El número de casos de delitos informáticos originados por el cibercrimen en la actualidad ha superado todas las marcas imaginadas.
Para el año en curso, las compañías de seguros esperan que el número de ataques del cibercrimen aumente nuevamente debido al enorme impacto que ha tenido el trabajo remoto en los perímetros de seguridad de las empresas en general, pero fundamentalmente las Pyme.
Prometen protección contra los efectos financieros con las llamadas políticas cibernéticas, pero…
¿realmente ayudan en una emergencia?
# 1 seguridad de TI en su mayoría inadecuada
Como regla general, el cibercimen tienen una amplia gama de puertas de enlace en las empresas.
La otra cara de la moneda es que las redes cada vez más estrechas, el intercambio de datos más rápido y la automatización cada vez mayor de los procesos provocan que las amenazas de violaciones de la protección de datos y ataques del cibercrimen también siga creciendo.
Los actores del cibercrimen a menudo pueden irrumpir en los sistemas e infraestructuras de las empresas y causar daños considerables sin mucho esfuerzo: los riesgos financieros van desde reclamos de terceros hasta sanciones contractuales, pérdida de ganancias y pagos de rescate en caso de ataques con el llamado ransomware.
Los ciberdelincuentes intentan chantajear a las empresas con estos programas maliciosos: cifran su sistema con cryptolockers que codifican archivos y exigen un rescate por el código de descifrado, preferiblemente en una criptomoneda maliciosa como Bitcoin.
Ataque cibernético: todo fuera de control
Los ataques cibernéticos a empresas están aumentando en la pandemia.
En el día de ayer el laboratorio Astrazeneca experimentó un caso particularmente flagrante, por considerarse uno de los laboratorios que está trabajando en la vacuna contra el COVID-19.
Las precauciones necesarias de las empresas incluyen una variedad de medidas técnicas y organizativas (TOM) que pueden detectar, prevenir o detener una intrusión.
Sin embargo, al final del día, dos factores suelen facilitar que los actores del cibercrimen se infiltran con éxito en los sistemas: la implementación incompleta de las medidas y el error humano.
Especialmente en las Pyme, la defensa suele ser débil.
Durante la pandemia global del coronavirus en particular, los departamentos de TI más pequeños se ocuparon de proporcionar a los empleados la infraestructura necesaria para videoconferencias y trabajar desde casa.
Cuando hablamos de las puertas de enlace recién creadas, si están cerradas, generalmente todavía están rezagadas muchas, pero muchas Pyme.
Los empleados tampoco suelen estar preparados para los nuevos riesgos.
Los correos electrónicos de phishing y los sitios web falsos relacionados con la pandemia global del coronavirus han sido multiplicados por los actores del cibercrimen: solo de enero a julio de este año, la BKA contó más de 600 nuevas investigaciones sobre delitos en Internet con contenido relacionado con la pandemia.
# 2 Se deben informar las violaciones de datos
Si los actores del cibercrimen atacan a una empresa, los datos personales también son accesibles o son robados deliberadamente.
Luego hay una violación de protección de datos notificable de acuerdo con el Reglamento general de protección de datos (GDPR).
Cualquiera que se vea afectado debe actuar rápidamente.
El GDPR estipula que las violaciones de datos deben informarse dentro de las 72 horas.
Según el RGPD, las violaciones de la obligación de informar sobre una violación de datos pueden sancionarse con una multa de hasta 10 millones de euros o hasta el dos por ciento de la facturación anual total generada en todo el mundo en el año financiero anterior, lo que sea mayor.
Pero incluso un informe oportuno no protege contra una multa por la violación de datos real: en septiembre de 2018, British Airways admitió una fuga de datos.
Los actores del cibercrimen involucrados en el caso habían obtenido acceso a los datos personales de más de 400.000 clientes y empleados.
Dos años después, la autoridad británica de protección de datos ha impuesto una multa de 22 millones de euros a la aerolínea.
