Per Ron Teixeira
En els últims dos anys, s'han produït nombrosos casos d'incompliment de dades d'alt nivell que involucren a les grans corporacions. Tot i que això pot donar la percepció que només les empreses grans són dirigides per pirates informàtics i lladres, la realitat és que els pirates informàtics estan apuntant cada vegada més a les petites empreses perquè no solen tenir els recursos o coneixements que fan les grans corporacions.
Tanmateix, això no significa que les petites empreses necessitin gastar una gran quantitat de diners i recursos per protegir-se de les últimes amenaces. De fet, segons un informe recent sobre amenaces de Symantec, el 82% de les dades que es van perdre o van ser robades podrien haver estat evitats si el negoci seguia un simple pla de seguretat cibernètica.
Per començar el desenvolupament d'un pla de seguretat cibernètica, heu d'entendre les amenaces d'Internet i com protegir la vostra empresa d'aquestes amenaces afecta directament la vostra línia de fons. Com a resultat, l'Aliança Nacional per a la Seguretat Cibernètica, els socis del qual inclouen el Departament de Seguretat Nacional, l'Oficina Federal d'Investigacions, l'Administració de Petites Empreses, l'Institut Nacional d'Estàndards i Tecnologia, Symantec, Microsoft, CA, McAfee, AOL i RSA, 5 amenaces a la vostra empresa petita poden enfrontar-se a Internet, casos de negocis sobre com aquestes amenaces poden ferir-vos i mesures pràctiques que podeu adoptar per evitar aquestes amenaces.
Aquest és un resum de les cinc principals amenaces:
- # 1: Codi maliciós. Una bomba de programari de fabricació noreste va destruir tots els programes de l'empresa i els generadors de codi. Posteriorment, la companyia va perdre milions de dòlars, es va desallotjar del seu lloc en la indústria i, finalment, va haver d'acomiadar a 80 treballadors. Per assegurar-vos que no us passi, instal·leu i utilitzeu programes antivirus, programes anti-spyware i tallafocs en totes les computadores de la vostra empresa. A més, assegureu-vos que tot el programari d'ordinador estigui actualitzat i contingui els pegats més recents (p. Ex., Sistema operatiu, antivirus, anti-spyware, anti-adware, tallafocs i programari d'automatització d'oficines).
- # 2: portàtil o dispositiu mòbil robats / perduts. L'any passat, es va robar un portàtil de l'empleat del Departament d'Veterans des de casa seva. El portàtil contenia 26.5 milions d'historial mèdic de veterans. Al final, es va recuperar el portàtil i no es van utilitzar les dades; no obstant això, el VA va haver de notificar 26.5 milions de veterans de l'incident, el que va provocar audiències del Congrés i escrutini públic. Per assegurar-vos que no us passi, protegiu les dades dels vostres clients quan el transporteu a qualsevol lloc des d'un dispositiu portàtil, encriptant totes les dades que hi resideixen. Els programes de xifratge codifiquen les dades o ho fan il·legible per als forasters, fins que introduïu una contrasenya o una clau de xifratge.
- # 3: Spear Phishing. Un fabricant de bicicletes de mida mitjana es va basar fortament en el correu electrònic per realitzar negocis. En el transcurs normal d'un dia laborable, l'empresa va rebre fins a 50.000 missatges de correu brossa i phishing. En un cas, un empleat va rebre un correu electrònic de "phishing spear" que semblava que provenia del departament de TI, i va demanar al treballador que confirmés la "contrasenya d'administrador". Afortunadament per a l'empresa, quan l'empleat va demanar al gestor de línia el " contrasenya d'administrador ", va investigar més i es va adonar que el correu electrònic era una estafa. Per assegurar-vos que això no us passi, indiqueu a tots els empleats que contactin amb el vostre administrador, o simplement retireu el telèfon i contacteu amb la persona que va enviar el correu electrònic directament. És important que els vostres empleats sàpiguen què és un atac de pesca contra llances i que cal veure quelcom que sembli sospitós.
