Hoy vemos que los espacios colaborativos de trabajo conocidos como “Co-Work” siguen creciendo en Chile y en el mundo transformándose en una tendencia mundial. La consultora “Coworking Resources” realizó un estudio sobre el desarrollo del sector en 2019, donde, en su investigación pronostica un crecimiento de unos 25 mil nuevos espacios de co-work para el año 2022. En su estudio señala que en Londres cada 5 días se abre un nuevo co-work y en New York un co-work cada siete días. Esta tendencia mundial está relacionada con los beneficios que ofrecen los co-work a los emprendedores y freelancer como la optimización de los recursos, la disminución de compromisos que supone un arriendo o una compra de oficina, y la posibilidad de integrar redes “Networking” de quienes trabajan de manera independiente o quien se están iniciando en el mundo empresarial.
Aquí nacen los nuevos CEO / Emprendedores de las próximas décadas, gente creativa que busca innovar con nuevas ideas para su próximo proyecto, buscan este tipo de espacios abiertos para compartir con otras personas. Es aquí donde aumenta el tráfico de información y por lo general el aumento de correos electrónicos falsos con mayor regularidad. Incluso los altos ejecutivos (presidentes, gerentes, directores, subgerentes, jefaturas) de pequeñas, medias y grandes empresas son víctimas y ahora los CEO / Emprendedores reciben solicitudes fraudulentas para transferir dinero o proporcionar información confidencial. Esta forma de ingeniería social se conoce como “Fraude del CEO” y se está volviendo cada vez más común.
El aumento en el número de intentos de Fraude del CEO indica que los malos "Actores" (ciberdelincuentes) tienen mas éxito con esta táctica que cualquier otra forma de ingeniería social. Las organizaciones más grandes deben ser especialmente cautelosas con estos ataques dirigidos dado el mayor número de personas (objetivos) dentro de la organización.
5 Medidas Preventivas para Evitar ser Víctima del Fraude del CEO
01 Identifique a sus usuarios de alto riesgo
Estos incluyen altos ejecutivos (CEO, Emprendedores, Presidentes, Gerentes, Directores, Subgerentes, Jefaturas), personal de recursos humanos, contabilidad, TI entre otras. Implemente más controles y seguridad en estas áreas, incluya una revisión de los perfiles sociales y públicos para las tareas y descripciones del trabajo, información jerárquica, detalles fuera de la oficina o cualquier otro dato corporativo sensible, e identifique cualquier dirección de correo electrónico disponible públicamente y listas de conexiones.
02 Controles de seguridad
La implementación de herramientas como la autenticación de dos factores, los filtros de correo electrónico (ATP) y la gestión de los niveles de acceso y permiso para todos los empleados son algunas de las formas de garantizar que la organización tenga las defensas más altas posibles contra los malos “Actores” (ciberdelincuentes).
03 Establezca una política de seguridad
Pequeña, mediana o grande, cada organización debe establecer una política de seguridad. La política debe revisarse constantemente con regularidad para identificar brechas y asegurarse de que los empleados sigan la política.
Debe incluir acciones simples como:
No abrir archivos adjuntos o hacer clic en enlaces de una fuente desconocida.
No usar unidades USB en computadores de oficina.
Política de administración de contraseñas (sin reutilizar contraseñas, sin notas adhesivas en las pantallas como recordatorios de contraseña, etc.)
Requerir capacitación en seguridad para todos los empleados. Revisar la política sobre acceso WiFi.
Incluya a los contratistas y socios como parte de esto si necesitan acceso inalámbrico cuando están en el sitio.
04 Desarrollar procedimientos estándar
Los equipos de TI deben tener procedimientos implementados para garantizar que haya un orden dentro de la organización.
Los procedimientos recomendados de la compañía deben incluir:
Hacer que el personal estudie la política de seguridad y la haga cumplir.
Establecer cómo se debe informar al liderazgo ejecutivo sobre las ciberamenazas y su resolución.
Establecer un cronograma para probar el plan de respuesta a incidentes de ciberseguirdad.
Registrar tantos dominios de la compañía como sea posible que sean ligeramente diferentes al dominio real de la compañía.
05 Capacitación para todos los usuarios
No importa cuán buenos sean sus pasos de prevención, las infracciones son inevitables. La educación del usuario juega un papel importante en minimizar los peligros del Fraude del CEO. Los mejores programas de capacitación aprovechan la educación del usuario para garantizar que se eviten las amenazas.
La educación continua sobre posibles tácticas de fraude de CEO es lo único que puede equipar a los usuarios para mantenerse a salvo de estos ataques. La capacitación sobre la concientización de seguridad de la nueva escuela puede ayudar a sus empleados a identificar estafas de phishing instintivamente.
Fuente: KnowBe4, Inntesec
Inntesec Security Awareness Services
El eslabón más débil en la cadena de seguridad son las personas, donde, los “errores humanos” son una puerta de entrada para los ataques, esta situación advierte sobre la importancia de avanzar con un cambio cultural al interior de las organizaciones. Buscamos crear conciencia y provocar un cambio disruptivo a través de una nueva visión que estamos promoviendo, donde el usuario que es el eslabón más débil e importante en una organización es clave en esta transformación para llevarlo a un nivel de Human Firewall. Para lograr este objetivo nos basamos en nuestro Programa conocido como Inntesec Security Awareness Services (Inn-SaS).
Hoy el 90% de las inversiones y el gasto TI es en tecnología y menos del 10% en los usuarios. Esta estrategia no es la más adecuada, ya que los malos “Actores” (ciberdelincuentes) siguen infiltrándose en las redes y sistemas a través del Human Hacking, provocando fraude, violaciones de datos y generando pérdidas millonarias. “Está demostrado que la tecnología por si sola no es suficiente”.
Cabe destacar que el costo promedio de pérdidas económicas que provocaron los malos “Actores” (ciberdelincuentes) a las organizaciones en los últimos años superan los USD 2.500.000 y el costo promedio de una violación de datos es de USD 500.000.
A través de Inntesec Security Awareness Services (Inn-SaS) los usuarios aprenderán a conocer y gestionar mejor los riesgos de seguridad por concepto de Human Hacking con relación a; social engineering, phishing, spear phishing, spoofing, ransomware, ATP. La capacitación de los empleados es el primer paso para prevenir las brechas de seguridad y establecer una estrategia de concientización en ciberseguridad e ingeniería social.
Implementar un Programa de Concientización de Ciberseguridad es clave, nuestra visión disruptiva, es llevar al usuario que es el eslabón más débil e importante de una organización a un nivel de Human Firewall a través de un programa anual (USD 30 usuario/mes, incluye todo) de Inntesec Security Awareness Program, que mide el nivel de madurez de cada usuario y a su vez de toda la organización llevándola desde un 50% de probabilidad real que sea víctima de un fraude, suplantación de identidad o data breach a menos de un 3% totalmente medible, dicho programa incluye:
Charlas de Concientización sobre Cyber Security para Altos Ejecutivos.
e-Learning a través de Newsletter, Videos Educativos y Videos de Entrenamiento Interactivos en materia de Cyber Security, con entrega de certificado para los usuarios que han pasado satisfactoriamente el curso e-Learning.
Simulador de Ataques Ethical Phishing, Vishing, USB Attack, Social Engineering y mucho más.
Contáctanos a ventas@inntesec.com y conoce sobre nuestro Programa de Inntesec Security Awareness y evaluaremos una PoC sin costo.
Fuente: Inntesec