLP (acrónimo en inglés de Data Lost Protection) para definir:

    • políticas de seguridad,
    • procesos y
    • procedimientos que se mantienen y se utilizan para gestionar los sistemas de información.

Los DLP tienen que cubrir roles, alcances, responsabilidades, etc. Desde algunos organismos, como Incibe, se recomienda implementar el Plan Director de Seguridad e identificar qué nivel de seguridad hay en la Empresa.

3.Mejorar el sistema de autenticación de Contraseñas

Todos los que nos hemos creado al menos una cuenta de correo electrónico, conocemos cuál es el fin y uso de las contraseñas. Son para autentificarnos ante el proceso de verificación de identidad de cualquier servicio online que lo solicite y sirven para asegurar que el usuario no es un impostor y es realmente quien dice ser.

Según la Oficina de Seguridad del Internauta, casi el 90% de las contraseñas de los usuarios de todo el mundo son vulnerables a los ataques de los ciberdelincuentes.

¿De cuántas formas podemos identificarnos para verificar que somos el usuario que decimos ser en un determinado sitio web?

  1. Usuario y Contraseña.Es lo más utilizado por todos.
  2. Utilizando un soporte externo. Puede ser tarjetas de identidad o de coordenadas, o un token de seguridad_autenticación o criptográfico (generador de claves de varios dígitos de forma aleatoria) que puede ser físico o virtual.                                                                                                                                                                 ¿para qué un token de seguridad? Para que las posibilidades de fraude se reduzcan. Muy utilizada en servicios financieros, que en origen se dirigió a empresas y ya hoy está habilitado para personas naturales
  3. Huella dactilar; Activación por voz; Reconocimiento facial. Que son características físicas del usuario que se identifica.

Como tener unas contraseñas segura:

  1. No reutilizar las mismas contraseñas en varios sitios.
  2. Siempre contraseñas seguras y complejas para tus diversas cuentas en línea.
  3. Si se puede, usar autenticación de dos factores para generar una contraseña segura.
  4. La longitud de las contraseñas: Mejor de 10 caracteres.
  5. Tener los sistemas actualizados.
  6. Aplicaciones seguras.
  7. Utilizar algún gestor de contraseñas
  8. Cambia tus contraseñas al menos 1 vez al año

Puedes hacer 5 cosas más:

1. Evaluar la seguridad de tu dispositivo Android.

    • Para evaluar la seguridad de tu dispositivo Android:  Puedes utilizarCONAN mobile, que es una aplicación gratuita que te ayuda a proteger tu dispositivo móvil Android y a analizar el nivel de seguridad. La puedes descargar en Google Play. Analiza y protege tu dispositivo movil Android.Te permite conocer el estado de seguridad de tu dispositivo, mostrándote soluciones a posibles riesgos a los que esté expuesto y proporcionándote algunos consejos que te ayudarán a mejorar su seguridad.

2.Comprobar si tu cuenta de correo ha sido comprometida alguna vez.

      • Puedes comprobar si tu cuenta de correo ha sido comprometida desde https://haveibeenpwned.com/.   Si está todo bien te saldrá un mensaje como éste:   y si ha sido comprometida, te sale esto otro, con todo detalle si avanzas en la página.

3.Averiguar si tu contraseña ha sido descifrada en alguna ocasión

    • Desde ésta otra página https://ghostproject.fr/  nos muestran que son muchas las contraseñas que se han encontrado y en pocos segundos. Si la contraseña asociada a este email ha sido descifrada

4.Elegir el gestor de contraseñas

    • Algunos buenos gestores de contraseñas son:
      • Keepass2android,  para Android
      • Strongbox, para iPhone.

5.Guardar la base de datos de contraseñas 

¿Conoces los ataques a los que estamos expuestos?:

Desde algunas cuentas de correo, se bloquean diariamente millones de mensajes de phishing, malware y de spam. En estos momentos muchos están relacionados con COVID-19.

Los ciberdelincuentes se hacen pasar por otras entidades para conseguir su propósito.

  • Ahora con COVID-19, se hacen pasar por organismos sanitarios oficiales y solicitan donaciones en Bitcoin.
  • En otras ocasiones, por algún departamento de administración de la empresa o del CEO o Instituciones del Gobierno, a través de malware, pidiendo que se entre a través de unos enlaces falsos a determinado sitio.
  • Phising, suplantación de identidad por correo electrónico
  • Cibersecuestro de datos
  • Ramsoftware o “malicious software”, es un malware que secuestra cuentas y piden dinero a cambio de liberarlo. La definición encontrada es:
  • Ataques dirigidos y espionaje (industrial u otros)
  • Defacement, cambia la apariencia visual de un sitio web o una página web, entrando en un servidor web y reemplazan el sitio web alojado por uno propio.
  • Ingeniería social
  • Fraude del CEO (PoC)

Según relatos de uno de los hackers más famososo de la historia, Kevin David Mitnick, todas las personas tenemos 4 aspectos básicos en común.  Esto es conocido por los ciberdelincuentes y lo usan en los ataques de ingeniería social. En muchas ocasiones con acciones muy simples, como una llamada de teléfono, nos cautivan porque:

  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir No.
  • A todos nos gusta que nos alaben.

Se han escrito novelas y rodado alguna película en la que cuentan parte de su vida. Novelas:  Takedown, que relata su último arresto y The Fugitive Game, y la película con el mismo título que la novela, Takedown en el año 2000.

¡Pongamos atención a nuestra seguridad !