- # 4: Xarxes sense fils d'Internet sense garantia. Segons informacions, els pirates informàtics van treure la "infracció de dades més gran mai" a través d'una xarxa sense fils. Una cadena de distribució global tenia més de 47 milions d'informació financera dels clients robats per pirates informàtics que esclataven a través d'una xarxa sense fil protegida per la forma més baixa de xifrat disponible per a l'empresa. Actualment, aquesta incompliment de la seguretat ha suposat una despesa de 17 milions de dòlars, i en particular de 12 milions de dòlars en un sol trimestre o de 3 centaus de dòlar per acció. Per assegurar-vos que no us passi, si voleu configurar una xarxa sense fils, assegureu-vos que la contrasenya predeterminada canviï i assegureu-vos de xifrar la vostra xarxa sense fil amb WPA (accés protegit amb Wi-Fi).
- # 5: Amenaça d'ocupat / amant de l'empleat descontent. Un antic empleat d'una empresa que manejava operacions de vol a les principals companyies d'automoció, va suprimir informació crítica de l'ocupació dues setmanes després que renunciés a la seva posició. L'incident va causar al voltant de 34.000 dòlars en danys. Per assegurar-vos que no us passa, divideix les funcions i responsabilitats crítiques entre els empleats de l'organització, limitant la possibilitat que un individu pugui cometre sabotatges o fraus sense l'ajuda d'altres empleats de l'organització.
Seguiu aquests passos per obtenir més informació i consells detallats sobre com protegir els vostres sistemes informàtics.
1. Codi maliciós (Spyware / Virus / Trojan Horse / Worms)
Segons un estudi sobre la delinqüència informàtica del FBI de 2006, els programes de programari maliciós van comptar amb la major quantitat d'atacs cibernètics reportats, la qual cosa va comportar una pèrdua mitjana de 69.125 dòlars per incident. El programari maliciós és un programa informàtic instal·lat secretament a l'ordinador de la vostra empresa i pot causar danys interns a una xarxa d'ordinadors, com ara la supressió de fitxers crítics o pot ser usat per robar contrasenyes o desbloquejar el programari de seguretat en el lloc per tal que un hacker pugui robar informació d'usuaris o empleats. La majoria de les vegades, aquests tipus de programes són utilitzats pels delinqüents per obtenir guanys financers a través de l'extorsió o el robatori.
Estudi de cas:
Una empresa nord-americana de fabricació va capturar contractes per valor de diversos milions de dòlars per fer dispositius de mesura i instrumentació per a la NASA i la Marina dels EUA. No obstant això, un treballador del matí es va trobar incapaç d'iniciar sessió al sistema operatiu, en lloc d'obtenir un missatge que el sistema estava "en reparació". Poc després, el servidor de l'empresa es va estavellar, eliminant tots els programes d'eines i fabricació de la planta. Quan el gerent va fer còpies de seguretat, va trobar que ja no s'havien anat i que les estacions de treball individuals també havien estat eliminades. El director financer de l'empresa va declarar que la bomba de programari havia destruït tots els programes i generadors de codi que permetien a l'empresa personalitzar els seus productes i, per tant, reduir els costos. Després, la companyia va perdre milions de dòlars, es va desplaçar de la seva posició en la indústria i, finalment, va haver d'acomiadar a 80 treballadors. La companyia pot prendre alguna cosa consol en el fet que el culpable eventualment va ser detingut i condemnat.
Consells:
- Instal·leu i utilitzeu programes antivirus, programes anti-spyware i tallafocs en totes les computadores del vostre negoci.
- Assegureu-vos que els vostres equips estiguin protegits per un servidor de seguretat; Els tallafocs poden ser aparells separats, integrats en sistemes sense fils o un firewall de programari que inclou moltes suites de seguretat comercial.
- A més, assegureu-vos que tot el programari d'ordinador estigui actualitzat i contingui els pegats més recents (p. Ex., Sistema operatiu, antivirus, anti-spyware, anti-adware, tallafocs i programari d'automatització d'oficines).
