En un mundo cada vez más digital, las organizaciones se enfrentan a amenazas de ciberseguridad cada vez más sofisticadas, las organizaciones muchas veces deben utilizar datos confidenciales en sus aplicaciones para poder operar y llevar a cabo de manera efectiva sus objetivos de negocio.
Proteger estos datos debe ser una alta prioridad, ya que son uno de los principales activos que tienen las organizaciones hoy en día, tanto en la confidencialidad, es decir, que ninguna persona no autorizada pueda leer estos datos, como también en la integridad y disponibilidad, es decir, que no puedan modificar, destruir, o poner fuera de servicio a dichos datos que se vuelven aún más críticos a medida que las organizaciones continúan transformándose digitalmente para brindar nuevas innovaciones y capacidades a sus usuarios.
Según un estudio de Sumsub, el fraude está aumentando en la región, con un incremento del 30% entre 2022 y 2023, y la amenaza se ve agravada por el aumento de los fraudes cometidos por malos actores aprovechando nuevas capacidades de la inteligencia artificial generativa, tales como la clonación de voz, los deepfakes donde se reemplaza una cara por otra, y avatares donde arman un clon digital de la persona y luego solo escribiendo un texto se genera un video de la persona diciendo dichas palabras. En Chile, el índice de fraude es de 0.7%. Lo que hace imperativo que las organizaciones cuenten con medidas sólidas de ciberseguridad para ayudar a mitigar las amenazas cibernéticas.
Ciberseguridad, datos de los usuarios y AWS
A continuación, Dario Goldfarb, Arquitecto de Soluciones de Seguridad Principal en AWS Latam, presenta cinco consejos que todas las organizaciones deben seguir para salvaguardar sus datos personales.
- Crear un robusto programa de concientización para sus trabajadores: La mejor forma de no caer en un engaño es conocer cómo funcionan y que es posible hoy en día con IA generativa. Las organizaciones deben tener una política de seguridad documentada y explicar que se espera de cada empleado en el programa de concientización, de modo que todos estén en la misma página y tengan un punto de referencia claro para cualquier consulta. La política debería delinear claramente las expectativas y el deber de todos los empleados de adherirse a los estándares colectivos requeridos para mejorar la ciberseguridad. La seguridad es una responsabilidad de todos, no solamente del equipo de Seguridad. La política debe comunicarse claramente en toda la organización y ser fácilmente accesible a través de los sistemas internos.
- Requerir credenciales únicas para los inicios de sesión corporativos: esto es algo que todos damos por sentado en nuestra vida personal, pero es imperativo, para mantener a raya a los posibles malos actores, que no se utilicen las mismas contraseñas para acceder a recursos corporativos, que a páginas que los empleados accedan por motivos personales. Se les debe exigir en los sistemas corporativos una contraseña robusta, tanto en longitud como en complejidad, al menos 8 caracteres con números/mayúsculas/símbolos. Esto dificulta que malos actores puedan adivinar la contraseña, o probar todas las potenciales combinaciones (Fuerza bruta).
- Restringir los permisos y limitar quién puede acceder a privilegios de administrador: obviamente es importante contar con los permisos necesarios del sistema de TI para que sus empleados trabajen de manera efectiva. Sin embargo, las organizaciones deben recordar que otorgar accesos innecesarios aumenta el impacto ante un incidente de ciberseguridad. La mejor práctica consiste en asegurar que todos los empleados sólo reciban los privilegios necesarios para su función de negocio. Para comenzar, las organizaciones deben auditar los privilegios existentes, establecer un proceso para el otorgamiento de cualquier nuevo permiso donde existan aprobaciones y controles, y realizar revisiones de acceso periódicas.
- Realizar copias de seguridad de los sistemas en la nube: el uso de copias de seguridad (backups) en la nube es un paso crucial para proteger los datos de la organización que tienen su información almacenada localmente (on-prem), para que los datos sean recuperables ante la destrucción o cifrado por un adversario que busque extorsionarlo para que pague por recuperar sus datos. La nube simplifica la toma de backups, y el reestablecimiento de las operaciones en caso de que los malos actores comprometan la información almacenada localmente. Los respaldos en la nube proporcionan mayor durabilidad y resiliencia, de modo que los datos no se pierdan por una cinta vieja, y evita que adversarios puedan eliminar el dato junto con su backup.
- Fomentar una cultura donde cada uno se sienta responsable en parte por la seguridad, y pueda reportar incidentes sin miedo — El sustento de todas estas recomendaciones es la cultura. La cultura de ciberseguridad de una organización debe estar impulsada por la inclusión y el espacio seguro, evitando buscar a quien echarle la culpa cuando las cosas van mal, o cuando reportan algo que resultó no ser nada. Es preferible investigar 100 veces casos que no fueron nada y no perderse el reporte de algo que sí debía ser investigado. Los métodos de capacitación en seguridad más tradicionales y desactualizados son cada vez más obsoletos, ineficaces y hasta potencialmente problemáticos generando una falsa sensación de seguridad. Las organizaciones deben concentrarse en impulsar una mayor conciencia y mejorar la capacitación conductual para fomentar cambios positivos entre su base de empleados y ayudar a mejorar la ciberseguridad colectiva. Si tiene desarrolladores en su organización, ellos deben aprender prácticas de desarrollo seguro, y preocuparse por que su código no incluya vulnerabilidades, no confiar únicamente en que seguridad hará un chequeo posteriormente.
Los controles robustos de ciberseguridad ya no son un “nice to have” para las organizaciones. En un mundo que se vuelve cada vez más digital, nuestra huella y datos personales se vuelven nuestro más valioso activo. Las organizaciones pueden ayudar a mitigar riesgos siguiendo los cinco principios rectores mencionados anteriormente. Ponerlos en acción, en combinación con un fuerte apoyo desde el liderazgo de la organización (CEO / CIO) y fomentar una cultura de seguridad bien entendida y ampliamente adoptada entre los empleados ayudará a cualquier organización a mejorar su madurez en ciberseguridad.
Cuando los líderes de la organización establecen a la seguridad como la prioridad, se resuelven muchos conflictos de intereses y se reducen los riesgos. La ciberseguridad no se trata solo de comprar tecnología.