La ciberseguridad es importante para las organizaciones porque se ha extendido el uso de internet no sólo en sus oficinas sino también en los centros de atención a personas, debiéndose proteger no solo la información y recursos sino también los servicios y la misma identidad de las personas que pueden ser también objeto de ataque.
La razón de ser de las asociaciones reposa en la confianza que sus socios depositan en ellas. Un fallo de seguridad, una infección por ramsomware, una fuga de datos personales o críticas mal gestionadas en las redes sociales pueden quebrar la confianza. Por este motivo, es esencial proteger la reputación y mantener seguros los sistemas, la página web, el servidor de correo o la información que manejan.
Según el reporte del Instituto Nacional de Ciberseguridad (INCIBE), las organizaciones que forman parte del sector asociaciones basan su funcionamiento en la confianza con sus socios. Si esta se viera afectada por un incidente de seguridad, el futuro de la asociación podría estar en entredicho. El principal reto al que se enfrenta cualquier tipo de asociación es proteger los datos de sus asociados y evitar cualquier tipo de fuga de información. El tipo de información puede, en el caso de asociaciones de carácter político o si se trata de datos de menores o de salud por ejemplo, ser de carácter sensible, y por ello está especialmente protegida por la legislación, por lo que se deben aplicar una serie de medidas y controles de seguridad para protegerla, como puede ser el cifrado de la misma o llevar un control de acceso. Una fuga de información puede ser accidental o intencionada, causada por un miembro de la organización o insider o provocada por medio de un ataque externo, llevado a cabo por ciberdelincuentes. Las causas pueden ser muy variadas pero principalmente, cuando la fuga se ha producido por causas internas en la organización, esta suele deberse a la inexistencia o debilidad de los controles de seguridad en el acceso a la información. La accesibilidad a la información también es crucial para la correcta actividad diaria de la asociación. El principal incidente de seguridad relacionado con este principio es la infección por ransomware. Este tipo de código malicioso o malware está diseñado para secuestrar la información de las víctimas e impedir que puedan acceder a su contenido, convirtiendo la información en inaccesible.
El Tercer Sector, según Marta Colomina, la directora general de la Fundación PWC, invierte “un 42% menos que una empresa en ciberseguridad” cuando hemos comentado antes, que muchas de nuestras organizaciones poseemos un riesgo incluso más alto que el de las empresas debido especialmente al nivel reputacional y la sensibilidad que tienen nuestros datos.
Sería necesario sacar este tema de informática y moverlo a los patronatos de las fundaciones y juntas directivas de las entidades para abordarlo con la importancia que se merece y crear conciencia sobre el riesgo estratégico para la actividad de la organización.
En TechSoup Spain queremos aportar nuestro granito de arena con 8 consejos de ciberseguridad que es muy importante que tengas en cuenta para proteger esos datos tan sensibles:
1.- Confirma la identidad de todo aquél que solicite información
Los atacantes se aprovechan en muchas ocasiones de la ingenuidad o la buena fe de los integrantes de nuestros equipos para recabar información de la manera más sencilla y obvia: pidiéndola. Para ello se hacen pasar por proveedores, donantes u otros miembros de la entidad que tienen una excusa aparentemente legítima.
Es muy importante que los componentes de tu equipo conozcan estas tácticas y se aseguren de que la persona al otro lado del teléfono o el correo electrónico es quien dice ser antes de proporcionar información alguna.
2.- Las contraseñas siempre tienen que estar a buen recaudo
Si con las claves que utilizamos para nuestras cuentas personales hay que tener ciertas precauciones presentes, con las que dan acceso a información corporativa todavía más. Lo primero, seguir las recomendaciones habituales para crear una buena contraseña: no usar la misma en varios sitios (y menos si uno es personal y otro de empresa), evitar que contenga detalles sobre el propietario demasiado evidentes (fecha de cumpleaños, nombre de su perro, su equipo de fútbol favorito…) y procurar que esté compuesta por números y símbolos además de letras, combinando mayúsculas y minúsculas.