2. Laptop o dispositiu mòbil robats / perduts
Crea-ho o no, els ordinadors portàtils robats o perduts són una de les maneres més habituals en què les empreses perden dades crítiques. Segons un estudi sobre delinqüència del FBI (PDF) del 2006, un portàtil robat o perdut solia tenir una pèrdua mitjana de 30.570 dòlars.Tanmateix, un incident d'alt perfil o un incident que requereix que una empresa es posi en contacte amb tots els seus clients, ja que les seves dades personals o financeres podrien haver estat perduts o robats, pot provocar pèrdues molt més elevades a causa de la pèrdua de la confiança dels consumidors, la reputació danyada i fins i tot responsabilitat legal.
Estudi de cas:
L'any passat, un empleat del Departament d'Veterans afrontava un portàtil que contenia 26.5 milions de veterans. Mentre l'empleat no era a casa, un intrús va trencar i va robar el portàtil que contenia les dades dels veterans. Al final, es va recuperar el portàtil i no es van utilitzar les dades; no obstant això, el VA va haver de notificar 26.5 milions de veterans de l'incident, el que va provocar audiències del Congrés i escrutini públic. Aquests fenòmens no es limiten al govern, el 2006 hi va haver un nombre de casos corporatius d'alt perfil que incloïen ordinadors portàtils perduts o robats que van provocar infraccions de dades. Un ordinador portàtil amb 250.000 clients d'Ameriprise va ser robat d'un cotxe. El sistema Hospitalari de Salut Providencial tenia un ordinador portàtil robat, que contenia milers d'expedients mèdics.
Consells:
- Protegiu les dades dels vostres clients quan el transporteu a qualsevol lloc des d'un dispositiu portàtil codificant totes les dades que hi resideixen. Els programes de xifratge codifiquen les dades o ho fan il·legible per als forasters, fins que introduïu una contrasenya o una clau de xifratge. Si un ordinador portàtil amb dades confidencials és robat o perdut, però les dades estan xifrades, és molt poc probable que algú pugui llegir les dades. El xifratge és la vostra última línia de defensa si es perden o s'apropen les dades. Alguns programes de xifratge estan incorporats al popular programari financer i de base de dades. Simplement consulteu el manual del propietari del programari per esbrinar si aquesta funció està disponible i com activar-la. En alguns casos, és possible que necessiteu un programa addicional per xifrar correctament les dades confidencials.
3. Spear phishing
Spear phishing descriu un atac de phishing altament segmentat. Spear phishers envia correus electrònics que apareixen genuïns a tots els empleats o membres d'una determinada empresa, agència governamental, organització o grup. Pot semblar que el missatge provingui d'un empresari o d'un col·lega que podria enviar un missatge de correu electrònic a tothom de la companyia, com ara el responsable dels recursos humans o la persona que gestiona els sistemes informàtics, i podria incloure sol·licituds de noms d'usuari o contrasenyes.
La veritat és que la informació del remitent de correu electrònic ha estat falsificada o "falsificada". Mentre que les estafes tradicionals de phishing estan dissenyades per robar informació d'individus, les estafes de phishing de les llances funcionen per accedir al sistema informàtic complet d'una empresa.
Si un empleat respon amb un nom d'usuari o una contrasenya, o si feu clic a enllaços o obre fitxers adjunts en un missatge de correu electrònic de phishing, una finestra emergent o un lloc web, és possible que posin en risc el vostre negoci o organització.
Estudi de cas:
Un fabricant de bicicletes de mida mitjana que produïa bicicletes que s'utilitzaven en curses ben conegudes, es basava en el correu electrònic per realitzar negocis. En el transcurs normal d'un dia laborable, l'empresa va rebre fins a 50.000 missatges de correu brossa i phishing. Com a resultat, la companyia va instal·lar nombrosos filtres de correu brossa per intentar protegir els empleats dels correus fraudulents. Tanmateix, molts correus fraudulents segueixen passant als empleats. En un cas, un empleat va rebre un correu electrònic de "phishing spear" que semblava que provenia del departament de TI, i va demanar al treballador que confirmés la "contrasenya d'administrador". Afortunadament per a l'empresa, quan l'empleat va demanar al gestor de línia el " contrasenya d'administrador ", va investigar més i es va adonar que el correu electrònic era una estafa. Tot i que aquest exemple no va donar lloc a una pèrdua financera, podria tenir fàcilment, i és un problema comú per a totes les empreses.
