Hack a prueba de su negocio: consejos expertos para fortalecer sus ciberfensas

El delito cibernético es cada vez más una de las amenazas más importantes para las empresas australianas, que cuesta millones cada año. Pero no se trata solo de las consecuencias financieras. Un truco podría conducir a secretos comerciales expuestos, regulatorios multasdemandas y pérdida de confianza del consumidor y reputación general de la marca.

La violación de datos de Optus 2022 subraya las consecuencias de largo alcance de las vulnerabilidades cibernéticas. Más allá de las pérdidas financieras, la compañía perdió alrededor del 10% de sus usuarios en seis meses. La violación también desencadenó importantes implicaciones legales con multas y demandas colectivas alojado contra ellos.

Los ataques cibernéticos también se están volviendo más sofisticados debido a los avances en la IA. Esta es una gran preocupación. Si bien se está realizando una amplia investigación para desarrollar mejores herramientas de detección, el Dr. Sharif Abuadbba, un experto en defake en nuestro equipo Data61, advierte contra la excesiva dependencia de estas tecnologías.

«Se convierte en una competencia AI versus AI. Esto lo hace poco confiable, por lo que los detalles y el contexto de los incidentes terminan necesitando ser revisados ​​de todos modos», dijo Sharif.

Las organizaciones deben mantenerse a la vanguardia revisando, preparando e innovando sus medidas de ciberseguridad. Consulte estos consejos respaldados por expertos para fortalecer sus cibernéticas y proteger su negocio.

1. La educación del usuario puede marcar la diferencia

Los empleados son la primera línea de defensa de su organización contra las amenazas cibernéticas, ya sea que estén administrando registros de visitantes o manejando documentos clasificados. Como la Dra. Lauren Ferro, científica de investigación de seguridad centrada en los humanos también con nuestro equipo Data61, nos recuerda, El error humano es la principal vulnerabilidad de un negocio.

«La gente bajó la guardia, pensando que no tienen nada útil para un ciberdelincuente.

«Los riesgos cibernéticos se extienden más allá del trabajo. La información personal compartida en las redes sociales se puede utilizar para crear ataques altamente personalizados que comprometan la seguridad», dijo.

También aconseja que la educación sea continua, con actualizaciones periódicas sobre los últimos desarrollos y amenazas a tener en cuenta.

2. Anime a los empleados a sentirse seguros diciendo que no

Para empresas en Australia, El compromiso del correo electrónico es la amenaza de ciberseguridad más destacada. Ejemplos de esto incluyen facturas falsas o solicitudes para transferir dinero, a menudo parecen provenir de fuentes de confianza.

«Un correo electrónico de un contacto familiar no siempre es legítimo», dijo Lauren.

El compromiso del correo electrónico generalmente ocurre a través de Phishing, donde los atacantes engañan a los empleados para que revelen información confidencial o haga clic en enlaces maliciosos. Una vez que obtienen acceso, los ciberdelincuentes pueden manipular hilos de correo electrónico, hacerse pasar por ejecutivos y desviar fondos.

Sharif destacó la importancia de capacitar a los empleados para rechazar con confianza las acciones que se desvían de los procesos comerciales establecidos.

«Si están siguiendo los procesos comerciales acordados, incluso si es el CEO que solicita una transferencia de fondos urgentes, no deberían temer meterse en problemas. Use procesos bien definidos y bien documentados dentro de su organización como una medida para detectar y derrotar profundamente Fake, incluso si no tiene las herramientas «, dijo Sharif.

3. Mover más allá de la capacitación teórica

Si bien la mayoría de las organizaciones ofrecen capacitación de seguridad cibernética a través de módulos en línea, una de las formas más efectivas de preparar a los empleados para la realidad de un ciberataque es una simulación inmersiva. La capacitación interactiva ayuda a los empleados a evaluar su conocimiento e identificar debilidades en un entorno seguro y controlado.

Lauren destaca la efectividad de las empresas comprometidas, un ejercicio de mesa de seguridad cibernética inmersiva que desarrollamos con el Centro de Investigación Cooperativa de Seguridad Cibernética (CSCRC). El ejercicio coloca a los participantes en diversos roles organizacionales y los guía a través de escenarios simulados de ataques cibernéticos. Los participantes obtienen experiencia práctica sin el riesgo.

«Es importante que existan estos ejercicios prácticos. Al involucrarse directamente con un ataque cibernético y ver las consecuencias de sus decisiones, los participantes obtienen ideas y experiencia tangibles», dijo.

4. Proactivamente proteger a sus clientes

Las infracciones de ciberseguridad no se tratan solo de perder activos financieros. Las organizaciones también tienen su reputación de marca y su confianza al consumidor en riesgo.

«Cuando hablamos de ciberseguridad, la confianza es una gran cosa», dijo Lauren.

«Un ataque cibernético afecta más que solo datos: afecta la confianza pública, los inversores y otras partes interesadas. Es bastante difícil que las personas confíen en la calidad de su producto o servicio, y mucho menos recuperarlo cuando ocurren violaciones».

Una forma de generar confianza del consumidor es demostrar que su ciberseguridad se está considerando activamente. Por ejemplo, las organizaciones pueden garantizar que la autenticación multifactor esté disponible para los inicios de sesión del cliente y que los usuarios puedan controlar fácilmente los datos que se están recopilando.

5. Esté preparado, además de lo peor

Con las amenazas y los ataques cada vez más comunes, las organizaciones deben asumir que serán atacadas o que una amenaza se deslizará a través de las grietas.

Sharif sugiere usar protocolos proactivos y políticas de confianza cero. Estos significan que las solicitudes deben asumirse falsas hasta que se verifique.

Jamie Rossato, nuestro director de seguridad de la información, también proporciona sus consejos para un buen plan de respuesta a incidentes.

«Cualquiera que practique deportes sabrá que es la preparación que realiza antes del evento que finalmente determina su efectividad», dijo Jamie.

«¿Cómo estamos preparados para los incidentes que creemos que es probable que ocurran? O que podamos ver afectar a otras organizaciones?»

«¿Todos los interesados ​​entienden sus roles y responsabilidades? ¿Están capacitados para actuar?»

«La respuesta debería poder realizarse incluso con un jugador clave que falta», dijo.

Protección de su organización

Para las organizaciones, la ciberseguridad en esta era moderna no se trata solo de proteger los activos, sino también de proteger la reputación y la confianza del consumidor. Al priorizar la educación, la capacitación y la preparación, su organización puede mantenerse cibernético.