Sin duda, la seguridad informática se ha transformado en un tema de gran interés en el último tiempo, dada la relevancia de los datos y producto del gran número de ciberamenazas que surgen a diario en el mundo.
De hecho, en marzo pasado se cumplió un año desde la promulgación de la Ley Marco de Ciberseguridad en Chile, la cual se aplica a todas las entidades públicas y privadas que operan infraestructura crítica o manejan información sensible.
“Esta iniciativa junto con crear una autoridad nacional de ciberseguridad, encargada de coordinar y supervisar la implementación de las políticas y medidas de seguridad, establece que tanto las empresas como los organismos deben adoptar medidas adecuadas de seguridad, reportar incidentes de ciberseguridad y colaborar con las autoridades en caso de ataques”, explica Francisco Fernández, gerente general de AVANTIC CHILE (www.avantic.cl).
No obstante, desde esta compañía advierten que, en general, todavía se observan ciertos errores cometidos en materia de ciberseguridad, tanto por los usuarios finales como por las empresas.
Según un estudio sobre ciberataques de Kaspersky, en los últimos dos años al menos un 60% de las compañías en Chile han sufrido la fuga de datos confidenciales a causa de las brechas que existen en términos de ciberseguridad.
Fallos a nivel de usuarios finales
Francisco Fernández menciona como las equivocaciones más comunes entre las personas las siguientes:
1. Exceso de confianza. Al momento de recibir un correo electrónico o SMS, muchos usuarios ni siquiera se fijan en quién es el emisor y, lo que es peor, hacen clic en los vínculos o abren los archivos adjuntos.
2. Contraseñas débiles. Implica utilizar passwords fácilmente adivinables por los ciberdelincuentes, ya sea que éstos usen el método de prueba y error (conocido también como “Fuerza Bruta”) o algún programa computacional para tales fines. Un ejemplo de esto sería emplear la clave “12345678” en una o más cuentas. Adicionalmente, el no uso de autenticador de dos factores es otro error en el que se incurre en esta materia.
3. Mantener los softwares sin actualizar. Ya sea que se trate del sistema operativo, antivirus u otro tipo de programa ocupado a diario, no bajar los parches o actualizaciones de ellos representa una gran equivocación, pues los piratas informáticos suelen aprovechar estas vulnerabilidades y descuidos para generar daño y robar datos sensibles.
4. Conectarse a cualquier red de Wi-Fi. Otro fallo habitual de las personas consiste en conectarse a cualquier red inalámbrica para poder acceder a Internet. Esta situación se vuelve mucho más grave cuando, además, se efectúan compras o transacciones bancarias a través de dicha conexión pública.
5. No hacer respaldos periódicos. Dado que los ciberpeligros surgen a diario es importante hacer cada cierto tiempo backup de la información almacenada en los dispositivos electrónicos, ya sea en la Nube o en un disco duro externo.
Fallos a nivel de organizaciones
Respecto a los desaciertos que tienen lugar en las empresas e instituciones, el gerente general de AVANTIC CHILE señala:
1. No capacitar a los colaboradores. La ausencia de políticas de formación y educación en temas de seguridad informática hacia los trabajadores es un punto negativo en muchas organizaciones, pues en la medida que no existe conciencia en ellos sobre esta materia aumentan las posibilidades de sufrir ciberataques.
2. Infraestructura tecnológica desactualizada. Es decir, disponer de hardware y software antiguo y que no cuente con soporte de los fabricantes. A la vez, no contar con soluciones de ciberseguridad como firewalls y otras herramientas también es un error.
3. No efectuar auditorías de seguridad cada cierto tiempo. Desestimar la realización de auditorías y evaluaciones periódicas que ayuden a identificar eventuales vulnerabilidades dentro de la organización es otra mala decisión.
4. Falta de políticas claras de seguridad y de acceso. Es decir, la ausencia de normas internas sobre uso de equipos propios y de la red corporativa, así como entregar acceso con privilegios excesivos a usuarios que no lo requieren, pueden poner en peligro la información y datos de una compañía o institución.
5. Inexistencia de un plan de respuesta frente a incidentes. No disponer de un plan de acción ante incidentes de seguridad es un problema mayor para una organización, pues le impide dar los pasos necesarios para controlar tal situación, con miras a normalizar su operación lo antes posible.