Consells:
- Els empleats mai no han de respondre a correu brossa o missatges emergents que es refereixin a un negoci o organització que pugueu tractar, per exemple, un proveïdor de serveis d'Internet (ISP), banc, servei de pagament en línia o fins i tot una agència governamental. Les empreses legítimes no demanaran informació sensible per correu electrònic o un enllaç.
- A més, si un empleat rep un correu electrònic que sembla que és d'un altre empleat, i demana la contrasenya o qualsevol tipus d'informació del compte, no hauria de respondre-hi ni proporcionar cap informació confidencial per correu electrònic. En lloc d'això, indiqueu a l'empleat que es posi en contacte amb el seu administrador, o simplement retireu el telèfon i contacteu amb la persona que va enviar el correu electrònic directament.
- És important que els vostres empleats sàpiguen què és un atac de pesca contra llances i que cal veure quelcom que sembli sospitós. La millor manera d'evitar convertir-se en víctima d'un atac de pesca de llança és deixar que tothom sàpiga que està passant abans que ningú perdi cap informació personal.
4. Xarxes sense fils d'Internet sense garantia
Els consumidors i les empreses adopten ràpidament i implementen xarxes sense fils d'Internet. Segons un estudi de InfoTech, la penetració de les xarxes sense fils d'Internet arribarà al 80% el 2008. Si bé les xarxes sense fils d'Internet ofereixen a les empreses l'oportunitat d'optimitzar les seves xarxes i construir una xarxa amb poca infraestructura o cables, hi ha riscos de seguretat que les empreses han de fer front utilitzant xarxes sense fils d'Internet. Els pirates informàtics i els estafadors poden accedir a les computadores de les empreses a través d'una xarxa d'Internet sense fils oberta i, com a resultat, podrien robar la informació del client i fins i tot la informació privilegiada. Malauradament, moltes empreses no prenen les mesures necessàries per garantir les seves xarxes sense fils. Segons un estudi de Symantec / Small Business Technology Institute del 2005, el 60% de les petites empreses tenen xarxes sense fils obertes. A més, moltes altres empreses petites no poden utilitzar la seguretat sense fil suficient per protegir els seus sistemes. No garantir adequadament una xarxa sense fils és com deixar la porta d'una empresa oberta de nit.
Estudi de cas:
Segons informacions, els pirates informàtics van treure la "infracció de dades més gran mai" a través d'una xarxa sense fils. Una cadena de distribució global tenia més de 47 milions d'informació financera dels clients robats per pirates informàtics que esclataven a través d'una xarxa sense fil protegida per la forma més baixa de xifrat disponible per a l'empresa. El 2005, dos hackers suposadament estacionats fora d'una botiga i utilitzaven una antena inalàmbrica de telescopi per decodificar dades entre els escàners de pagament manuals, permetent-los entrar en la base de dades de la companyia matriu i retirar-se amb registres de targetes de crèdit i dèbit de prop de 47 milions de clients. Es creu que els pirates informàtics tenien accés a la base de dades de targetes de crèdit durant més de dos anys sense detectar-la. En lloc d'utilitzar el programari de xifratge més actualitzat per assegurar la seva xarxa sense fils: Accés protegit Wi-Fi (WPA), la cadena minorista va utilitzar una antiga forma de xifrat anomenada Privacitat d'equivalència sense fil (WEP), que segons alguns experts pot ser fàcilment piratejat en tan sols 60 segons. Actualment, aquesta incompliment de la seguretat ha suposat una despesa de 17 milions de dòlars, i en particular de 12 milions de dòlars en un sol trimestre o de 3 centaus de dòlar per acció.