Como justificación, la autoridad supervisora cita que en la empresa prevalecieron precauciones de seguridad inadecuadas y un número muy elevado de personas se vieron afectadas por un ataque de piratas informáticos que solo fue posible como resultado.
# 3 Muchos no son asegurables
Cada vez más pequeñas y medianas empresas en Europa y América Latina quieren protegerse contra las consecuencias de los ciberataques con ciberseguros.
Una encuesta actual de solicitada por la industria de seguros alemana muestra que las empresas con 50 a 249 empleados están particularmente interesadas en tales pólizas.
En 2018, solo el 22% de estas empresas tenían o estaban considerando contratar un seguro cibernético.
Esta proporción es ahora casi el doble del 43%.
Las empresas más pequeñas con un rango que va de 10 a 29 empleados muestran una tendencia similar: en 2018, aparentemente solo el 70% de estas empresas sabían siquiera que el seguro cibernético estaba disponible.
Este año ya es un 20% más alcanzando 90%.
Solo el 17% de las empresas más pequeñas tenía la intención de contratar un seguro cibernético hace aproximadamente dos años.
Hoy es casi el 35%. Obviamente tomamos números de Alemania, porque es un país prolijo, con métricas confiables, en América Latina, adivinar un número es una quimera.
El problema: la mayoría de las empresas simplemente no deberían ser asegurables porque sus precauciones de seguridad no cumplen con las condiciones del seguro.
En caso de daño, tendrían que demostrar que no violaron las obligaciones enumeradas en el contrato y que tomaron las precauciones adecuadas para proteger su infraestructura de TI y sus datos en la medida necesaria.
La llamada carga de la prueba, ya que está anclada en la mayoría de las políticas cibernéticas, dificulta que las empresas se mantengan inofensivas en caso de ciberataques, también porque los ataques suelen ser difíciles de rastrear después.
Cualquiera que también esté de acuerdo con las medidas de seguridad al concluir el contrato, que en realidad no puede implementar adecuadamente y en la medida requerida en la empresa, tiene malas tarjetas en caso de daño: la compañía de seguros puede insistir en un incumplimiento de la obligación porque no se han observado las normas de comportamiento y se niega a pagar.
El hecho es que muchas pequeñas y medianas empresas están abrumadas por los requisitos del seguro cibernético.
Su protección contra el cibercrimen suele ser muy inestable, a pesar de las políticas supuestamente protectoras.
# 4 La prevención es la mejor protección
El eslabón más débil para implementar más seguridad de TI en las empresas son los empleados.
Si solo un empleado abre un correo electrónico malicioso o hace clic en un enlace en una página preparada, esto puede desencadenar una reacción en cadena y causar un daño enorme.
Las soluciones de puerta de enlace y otros procesos técnicos pueden minimizar los riesgos, pero nunca excluirlos por completo, porque los ciberdelincuentes suelen utilizar correos electrónicos de phishing para dirigirse personalmente a los empleados.
Si estos mensajes personalizados no pasan por el control de seguridad, los ciberdelincuentes están muy cerca de su objetivo.
Si también hay una falla momentánea del empleado afectado, el objetivo del hacker generalmente se logra.
Antes de que los responsables de las empresas piensen en el ciberseguro, cuyos requisitos es posible que la empresa ni siquiera pueda cumplir, es inevitable un inventario de la propia seguridad informática.
Cada empleado debe estar familiarizado con todas las medidas de seguridad y protección de datos necesarias para minimizar el riesgo de violaciones de la protección de datos y ataques cibernéticos.
Y la propia TI de la empresa debe, por sí sola o con ayuda externa, garantizar la defensa en un nivel adecuado.
Solo cuando los requisitos técnicos y las normas claras de comportamiento se integran firmemente en la vida cotidiana de la empresa, se garantiza un estándar de seguridad básico para cada lugar de trabajo.
Y solo entonces el ciberseguro tiene sentido para el alto riesgo residual.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Fuente: https://itconnect.lat/portal/2020/11/28/cibercrimen-0004/