Tranxfer
Tranxfer

Ciberseguros

La implementación del teletrabajo ha sido un hito para las empresas de tecnología y una mina para los ciberatacantes. El mercado ha reaccionado de forma rápida aumentando la popularidad de las aseguradoras especializadas en ciberseguridad; los ciberseguros se encuentran en pleno auge. Las compañías que ofrecen los seguros más convencionales proponen el siguiente paradigma: Si proteges tu casa, tu coche y los bienes materiales de tu empresa, ¿por qué no proteger la parte IT para mitigar la posibilidad de ciberataques? No es ninguna noticia que la tendencia del mercado son los cibercrímenes, por este motivo, además de la oferta de seguros tradicionales como el de responsabilidad civil, empresarial o de daños de instalaciones, se oferta uno para ciberriesgos, cuyas primas ascienden a los 75 millones de Euros a nivel nacional, un incremento del 35% respecto al 2019 según Red Seguridad.   Entonces, ¿Qué son los seguros de ciberriesgos o ciberseguros? Son una póliza de seguros que ayuda a las empresas a protegerse de las consecuencias de la aparición de ciberdelincuentes y a reducir los riesgos que sufren las compañías de IT a diario.   “Es más probable que una empresa sufra un ciberataque que un incendio o robo en estos momentos”, afirma Cátedra Pérez-Lloca / IE   ¿Cuál es el funcionamiento? En primera instancia se evalúa la necesidad real del cliente para luego ofrecer una solución en base al análisis realizado. En segundo lugar, una vez decidido el plan de acción, la aseguradora toma un rol pasivo a la espera de la entrada de un ataque para tomar las medidas necesarias. No sólo cubre la parte técnica, sino que también ante el caso de robo de datos y extorsión hay una  intervención en la negociación del rescate. Será vital definir 2 planes: uno de acción y otro de contingencia. «El papel del asegurador no es solo supervisar los daños que ha habido y fijar una cifra de indemnización, sino que puede haber un problema de paralización de la actividad por el ciberataque. El apoyo técnico y la recuperación de los datos es fundamental«, afirma Cátedra Pérez-Lloca / IE   ¿Qué debe cumplir una empresa para contratar un ciberseguro? Debemos partir de la base que el ciberseguro es la última línea de defensa, es por este motivo que para que una empresa pueda adquirir uno debe cumplir con unos requisitos mínimos en lo que respecta a la seguridad IT. Estas medidas no sólo son necesarias para la adquisición de este tipo de servicios, sino que también son indispensables en materia legal ya que las infracciones pueden llegar a alcanzar los 20.000 millones de euros o el 4% de la facturación anual según Ayudaley. Como mencionamos anteriormente, la empresa contratante del seguro deberá tener las medidas de prevención necesarias para evitar o mitigar al máximo los ciberataques, cumpliendo con la exigencias del RGPD (reglamento general de protección de datos) y siguiendo el reglamento que dicta la LOPD (Ley orgánica de protección de datos de carácter personal). Otras medidas necesarias a implementar serán la planificación de una política de seguridad que tenga en cuenta las principales medidas de prevención, donde se tenga todos los dispositivos protegidos de manera óptima; y tener un esquema de copia de seguridad efectivo para que, en caso de ataque o secuestro, no se pierda todo.   Ciberseguros en las Pymes Aunque los ciberseguros son vitales para todas las empresas, muchas de las aseguradoras tienen como principal foco a las pymes. Para este tipo de compañías la adquisición de estos servicios no solucionan de manera definitiva la protección IT pero proporcionan un cierto respiro en caso de un ataque. Pese a la importancia de la tranquilidad que ofrece estar correctamente protegidos de los ciberdelincuentes son muchas las pequeñas y medianas empresas que se resisten a la contratación de seguros. Analizando las cifras del año pasado (120.000 ciberataques a pymes con un coste medio de 102.000€) sigue siendo difícil comprender la reticencia de adquirir ciberseguros.  Según un informe de AON en el 2020 solamente un 32% de pymes adquirieron este tipo de servicios a diferencia de empresas que superan los 250 millones de euros en facturación han aumentado un 24% (de 2019 a 2020) la adquisición de seguros.  