Una guia per a principiants en ciberseguretat per a petites empreses

En sentir la paraula ciberseguretat en què en penses? Probablement l’antic meme d’un adolescent encaputxat, atrapat a la pantalla d’un ordinador. Pot ser que hi hagi ciberdelinqüents que portin caputxes, però avui en dia, la ciberdelinqüència és un negoci massiu que s’espera que estigui valorat en 6 bilions de dòlars USD l’any 2021 i que sigui més rendible que el valor combinat del comerç de drogues..


La ciberdelinqüència és una bossa mixta. Descriu amenaces i atacs a qualsevol cosa digital, com dades i recursos informàtics. L’impacte d’aquests atacs és generalitzat i inclouen tant pèrdues financeres, com temps d’inici i danys a la reputació. És un delicte que continua donant. La xarxa cibercriminal és àmplia i extensa a les xarxes més sinistres, la web fosca, on es compren i venen informació robada per cometre nous delictes. Per obtenir un coneixement de com afecta la ciberdelinqüència a empreses de totes les mides i a tots els sectors, mirem alguns fets i dades:

L’impacte de la ciberdelinqüència

L’Institut Ponemon juntament amb IBM publiquen una enquesta anual sobre els costos de la ciberdelinqüència a empreses. L’estudi d’aquest any mostra que els costos associats a una ciberdicriminació han augmentat un 6,4 per cent fins a, de mitjana, 3,86 milions de dòlars USD.

Cost del ciberdelinqüència per a empreses més petites

En un altre estudi de Ponemon, que analitzava específicament els costos de la ciberdelinqüència en organitzacions menors (100-1000 empleats), van trobar que el cost mitjà per a una petita organització era de més de 2,2 milions de dòlars USD quan es va agregar la interrupció de les operacions i la pèrdua d’actius informàtics..

Phishing i Ransomware

Phishing Fishhook amb contrasenya

La caixa d’eines del cibercriminal està plena de llaminadures. Hi abunden trucs i tècniques i molts d’ells afecten la naturalesa pròpia dels éssers humans. La pesca amb pesca és l’arma d’elecció de molts ciberdelinqüents; utilitzen correus electrònics i textos falsificats per infectar ordinadors empresarials i robar les credencials d’inici de sessió. El 2017, el 76 per cent de les empreses van experimentar un atac de pesca. El Ransomware que sovint entra a una empresa mitjançant un fitxer adjunt de correu electrònic és prolífic. El 2016, una empresa va ser atacada per ransomware cada 40 segons.

Cepes de programari maliciós

Ransomware és un tipus de programari maliciós. El nombre total de soques de programari maliciós ha anat augmentant, any rere any, i al primer trimestre del 2017 es va descobrir una nova varietat de programari maliciós cada 4,2 segons. Això vol dir que és molt difícil per a les empreses protegir-se contra ell.

Incidències específiques de la ciberdelinqüència en petites empreses

Les organitzacions més petites tenen poca fruita per als pirates informàtics, ja que és menys probable que tinguin defenses de seguretat dedicades. L’estudi de Ponemon sobre ciberatacs a petites empreses va comprovar que el 48 per cent dels enquestats havien experimentat un atac de pesca; Un 43 per cent un atac basat en la web; i un 36% va dir que la seva empresa s’havia infectat amb programari maliciós. L’enquesta del govern del Regne Unit va trobar una taxa encara més elevada d’incidents de ciberseguretat entre les empreses de mida petita i mitjana i el 50% de les petites organitzacions van patir atacs..

Ciberseguretat: xocar contra petites empreses allà on fa mal

Les petites empreses són punts dolços per a certs tipus de ciberdelinqüència. Vegem alguns dels mètodes preferits de ciberdelinqüència:

Les mans en alt! Ransomware i el seu impacte en les organitzacions més petites

El Ransomware és el tipus de perill cibernètic més temut de tothom. Si us infecteu per ransomware tots els vostres fitxers, emmagatzemats localment a la vostra xarxa i, fins i tot, a les carpetes de núvol, seran xifrats pel programa de gran manera. Un cop xifrat, apareixerà un missatge d’avís a la pantalla de l’ordinador que indica que si pagueu una quantitat de criptocurrency en un termini de deu dies, se us donarà una clau especial per xifrar els fitxers. Per descomptat, es tracta de delinqüents aquí, de manera que és possible que no rebeu la clau encara que pagueu.

L’infectar amb ransomware és l’equivalent digital d’una bomba que s’apaga. No podreu treballar en cap fitxer; fulls de càlcul, documents de Word, diapositives de PowerPoint, etc., estan bloquejats. Segons la investigació, les petites empreses van perdre, de mitjana, 100.000 dòlars per incident de ransomware. El vint-i-dos per cent de les petites empreses atacades per ransomware van ser immediatament abandonades.

Somriu, heu estat emmarcat: El flagell del compromís per correu electrònic empresarial (BEC)

Business Email Compromise (BEC) és una estafa que depèn del comportament humà. L’objectiu és enganyar a un empleat, sovint al nivell C, per transferir grans sumes de diners al compte bancari del cibercriminal. Les estafes de vegades utilitzen correus electrònics de phishing que utilitzen per robar credencials d’inici de sessió per a comptes de correu electrònic i calendaris. Aquesta part de l’estafa és obtenir informació sobre l’objectiu. Utilitzen aquesta intel·ligència per enganyar la persona objectiu en una relació amb l’estafador. L’objectiu és crear confiança per aconseguir que la persona escollida transfereixi els diners.