3.- Ojito con el disco duro
Guardar información relacionada con la actividad de la organización y sus miembros en el disco duro del ordenador es, por lo general, una mala idea. Los equipos de sobremesa se rompen y están expuestos a fallos o ataques que pueden suponer la pérdida de datos valiosos. Los portátiles también, y además pueden ser robados o perderse. Mejor pedir a los empleados que almacenen los archivos en los servidores de la compañía – si los hubiera – o en algún servicio en la nube.
Si de todos modos deben conservar información en el disco duro de sus equipos de trabajo, es fundamental que realicen copias de seguridad a menudo para poder recuperar el material si surge algún inconveniente.
4.- No lleves la copia de seguridad en el mismo sitio que tu ordenador portátil.
Si los trabajadores utilizan un portátil y realizan copias de seguridad en un pendrive o disco duro externo, es fundamental que no los guarden ni transporten en el mismo sitio. Ejemplo práctico: si pierden o les roban la mochila del ordenador y el disco duro externo está dentro, tanto los originales como las copias de seguridad se habrán perdido.
5.- Almacenamiento y transmisión de datos a través de internet
La mejor solución cuando la organización no puede permitirse un almacenamiento interno en condiciones es recurrir a algún servicio en la nube, ya sea para guardar allí los documentos directamente o para almacenar las copias de seguridad. Por lo general, los proveedores de servicios ‘cloud’ están más preparados que una empresa pequeña o mediana para hacer frente a todo tipo de incidentes, incluidos los ciberataques.
6.- El peligro del correo electrónico
Una de las principales herramientas que utilizan los cibercriminales para colarse en una organización y robar datos sigue siendo el correo electrónico. Si tus compañeros tienen una cuenta corporativa, lo primero que deben procurar es no utilizarla para fines personales ni proporcionarla en sitios de acceso público (por ejemplo, en un foro o una página web a la que todo el mundo puede acceder). De lo contrario, podría acabar en una lista de envío de spam y recibir correos que, además de molestos, pueden resultar peligrosos.
Jamás hay que responder al correo que proviene de un remitente sospechoso o desconocido, ni mucho menos abrir o descargar sus adjuntos. Podrían esconder malware capaz no solo de afectar a su ordenador sino, en algunos casos, a toda la red de la entidad, asociación o fundación.
7.- No instalar programas de fuentes desconocidas
Es habitual que las organizaciones restrinjan la capacidad de sus equipos para instalar nuevos programas en sus ordenadores mediante los permisos del sistema operativo. No obstante, si tienen credenciales suficientes para ejecutar nuevo software en sus ordenadores, debes pedirles que eviten descargar de páginas que no conozcan o resulten sospechosas. De hecho, ni siquiera deberían navegar por ellas. Incluso el navegador también es una puerta de acceso para los cibercriminales en muchas ocasiones. El uso de software ilegítimo o sin actualizar puede ser también una puerta de entrada para estos ciberataques.
8.- Disponer de un buen antivirus
Antes de usar cualquier ordenador o dispositivo móvil que vaya a conectarse a Internet, lo primero que se debe hacer es instalar un buen antivirus. Si esta medida es importante en los entornos domésticos, en una asociación se vuelve fundamental. Una solución de seguridad para empresas protege los equipos y los datos de la organización en multitud de circunstancias, incluso cuando los empleados cometen un error o alguna imprudencia.
Desde TechSoup Spain animamos a que todas las entidades dispongan de sus propios sistemas de ciberseguridad, ya que la prevención es necesaria en este aspecto. Cualquier precaución es poca, y en muchas ocasiones no somos conscientes de la importancia de tener esta tecnología que puede ahorrar muchos problemas a nuestras organizaciones.
En este caso, creemos que sería interesante que valorarais el hecho de disponer:
| Una plataforma que te permite compartir y proteger tus archivos confidenciales alojados en la nube. Tiene controles avanzados de seguridad, mecanismos de detección inteligentes contra amenazas, y una completa regulación de la información. Un único lugar para trabajar juntos sin problemas en tus contenidos más importantes y con la tranquilidad de que todo está en un lugar seguro. Además, si entidades como Save the Children o grandes empresas como Lilly o Astrazaneca (con datos sobre la vacuna), lo usan… ya es suficiente garantía…
Fuente Techsoup |
