Casos prácticos

¿Cómo ayuda la concientización sobre la seguridad a los bancos y otras instituciones financieras?

Los bancos e instituciones financieras que operan con datos de clientes financieros son objetivos habituales de los ciberataques. Disponer de las mejores soluciones de seguridad no garantiza una protección total, cuando un solo error de un empleado puede comprometer toda la red. Esto podría llevar al cierre de sucursales, causando pérdidas financieras y de reputación.

Las instituciones financieras con las que trabajamos a menudo están sorprendidas por el alto porcentaje de phishing que registran durante nuestro proceso de evaluación. Nadie espera que la gran mayoría de los empleados acabe creyendo correos electrónicos fraudulentos, pero la mayoría carece de conocimientos básicos de seguridad, y es suficiente que unos pocos muerdan el anzuelo. El problema es aún más grave, ya que algunos ciberataques, como el spear phishing, están bien disimulados y son difíciles de identificar incluso por los expertos. El peligro también podría estar en un lápiz usb aleatorio encontrado en un escritorio, por ejemplo: si el ataque es lo suficientemente avanzado, basta con que un solo empleado abra el archivo para que el malware arruine todo el sistema.

ATTACK Simulator ofrece la solución para evitar riesgos, aumentar la concientización y cumplir las normativas internacionales de gestión de la seguridad (leer más sobre las certificaciones), entre otras cosas. Nuestra amplia formación ayuda a las organizaciones del sector bancario a prevenir el robo de datos y la instalación de malware, y refuerza los protocolos de seguridad de los datos de los clientes, asegurándose de que todos los empleados estén informados de las posibles amenazas y procedimientos. En resumen, le ayuda a cumplir con las buenas prácticas y la seguridad en la gestión de la información.

¿Cómo ayuda la concientización en materia de seguridad a los hospitales?

En la última década, el almacenamiento de los historiales de los pacientes pasó de los archivos físicos al espacio digital, cambio que vino acompañado de nuevas responsabilidades y normativas. En este nuevo entorno, los proveedores de servicios sanitarios están expuestos sobre todo a los riesgos de filtración de datos, al uso indebido de la información de salud protegida (protected health information – PHI) y a la necesidad de ser transparentes en la forma en que procesan la PHI. Además, cualquier entidad de Estados Unidos que maneje este tipo de datos, desde hospitales públicos hasta médicos privados, está sujeta a las normas de privacidad de la HIPAA y debe cumplir ciertos métodos de seguridad.

Ser víctima de un ciberataque tiene consecuencias financieras que afectan gravemente a la reputación del proveedor de servicios sanitarios y ponen en peligro a los pacientes cuyos expedientes han sido sustraídos. Los datos también pueden verse comprometidos accidentalmente por un comportamiento negligente. Por ello, formar adecuadamente a las personas que trabajan en ese contexto, desde los directivos hasta los voluntarios, es el primer paso para garantizar un entorno seguro para los datos.

El programa de concientización en materia de seguridad de ATTACK Simulator tiene como objetivo consolidar el esfuerzo colectivo del personal hacia un procesamiento y almacenamiento de datos más limpio y consciente. Ayuda a los proveedores de atención sanitaria a cumplir con la HIPAA y proporciona los recursos necesarios para la formación continua, muy necesaria en este entorno tan dinámico.

¿Cómo ayuda la concientización en materia de seguridad a las escuelas y universidades?

Esta era masivamente digitalizada se ha convertido ya en parte integrante de unas generaciones que se han criado con la tecnología y no podrían imaginar una sociedad sin Internet. Dada la actual pandemia y las consecuentes políticas de trabajo y estudio desde casa, la digitalización de la educación se está acelerando. Paradójicamente, cada vez es mayor el número de personas que carecen de los conocimientos informáticos necesarios, incluidos los de seguridad, al terminar los estudios. Salvo en unas pocas especialidades como informática o TI, las universidades no hacen del aprendizaje de la ciberseguridad y los conocimientos informáticos generales una parte fundamental de su plan de estudios.

Los programas informáticos están diseñados para ser cada vez más accesibles y fáciles de usar, hasta el punto de que se vuelven contraproducentes: estamos rodeados de tecnología inteligente a cada paso, desde tostadoras inteligentes hasta coches autónomos. La falta de conocimientos informáticos repercute a largo plazo en la vida privada y profesional de los estudiantes. Ya no basta con conocer los teléfonos inteligentes, la navegación básica por Internet y las aplicaciones más comunes: las futuras generaciones deben comprender los principios subyacentes de la tecnología, independientemente de su especialización universitaria, para estar al día y aportar a los últimos avances tecnológicos.

