¿El coronavirus conducirá a más ataques cibernéticos?
Por Brenda R. Sharton
Tecnología
Harvard Business Review
Si bien el mundo se centra en la amenaza sistémica que representa Covid-19, los ciberdelincuentes de todo el mundo están indudablemente preparados para capitalizar la crisis lanzando un tipo diferente de "virus". Cada día, más y más empleados trabajan de forma remota, y las empresas pueden enfrentar la posibilidad de funcionar con poco o ningún personal en el sitio o equipos de esqueletos en TI y otras funciones de soporte importantes.
En este contexto, tanto los empleadores como los empleados deben tener el máximo cuidado para protegerse, así como la información confidencial de la empresa. Aquí hay algunas cosas que los empleadores y empleados deben tener en cuenta para minimizar el riesgo:
Para empleados
1. Sea más vigilante sobre los correos electrónicos de phishing
Los ciberdelincuentes aman una crisis. Esté atento a los correos electrónicos de phishing diseñados para atraerlo a hacer clic en la última y mejor oferta relacionada con las protecciones de coronavirus, o con instrucciones urgentes de su jefe que está fuera de la oficina, todo con la intención de que descargue involuntariamente malware en su dispositivo y los sistemas de la compañía.
Las últimas semanas han traído un aumento considerable en las estafas de interrupción de correo electrónico comercial (donde las cuentas de Office 365 o Gmail son pirateadas a través de un correo electrónico de phishing, y el pirata informático luego envía facturas fraudulentas que supuestamente provienen de proveedores legítimos, con instrucciones de cableado cambiadas con el dinero en marcha a la cuenta del hacker).
Habilite la autenticación multifactor en cualquier cuenta que controle y asegúrese de que esté en uso para las cuentas de correo electrónico de Office 365. Ese paso frustrará a todos, excepto a los actores más sofisticados. Si tiene alguna pregunta sobre la validez de un correo electrónico interno de la empresa, no dude en ponerse en contacto con el remitente, y sin duda, hágalo antes de enviar dinero o siguiendo las instrucciones de pago modificadas.
2. Practique la buena higiene cibernética
Asegúrese de que sus dispositivos, incluido su enrutador de Internet, estén actualizados con su protección antivirus y que esté utilizando conexiones seguras y conocidas. Evite la tentación de usar Bluetooth en un lugar público: es una manera fácil para que los piratas informáticos se conecten a su dispositivo. Use la autenticación multifactor en cualquier cuenta para la que esté disponible. Siga las pautas de la compañía sobre el uso de Internet y el uso de su propio dispositivo.
3. Utilice solo WiFi seguro
Solo trabaje en conexiones a Internet seguras y protegidas con contraseña. Si tiene que usar WiFi público, asegúrese de verificar con el propietario que la red a la que se está conectando es su red legítima y está protegida mediante una contraseña. Evite acceder a información confidencial o confidencial de una red WiFi pública. Los piratas informáticos intentarán engañarte imitando el nombre de una red segura, así que observa atentamente y verifica para asegurarte de que la que te unes sea legítima. Si no lo hace, puede otorgarle al hacker control y acceso sobre todo lo que hace en Internet.
4. Reporte dispositivos perdidos o robados inmediatamente
El trabajo remoto aumenta el potencial de pérdida o robo de sus dispositivos. Asegúrese de informar cualquier dispositivo perdido o robado de inmediato al personal de seguridad de la información de la compañía para minimizar el riesgo de fraude.
Para empleadores
1. Configure el acceso remoto ahora
Si tiene personal que necesita acceso remoto, debe asignarlo ahora antes del cierre de la oficina. Es más difícil emitir tokens de autenticación multifactor a empleados externos que trabajan de forma remota por primera vez e instalar tecnología similar sin acceso físico.
2. La información confidencial sigue siendo confidencial
Recuerde a los empleados que usen la misma atención o más con información confidencial como lo harían si estuvieran en la oficina. El correo electrónico personal no debe utilizarse para ningún negocio de la empresa, y los empleados deben realizar un seguimiento de lo que están imprimiendo en casa. Si el documento impreso estaría sujeto a trituración en el entorno de la oficina, tenga cuidado de segregar y triturar ese mismo documento en casa, o abstenerse de imprimirlo en primer lugar.