El truc inclou, de vegades, la creació de correus electrònics falsos que semblen molt semblants al correu electrònic provinent d’una persona del nivell C. Els correus electrònics utilitzen una sensació d’urgència per transferir diners. Per exemple, “aquest import s’ha de transferir fins a les 12 del migdia o l’empresa perdrà un contracte lucratiu”. El correu electrònic sembla real perquè es basen en la informació que es recopila sobre l’objectiu. Així, per exemple, [email protected] es convertiria en [email protected] Molta gent no notaria la diferència en l’adreça de correu electrònic i creu que es tractava d’una sol·licitud vàlida d’una persona gran. L’FBI va examinar els costos de BEC a tot el món i va comprovar que entre octubre de 2013 i desembre de 2016, es van perdre 5.3 mil milions de dòlars de dòlars per les estafes BEC.

La Guia d’un Phisher per a la valoració de la petita empresa

El phishing és l’eina més popular del cibercriminal perquè funciona molt bé. Aquesta tàctica utilitza les nostres respostes humanes bàsiques per infectar ordinadors amb programari maliciós com ara ransomware, robar les credencials d’inici de sessió a comptes importants i també robar dades personals i sensibles. El phishing inclou diverses formes, com ara correus electrònics falsificats (incloent-hi el llançament de phishing que s’adreça a un individu d’una empresa), Vishing, que utilitza una trucada telefònica per robar informació i SMShing basat en missatges mòbils falsificats. La pesca no és també la forma preferida d’entregar ransomware: l’estudi Ponemon va trobar que el 76 per cent del ransomware es va lliurar a través d’un correu electrònic de phishing.

5 maneres d’ajudar a prevenir un incident de ciberseguretat

Pot semblar que la gestió dels riscos de ciberseguretat és una lluita ascendent. Tanmateix, hi ha diversos exercicis força senzills que podeu fer per reduir la probabilitat que la vostra petita empresa es vegi afectada per un incident de ciberseguretat o, si ho és, per reduir l’impacte..

Sensibilització en matèria de seguretat

Ser conscient dels riscos existents és la meitat de la batalla. Si coneixeu les tàctiques utilitzades pels ciberdelinqüents, com per exemple com detectar els signes d’expressió d’un correu electrònic de pesca, podeu prevenir una infecció de malware o el robatori de credencials d’inici de sessió. Una solució tangible pot ser organitzar un seminari de cibercrimina per als vostres empleats.

Opcions d’autenticació

Portàtil amb panyPotser heu sentit a parlar de l’autenticació de segon factor (2FA), que és quan després d’introduir una contrasenya, una persona rep un codi en un mòbil (o utilitza una forma biomètrica com una empremta digital). Només si introduïu això en un camp, podeu iniciar la sessió en un compte. Tot i que el 2FA no és perfecte, redueix significativament el risc de pesca. Encara que un pirata informàtic hagi robat la vostra contrasenya, encara necessitarà el codi o biomètric per iniciar la sessió. Si teniu l’opció d’utilitzar 2FA per iniciar la sessió als comptes, utilitzeu-la.

Còpies de seguretat segures i segures

Ransomware elimina eficaçment la capacitat d’utilitzar els vostres fitxers i documents. Podeu ajudar a minimitzar l’impacte d’una infecció d’un ransomware tenint còpies de seguretat segures. Tot i això, el ransomware també pot afectar els sistemes de còpia de seguretat, de manera que cal tenir el tipus adequat de sistema de còpia de seguretat. Assegureu-vos que no connecteu la vostra còpia de seguretat a la vostra xarxa. Una enquesta realitzada per SentinelOne va comprovar que les empreses que tenien còpies de seguretat segures podien obtenir les operacions amb més rapidesa.

Utilitzant les eines del comerç

El xifrat pot ser l’eina del penal del ransomware, però també és una força per al bé. Podeu xifrar les dades en repòs i en trànsit. Quan visiteu un lloc web que té HTTPS a l’URL, generalment vol dir que es transmeten de manera segura dades, com ara les vostres dades personals o contrasenyes, etc. L’ús d’encriptació i certificats digitals fa que Internet sigui lleugerament més segura. Això sí, hi ha excepcions. Alguns llocs web de falsificació fan que els usuaris pensin que el lloc és segur mitjançant HTTPS. El xifrat també és important per emmagatzemar informació sensible i dades personals a bases de dades i discs durs, com ara un ordinador portàtil.

Seguretat mòbil

Els ciberdelinqüents els agrada orientar-se als telèfons intel·ligents i hi ha moltes vulnerabilitats de seguretat mòbil. Una nova tàctica popular és ransomware als mòbils que bloquegen el telèfon fins que feu un pagament. També són predominants els troians bancaris que presenten una pantalla d’inici de sessió d’aplicacions bancàries molt convincents i roben les vostres credencials d’inici de sessió en temps real. Un informe de Verizon va trobar que el 85 per cent de les organitzacions consideraven que els mòbils suposaven un risc per al seu negoci.

Ser conscient de la amenaça cibernètica

El ciberdelinqüència és un problema creixent, però no és infranquejable. No podem, però, esperar que no ens afecti perquè som una petita empresa. Els ciberdelinqüents hi són per diners i per la interrupció i busquen objectius fàcils. Al ser conscient del que es tracta de la ciberseguretat i del tipus de riscos que hem de resoldre, la petita empresa pot protegir-se.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me