ATTACK Simulator cree en el poder de la educación, considerando la concientización sobre la seguridad como una disciplina indispensable para personas de cualquier edad. Construir un sólido conjunto de habilidades informáticas debería ser tan importante como aprender un segundo idioma. Por este motivo, queremos colaborar con escuelas y universidades para integrar nuestro programa de concientización sobre la seguridad en sus planes de estudio. De este modo, contribuimos en la preparación de la sociedad en la lucha contra los ciberdelincuentes, puesto que ya no se trata de un tema oscuro, sino de una competencia importante para cualquier persona que utilice el internet.

¿Cómo ayuda la concientización en materia de seguridad a los gobiernos y a la administración pública?

Al igual que muchas organizaciones, los gobiernos y otras instituciones públicas (ayuntamientos, hospitales, empresas públicas) han digitalizado sus servicios para estar a la altura de los requisitos de interconectividad del siglo XXI. Esto cambió la forma de operar con los datos de los ciudadanos y de los estados, pero también aumentó el potencial de ciberataques, ya que los malos actores tienen acceso a una superficie de ataque más amplia.

Además, los gobiernos y los organismos públicos suelen utilizar software anticuado (Windows XP, Office 2003, por ejemplo), lo que incrementa la vulnerabilidad frente a los ciberataques. Debido a que el software anticuado ya no recibe actualizaciones periódicas, no es compatible con las soluciones de ciberseguridad modernas, y las personas que trabajan con él están expuestas a las ciberamenazas. La falta de concientización sobre la seguridad de los empleados y de formación sobre el uso de programas informáticos es la causa más común de esta situación, lo que convierte a los gobiernos y las administraciones públicas en un objetivo habitual de los ciberataques.

Además, las administraciones públicas también son un objetivo perfecto para el ransomware debido a su necesidad de recuperar sus datos a cualquier precio. Esta reputación debe mejorarse invirtiendo más en protocolos de seguridad de la información que hagan menos probable que los hackers les ataquen. Los empleados con conocimientos toman mejores decisiones, son más prudentes y contribuyen a crear una cultura de seguridad. ATTACK Simulator actúa como coadyuvante en este proceso, permitiendo que los empleados que trabajan con tecnología obsoleta o que simplemente desconocen las ciberamenazas, estén más atentos a las prácticas de seguridad.

¿Cómo ayuda la concientización en materia de seguridad a los hoteles?

Los hoteles, los B&B y cualquier proveedor de alojamiento manejan datos sensibles de los clientes (información privada que podría identificar al cliente, así como la información de la tarjeta de crédito, la fecha de la reserva, etc.). Ofrecer experiencias de calidad a sus clientes empieza por garantizar su privacidad y proteger sus datos. Esto ya no es sólo una ventaja competitiva, sino una práctica de seguridad de la información muy necesaria para que su empresa siga funcionando y tenga éxito.

El Reglamento General de Protección de Datos (RGPD) es una estricta ley de privacidad que se aplica a todas las empresas que trabajan con datos de sujetos europeos, independientemente de la geolocalización de la empresa. Especialmente en el sector del turismo, hay muchas posibilidades de que usted procese datos de ciudadanos europeos, por lo que le animamos a realizar una formación de concientización en materia de seguridad para cumplir con las normas del GDPR. Esto puede ahorrarle a su empresa las multas de 2 millones de dólares que se aplican en caso de filtración de datos.

Además del GDPR, el PCI-DSS es otro programa de cumplimiento que exige a todas las empresas que procesan los datos de los titulares de tarjetas una formación de concientización sobre la seguridad para mitigar el riesgo de pérdida de datos financieros de los clientes. Las transacciones en línea son una parte esencial del proceso de reserva hoy en día, por lo que es fundamental ofrecer a sus clientes plataformas de confianza. Formar a sus empleados sobre los peligros de los ciberataques le ayudará a reducir los riesgos de una filtración de datos en forma de correos electrónicos de phishing o malware, contribuyendo a una buena gestión de la seguridad.

¿Cómo ayuda la concientización sobre la seguridad a las empresas de comercio electrónico?

Las empresas de comercio electrónico y los minoristas que operan en línea son cada vez más el objetivo de los ciberdelincuentes, ya que trabajan con información personal valiosa, como números de tarjetas de crédito y datos bancarios. Lo que hace que las empresas de comercio electrónico sean un objetivo tan atractivo para los malos actores es la multitud de plataformas en las que operan, así como los avanzados sistemas de punto de venta, todo lo cual lleva a mantener grandes bases de datos de clientes. Esto es precisamente lo que buscan los ciberdelincuentes cuando planean un ataque en el sector del comercio electrónico.