3. Recuerde a los empleados que no deben usar laptops personales para trabajar
Solicite a sus empleados que usen computadoras portátiles emitidas por la compañía o que se comuniquen con el personal de seguridad de su información si no están seguros sobre el equipo que están utilizando. El uso de dispositivos personales crea problemas relacionados con la preservación de documentos y agrega un mayor riesgo. Además, el software que alimenta algunos equipos domésticos puede estar desactualizado durante meses o incluso años.
4. Actualice sus contactos de emergencia
Asegúrese de que su empresa tenga una forma "fuera de banda" para contactar a todos los empleados, ya sea un número de teléfono celular u otra forma de contactar al empleado fuera de los sistemas de la compañía. De esa manera, si su empresa es víctima de un ataque (malware, rescate, DDoS u otro tipo), podrá comunicarse con sus empleados. Para el personal clave o la alta gerencia, configure un grupo en una aplicación segura de mensajes de texto como Signal, de modo que si los sistemas no funcionan y el correo electrónico no puede, la alta gerencia podrá comunicarse sin temor a la intercepción de ciberdelincuentes.
Las herramientas de acceso remoto han avanzado en formas que eran inconcebibles incluso hace tan solo 10 años, lo que hace posible el trabajo remoto en masa. Sin embargo, al igual que con toda la seguridad de los datos, el acceso remoto es tan fuerte como su enlace más débil. Con una fuerte combinación de tecnología y conocimientos y capacitación de los empleados, se puede hacer de manera segura e inteligente. Manténgase a salvo y tenga cuidado por ahí.
La Sra. Sharton quisiera agradecer la ayuda con este artículo de los colegas de Goodwin, David S. Kantrowitz, abogado en Privacidad + Ciberseguridad y abogado calificado de Legal 500 "Next Generation", y Scott D. Kopcha, director gerente de Seguridad de la Información.
Brenda R. Sharton es socia de litigios y presidenta global de la práctica de Privacidad + Ciberseguridad de Goodwin. Pionera en el espacio, Sharton ha manejado cientos de violaciones de datos para empresas públicas y privadas, así como litigios de privacidad históricos. Fue nombrada "Abogada Líder" en Leyes Cibernéticas por Legal 500, solo uno de los 18 abogados en los Estados Unidos.
Tecnología
Harvard Business Review
Si bien el mundo se centra en la amenaza sistémica que representa Covid-19, los ciberdelincuentes de todo el mundo están indudablemente preparados para capitalizar la crisis lanzando un tipo diferente de "virus". Cada día, más y más empleados trabajan de forma remota, y las empresas pueden enfrentar la posibilidad de funcionar con poco o ningún personal en el sitio o equipos de esqueletos en TI y otras funciones de soporte importantes.
En este contexto, tanto los empleadores como los empleados deben tener el máximo cuidado para protegerse, así como la información confidencial de la empresa. Aquí hay algunas cosas que los empleadores y empleados deben tener en cuenta para minimizar el riesgo:
Para empleados
1. Sea más vigilante sobre los correos electrónicos de phishing
Los ciberdelincuentes aman una crisis. Esté atento a los correos electrónicos de phishing diseñados para atraerlo a hacer clic en la última y mejor oferta relacionada con las protecciones de coronavirus, o con instrucciones urgentes de su jefe que está fuera de la oficina, todo con la intención de que descargue involuntariamente malware en su dispositivo y los sistemas de la compañía.
Las últimas semanas han traído un aumento considerable en las estafas de interrupción de correo electrónico comercial (donde las cuentas de Office 365 o Gmail son pirateadas a través de un correo electrónico de phishing, y el pirata informático luego envía facturas fraudulentas que supuestamente provienen de proveedores legítimos, con instrucciones de cableado cambiadas con el dinero en marcha a la cuenta del hacker).
Habilite la autenticación multifactor en cualquier cuenta que controle y asegúrese de que esté en uso para las cuentas de correo electrónico de Office 365. Ese paso frustrará a todos, excepto a los actores más sofisticados. Si tiene alguna pregunta sobre la validez de un correo electrónico interno de la empresa, no dude en ponerse en contacto con el remitente, y sin duda, hágalo antes de enviar dinero o siguiendo las instrucciones de pago modificadas.
