Ciberseguridad en el sector de las asociaciones
La ciberseguridad es una de las principales preocupaciones en el sector de las empresas y asociaciones españolas, tal y como lo comenta incibe.es.
Según Google, el coste medio de un ciberataque a una pyme es de 35.000€, y el 60% de las pymes cierra seis meses después de haber sufrido uno. El sector de las asociaciones, que incluye organizaciones empresariales, patronales o sindicales. Además de aquellas que promueven ideas o actividades políticas, sociales, sanitarias y culturales, no es ajeno a este problema de ciberseguridad.
Retos para la transformación digital segura de las asociaciones
La digitalización de la economía y la sociedad empujan a las organizaciones en general, y al sector de las asociaciones en particular, a su transformación digital, lo que obliga a contemplar la revisión y la inclusión de nuevos escenarios de riesgo, y a diseñar o rediseñar estrategias para hacerles frente. Esta estrategia no puede dejar de considerar la ciberseguridad, pues permite acompasar la digitalización del negocio con las medidas que permitirán proteger a la organización. Lo primero será entender que los presupuestos de las mejoras de ciberseguridad se tienen que considerar como una inversión y no como un gasto. La integración de las herramientas o protocolos de ciberseguridad deben ir de la mano de cambios culturales que la organización pueda absorber poco a poco. Y lo interno, deberemos asegurarnos de que los cambios culturales en ciberseguridad sean de forma correcta para no saturar a los empleados con medidas irrealizables.
Las asociaciones, los riesgos y la ciberseguridad
Comprender los desafíos de la transformación digital en una asociación es fundamental para caracterizar sus riesgos. De forma general, gran parte de la digitalización de las organizaciones pasa por la adopción de sistemas cloud (SaaS, PaaS y IaaS) u on-premise, aunque también debemos mencionar el uso generalizado de software en el sector (plataformas crowdfunding, marketing digital, ofimática, etc.), dentro de un enfoque de gestión operativo de la organización (captación de leads, procesamiento de formularios y fichas, etc.).
La compartición masiva de datos ligada a una incorrecta gestión de permisos de usuario puede traer riesgos para la seguridad de la información sensible. Por ejemplo, permisos de acceso que no fueron revocados para empleados que abandonaron la empresa o contraseñas frágiles en la plataforma de administración del cloud, la web o las redes sociales. Que pueden implicar fugas de información o ataques de defacement. Los datos que manejan las asociaciones son en su mayoría de carácter personal. El tipo de información puede, en el caso de asociaciones de carácter político, o si se trata de datos de menores o de salud por ejemplo, ser de carácter sensible, y por ello, está especialmente protegida por la legislación. Por este motivo, se debe aplicar una serie de medidas y controles de seguridad para protegerla, como puede ser el cifrado de la misma o llevar un control de acceso.
Concienciación en el sector de las asociaciones
Por otro lado, un nivel de concienciación bajo de los empleados puede impulsarles a caer en la trampa de campañas de ingeniería social, como el phishing, el spam o la distribución de malware, que puede, en el caso de ataques de ransomware, secuestrar todos los datos de la organización. La accesibilidad a la información también es crucial para la correcta actividad diaria de la asociación. Este tipo de código malicioso está diseñado para secuestrar la información de las víctimas e impedir que puedan acceder a su contenido.
La falta de medidas de ciberseguridad en el sector de las asociaciones puede incrementar el riesgo de continuidad sobre la actividad que desarrollan. Recordemos que la razón de ser de las asociaciones se basa en la confianza que sus socios depositan en ellas.
Medidas para protegerse mejor
- Conocer las amenazas: fugas de información, ataques contra la página web o las cuentas de redes sociales, ransomware o phishing son solo algunas de las amenazas a las que constantemente están sometidas las asociaciones. Ser conscientes de su existencia y conocerlas a fondo es esencial para poder identificarlas.
- Medir los riesgos: para ayudar a las organizaciones a evaluar sus riesgos se pueden utilizar herramientas de medición del riesgo, como la herramienta de autodiagnóstico de Protege tu empresa. A través de una serie de cuestiones sobre las prácticas operativas de la organización, esta herramienta permite identificar los riesgos preliminares del negocio y emitir las recomendaciones básicas para minimizar los que amenazan la actividad.
- Proteger la información: estos son algunos de los consejos que el personal de la asociación puede aprender rápidamente para proteger los datos de sus asociados y evitar cualquier tipo de fuga de información:
- Cambiar con frecuencia las claves de correo y sitios web.
- Utilizar claves diferentes para cuentas de correo y sitios web.
- No enviar nunca en el cuerpo del correo enlaces a sitios web desconocidos e incluir siempre una descripción de la documentación que se envía.
- No guardar credenciales de acceso a páginas web en los buscadores de Internet.
- Formar a tu equipo: la formación y la concienciación en ciberseguridad son siempre una práctica asegurada.
Se pueden proponer talleres y dinámicas basadas en el role-playing para entrenar al personal de la organización en la respuesta a incidentes. Por medio de diferentes escenarios (fuga de información, phishing, infección por ransomware, etc.), que afectan comúnmente a las empresas, se simulan distintas situaciones de crisis. Esto permitirá preparar al equipo para casos reales. - Aumentar la resiliencia: cualquier organización puede sufrir un incidente de ciberseguridad, es un principio de debemos asumir.