Las principales amenazas a las que podría enfrentarse el sector del comercio electrónico son los ataques DDoS (Distributed Denial of Service), el ransomware y los ataques dirigidos. Los ataques DDoS suelen producirse durante los días punta (como el Black Friday), cuando las entidades maliciosas sobrecargan el sitio web con más tráfico del que puede soportar el servidor, dejándolo inoperativo. Los ataques de ransomware bloquean el acceso de los usuarios a los archivos del ordenador a menos que paguen un rescate por la clave; es especialmente peligroso porque muchas empresas no tienen copias de seguridad de sus datos, por lo cual se ven obligadas a pagarlo. Los delitos dirigidos son ataques planificados que tienen como objetivo el robo de datos de clientes de los sistemas de TPV y de las bases de datos de clientes.

Para atenuar los riesgos de estas amenazas e inculcar mejores prácticas de gestión de la seguridad, se ha establecido la norma PCI DSS (Payment Card Industry Data Security Standard -El estándar de seguridad de datos del sector de las tarjetas de pago). Su cumplimiento aumentaría la seguridad, pero no garantiza la completa eliminación de los riesgos, ya que los empleados sin formación pueden seguir poniendo en peligro la empresa por debilitar las prácticas de seguridad sin darse cuenta. Poner en riesgo los datos de los clientes puede dejar a una empresa fuera del mercado, por lo que la concientización sobre la seguridad es de vital importancia en el sector del comercio electrónico.

¿Cómo ayuda la concientización en materia de seguridad a las empresas inmobiliarias?

El sector inmobiliario experimenta continuos cambios tecnológicos, ya que siguen apareciendo nuevas tendencias: edificios inteligentes centrados en el Internet de las cosas (IoT), adopción de la estrategia «cloud-first» y despliegue de sistemas de gestión de edificios (BMS – building management systems). Esta rápida evolución implica una necesidad imperiosa de actualizar constantemente las ciberestrategias, ya que trabajar con los datos confidenciales de los clientes conlleva mayores responsabilidades. Los riesgos que conlleva la implantación de estas tecnologías interconectadas incluyen el robo de datos, y también cuestiones de seguridad física, lo que supone una gran presión para las empresas inmobiliarias.

A medida que aumenta la superficie de ataque debido a estos sistemas tecnológicos y dispositivos IoT, las empresas inmobiliarias deben estar atentas a los ataques DDoS (denegación de servicio distribuida) en IoT, las filtraciones de datos y los ataques de ransomware. Los incidentes de violación de la privacidad a través de las cámaras vídeo, el robo y la destrucción de datos confidenciales, así como los daños físicos causados por el control de malware de los dispositivos IoT, son algunos de los oscuros escenarios que las empresas inmobiliarias deben tener en cuenta. La experiencia de los residentes está fuertemente relacionada con su seguridad, por lo que la aplicación de procedimientos de seguridad exhaustivos es imprescindible.

La formación para la concientización en materia de seguridad es uno de los pasos esenciales para proporcionar un sistema transparente de gestión de la seguridad de la información en sus edificios. Le mantiene al día acerca de las últimas tecnologías y técnicas de hacking para que pueda reconocerlas y tomar las medidas necesarias para evitarlas. La formación de concientización sobre seguridad de ATTACK Simulator será la experiencia reveladora que necesita para comprender la importancia de fomentar una buena seguridad.

¿Cómo ayuda la concientización en materia de seguridad a las compañías de seguros?

Las compañías de seguros también son muy susceptibles de sufrir ciberataques. La posesión de un gran volumen de información personal identificable (PII) sobre los asegurados hace que esta industria sea un objetivo atractivo. Los hackers buscan datos como números bancarios, números de carné de conducir, números de la seguridad social, información sanitaria o patrimonial, que luego venden en la web oscura, poniendo en peligro a los clientes de la aseguradora.

Además de dañar la reputación de su empresa, las filtraciones de datos en el sector de los seguros tienen importantes consecuencias financieras que podrían incluso interrumpir su negocio. Los costes inmediatamente asociados son inevitables e incluyen los gastos de fraude, los costes de reparación informática, los gastos de relaciones públicas, los gastos legales y los gastos de investigación forense, entre otros. Los costes de la «combustión lenta» dependen de la gravedad del suceso, pero generalmente incluyen los costes de indemnización de las víctimas, los cargos por sanciones, así como las pérdidas indirectas, como la pérdida de ventajas competitivas, ingresos y precios de las acciones.

Introducir los protocolos adecuados para proteger los datos de los clientes incluye la formación en materia de seguridad. Aquí es donde entra en juego ATTACK Simulator para ayudar a su compañía de seguros a tener un mejor control sobre los datos personales de los asegurados a través de un análisis exhaustivo de los riesgos y amenazas, y de métodos de prevención.