Está claro que la concienciación juega un importante rol a la hora de decidir en qué se invierte el dinero y cuál es la prioridad.   ¿Qué cubren las pólizas? Cada aseguradora trabaja de manera independiente cubriendo distintas partes, son las organizaciones quienes deberán valorar sus necesidades y definir qué les interesa. Una empresa grande no contratará las mismas pólizas que una pyme. Paquete genérico:  Responsabilidad civil contra terceros ya sea por un fallo de privacidad y seguridad de la red, como también por el contenido digital de la web o ataque Daños propios causados por una extorsión cibernética   Paquete específico: Pérdida de beneficio provocada por la interrupción del sistema debido a un acto informático malicioso Recuperación de datos y sistemas Servicios y gastos de respuesta a incidentes: contención tecnológica, asesoramiento jurídico, notificación a entidades reguladoras y afectados, monitorización de la información, entre otros Respuesta de emergencias a incidentes dentro de las primeras 48 hrs Delito cibernético derivado del robo de dinero o valores de la sociedad Garantías Gastos de recuperación de datos, de notificación y de Beneficio   Es imprescindible ser conscientes de que hay ciertos aspectos que una aseguradora no puede proteger, algunos de ellos son: Ataques de phishing Pérdidas a mediano y largo plazo (por imagen, por percepción, etc…) Restitución de la reputación Gastos (en caso de que no se cumpla con las medidas de seguridad previamente estipuladas) Aquellos daños que resulten de los actos ilícitos llevados a cabo por el asegurado de manera deliberada Violación de la normativa sobre secretos comerciales y patentes   Para cubrir la grieta que queda descubierta es importante utilizar herramientas que aseguren el total control de la seguridad empresarial.   Con Tranxfer podrás obtener la tranquilidad que necesitas: *  Reducción al 100% del Shadow IT evitando la entrada de Malware y ataques … Leer más

Vulnerabilidades del correo electrónico como canal de comunicación corporativa

Vulnerabilidades del correo electrónico como canal de comunicación corporativa El correo electrónico es uno de los medios de comunicación más utilizados en los últimos tiempos a través de Internet. Pero, es cierto que aunque se haya mejorado la seguridad de este medio, el correo electrónico sigue teniendo vulnerabilidades que permiten a los ciberdelincuentes poder robar información personal de los usuarios. Las debilidades del correo, a nivel de seguridad, hace que correos electrónicos maliciosos pasen las barreras de seguridad sin ningún problema. Uno de esos problemas es el envío de contenido adjunto malicioso. A pesar que el correo electrónico puede detectar si el archivo adjunto es malicioso, los ciberdelincuentes mejoran sus técnicas para poder enviar este tipo de contenido y que parezca fiable. Cada vez más los usuarios están más atentos a este tipo de amenazas y bloquean cuando ven algo inusual, pero los ciberdelincuentes continuamente cambian sus técnicas para poder infiltrar las amenazas y no ser bloqueados en el e-mail. Es importante resaltar que podemos recibir un tipo de ataque llamado Phishing a través de enlaces que son compartidos vía e-mail. Estos enlaces conducen a direcciones falsas que fingen ser lícitas y oficiales, de esta manera consiguen robar datos de inicio de sesión o  cualquier tipo de información confidencial. «Actualmente la ciberdelincuencia es un negocio de 445.000 millones de dólares» Fuente: Harvard Business Review ¿Cuándo deberían saltar las primeras alarmas? Descubre si eres vulnerable a ataques por correo La ciberseguridad es hoy uno de los sectores en crecimiento y una de las herramientas más necesarias para los negocios. Los ataques al correo electrónico son uno de los principales dolores de cabeza.  En un mundo globalizado, con constante flujo de datos e interacción, es fácil que se cuelen en algún momento virus, troyanos, ransomware y cualquier tipo de malware si no se está preparado.  ‘7 de cada 10 ataques en el sector de la ciberseguridad llegan a través del correo electrónico’ Fuente: Check Point ¿Qué son los ciberataques? Un ciberataque es un conjunto de acciones ofensivas contra sistemas e información. Pueden tener objetivos diferentes, como atacar equipos y sistemas para anular los servicios que presta tu empresa, sustraer información almacenada en las bases de datos o robar la identidad de tus trabajadores para cometer fraudes. El canal de entrada más habitual a los ciberataques es el email «3 de cada 5 empresas se plantean no basar en este canal el grueso de su comunicación» SIC – Nª Agosto 2020 Protege tus comunicaciones con Tranxfer. La plataforma B2B para la gestión integral del envío y recepción de documentación con trazabilidad y de manera segura Tipos de ciberataques 1. El Ransomware o ‘secuestro de datos’ Consiste en un tipo de programa dañino que restringe el acceso a determinadas partes o archivos de tu sistema operativo y pide un rescate a cambio de quitar dicha restricción. Su vía de entrada habitual, suele ser abriendo un archivo adjunto corrupto o clickando sobre un enlace en un mail fraudulento. Uno de los ejemplos a gran escala son Garmin y Telefónica. Uno de los casos más mediáticos de Ransomware fue el de Garmin. La caída global de servicios de la compañía apuntaba a ello y finalmente tuvimos confirmación oficial de la causa: un ciberataque por Ransomware tumbó a la compañía de Kansas. La causa de la crisis radicó en un ataque dirigido con el ransomware WastedLocker como protagonista y habrían pedido 10 millones de dólares de «rescate» por liberar el cifrado. Parece ser que Garmin terminó pagando. Otro ataque con repercusión mundial fue el de Telefónica. Wannacry, a un ataque masivo que afectó según las estimaciones a más de 300.000 máquinas en 150 países. Pedían un rescate de 500.000 euros. Lo que hacía este ransomware era encriptar todos los datos del equipo de forma que el usuario no pudiera acceder a ellos salvo con una clave que solo podrían obtener previo pago de un rescate. 2. El phising Es la técnica de engaño que busca hacerse pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice ciertas acciones como ofrecer claves y datos de acceso. 3. El Fraude del CEO Es otra forma de engaño en la que los ciberdelincuentes se hacen pasar por el CEO de tu empresa con el fin de solicitar transferencias ficticias al departamento financiero, encontraremos un email con la misma firma y una dirección prácticamente idéntica. El grupo farmacéutico Zendal ha sido víctima de una estafa por valor de 9 millones de euros. El jefe financiero de la entidad recibió varios correos electrónicos haciéndose pasar por el jefe de la empresa, donde le solicitaba varias transferencias de alto valor para establecer contactos con una multinacional. Una estafa millonaria que ha puesto en peligro la economía de la empresa. Y todo mediante tres correos. 4. ‘Man in the middle’ En este caso, el defraudador es capaz de leer, agregar y modificar mensajes entre dos partes. Por ejemplo, entre uno de tus clientes o uno de tus proveedores para interceptar facturas y ordenes de pedido asociadas a pagos, en este caso, se modificarán los datos bancarios para que las transferencias vayan a cuentas no autorizadas y cometer el fraude. Los cuatro ataques más comunes: Phishing: Es una técnica de ciberataque que tiene por objetivo intentar robar información comercial confidencial.  Simulan que provienen de un contacto conocido. Se enmascaran con emblemas oficiales de la empresa  y van dirigidos a cuentas vulnerables y empleados de nivel inferior.  La mejor protección contra este tipo de ataque es un canal que supervise la comunicación de la empresa. Spoofing: Es una  estrategia utilizada durante los ataques de Spam y Phishing. En estos ataques falsifican el encabezado de un correo electrónico para que parezca que proviene de dentro de la empresa. Se intenta confundir a los empleados para que proporcionen información sensible o gestiones de tipo bancarias.  Si bien la diligencia es el mejor método para hacer frente a los ataques de suplantación de identidad, las empresas también deben buscar un software que mejore la seguridad del correo … Leer más