2. Practique la buena higiene cibernética
Asegúrese de que sus dispositivos, incluido su enrutador de Internet, estén actualizados con su protección antivirus y que esté utilizando conexiones seguras y conocidas. Evite la tentación de usar Bluetooth en un lugar público: es una manera fácil para que los piratas informáticos se conecten a su dispositivo. Use la autenticación multifactor en cualquier cuenta para la que esté disponible. Siga las pautas de la compañía sobre el uso de Internet y el uso de su propio dispositivo.
3. Utilice solo WiFi seguro
Solo trabaje en conexiones a Internet seguras y protegidas con contraseña. Si tiene que usar WiFi público, asegúrese de verificar con el propietario que la red a la que se está conectando es su red legítima y está protegida mediante una contraseña. Evite acceder a información confidencial o confidencial de una red WiFi pública. Los piratas informáticos intentarán engañarte imitando el nombre de una red segura, así que observa atentamente y verifica para asegurarte de que la que te unes sea legítima. Si no lo hace, puede otorgarle al hacker control y acceso sobre todo lo que hace en Internet.
4. Reporte dispositivos perdidos o robados inmediatamente
El trabajo remoto aumenta el potencial de pérdida o robo de sus dispositivos. Asegúrese de informar cualquier dispositivo perdido o robado de inmediato al personal de seguridad de la información de la compañía para minimizar el riesgo de fraude.
Para empleadores
1. Configure el acceso remoto ahora
Si tiene personal que necesita acceso remoto, debe asignarlo ahora antes del cierre de la oficina. Es más difícil emitir tokens de autenticación multifactor a empleados externos que trabajan de forma remota por primera vez e instalar tecnología similar sin acceso físico.
2. La información confidencial sigue siendo confidencial
Recuerde a los empleados que usen la misma atención o más con información confidencial como lo harían si estuvieran en la oficina. El correo electrónico personal no debe utilizarse para ningún negocio de la empresa, y los empleados deben realizar un seguimiento de lo que están imprimiendo en casa. Si el documento impreso estaría sujeto a trituración en el entorno de la oficina, tenga cuidado de segregar y triturar ese mismo documento en casa, o abstenerse de imprimirlo en primer lugar.
3. Recuerde a los empleados que no deben usar laptops personales para trabajar
Solicite a sus empleados que usen computadoras portátiles emitidas por la compañía o que se comuniquen con el personal de seguridad de su información si no están seguros sobre el equipo que están utilizando. El uso de dispositivos personales crea problemas relacionados con la preservación de documentos y agrega un mayor riesgo. Además, el software que alimenta algunos equipos domésticos puede estar desactualizado durante meses o incluso años.
4. Actualice sus contactos de emergencia
Asegúrese de que su empresa tenga una forma "fuera de banda" para contactar a todos los empleados, ya sea un número de teléfono celular u otra forma de contactar al empleado fuera de los sistemas de la compañía. De esa manera, si su empresa es víctima de un ataque (malware, rescate, DDoS u otro tipo), podrá comunicarse con sus empleados. Para el personal clave o la alta gerencia, configure un grupo en una aplicación segura de mensajes de texto como Signal, de modo que si los sistemas no funcionan y el correo electrónico no puede, la alta gerencia podrá comunicarse sin temor a la intercepción de ciberdelincuentes.
Las herramientas de acceso remoto han avanzado en formas que eran inconcebibles incluso hace tan solo 10 años, lo que hace posible el trabajo remoto en masa. Sin embargo, al igual que con toda la seguridad de los datos, el acceso remoto es tan fuerte como su enlace más débil. Con una fuerte combinación de tecnología y conocimientos y capacitación de los empleados, se puede hacer de manera segura e inteligente. Manténgase a salvo y tenga cuidado por ahí.
La Sra. Sharton quisiera agradecer la ayuda con este artículo de los colegas de Goodwin, David S. Kantrowitz, abogado en Privacidad + Ciberseguridad y abogado calificado de Legal 500 "Next Generation", y Scott D. Kopcha, director gerente de Seguridad de la Información.
Brenda R. Sharton es socia de litigios y presidenta global de la práctica de Privacidad + Ciberseguridad de Goodwin. Pionera en el espacio, Sharton ha manejado cientos de violaciones de datos para empresas públicas y privadas, así como litigios de privacidad históricos. Fue nombrada "Abogada Líder" en Leyes Cibernéticas por Legal 500, solo uno de los 18 abogados en los Estados Unidos.
No hay comentarios:
Publicar un comentario