Consells:
- Quan configureu una xarxa sense fil, assegureu-vos que la contrasenya predeterminada es modifiqui. La majoria de dispositius de xarxa, inclosos els punts d'accés sense fils, estan preconfigurats amb contrasenyes d'administrador predeterminades per simplificar la configuració. Aquestes contrasenyes predeterminades es troben fàcilment en línia, de manera que no proporcionen cap protecció. Si canvieu les contrasenyes predeterminades, és més difícil que els atacants prenguin el control del dispositiu.
- A més, assegureu-vos de xifrar la vostra xarxa sense fil amb xifrat WPA. WEP (privadesa equivalència cableada) i WPA (accés protegit amb Wi-Fi) codifiquen la informació dels dispositius sense fils. Tanmateix, WEP té una sèrie de problemes de seguretat que el fan menys efectiu que WPA, de manera que hauríeu de buscar específicament equips que admetin el xifratge a través de WPA. El xifratge de les dades impedirà que qualsevol persona que pugui controlar el trànsit sense fils de la xarxa no pugui veure les vostres dades.
5. Amenaça d'empleats / discapacitats de l'empleat
Un empleat descontent o una informació privilegiada pot ser més perillós que l'hacker més sofisticat a Internet. Segons les polítiques de seguretat i la gestió de contrasenyes de la vostra empresa, els usuaris d'Internet poden tenir accés directe a les vostres dades crítiques i, com a resultat, poden robar-la fàcilment i vendre-la al vostre competidor, o fins i tot eliminar-ne totes, causant danys irreparables. Hi ha mesures i mesures que podeu prendre per evitar que un empleat amb informació privilegiada o descontent sigui accedir a la informació clau i danyar les xarxes de la vostra computadora.
Estudi de cas:
Un antic empleat d'una empresa que manejava operacions de vol a les principals companyies d'automoció, va suprimir informació crítica de l'ocupació dues setmanes després que renunciés a la seva posició. L'incident va causar al voltant de 34.000 dòlars en danys. Segons els informes, l'empleat estava molest per haver estat alliberada per l'empresa abans del que havia previst. Suposadament, el servidor de seguretat de l'empresa estava compromès i l'autor va entrar en la base de dades dels empleats i va eliminar tots els registres. Les declaracions de la companyia indiquen que l'antic empleat descontent era una de les tres persones que coneixia la informació d'inici de sessió i contrasenya del servidor de seguretat que protegia la base de dades dels empleats.
Consells:
Hi ha diverses maneres en què la vostra empresa pot protegir-se de les amenaces d'empleats privats o descontents:
- Divideix funcions i responsabilitats crítiques entre els empleats de l'organització, limitant la possibilitat que un individu pugui cometre sabotatges o fraus sense l'ajuda d'altres empleats de l'organització.
- Implementar polítiques d'autenticació i contrasenya estrictes. Assegureu-vos que cada empleat utilitza contrasenyes que contenen lletres i números, i no utilitzeu noms ni paraules.
- A més, assegureu-vos de canviar les contrasenyes cada 90 dies, i el més important, suprimir el compte d'un empleat o canviar les contrasenyes als sistemes crítics, després que un empleat abandoni la vostra empresa. Això fa que els empleats descontents puguin danyar els vostres sistemes després de sortir.
- Realitzeu la diligència deguda ANTES de contractar a algú. Feu comprovacions d'antecedents, controls educatius, etc. per garantir que contracteu bones persones.
Sobre l'autor: Com a director executiu de l'Aliança Nacional de Seguretat Cibernètica (NCSA), Ron Teixeira és responsable de la gestió global dels programes de sensibilització de la seguretat cibernètica i els esforços nacionals d'educació. Teixeira treballa estretament amb diverses agències governamentals, corporacions i entitats sense ànim de lucre per augmentar la consciència de les qüestions de seguretat a Internet i capacitar els usuaris domèstics, les petites empreses i la comunitat educativa amb eines i bones pràctiques dissenyades per garantir una experiència segura i significativa d'Internet.
9 Comentaris ▼
