Las estafas de phishing comenzó alrededor de finales de los años 90, y han evolucionado continuamente desde. Las formas más recientes de phishing incluyen el phishing tradicional, spear phishing, fraudes CEO, y Business Email Compromiso (BEC). Uno de los peores resultados de suplantación de identidad es el ataque ransomware, donde roba el hacker / encripta los datos confidenciales de la empresa, y extorsiona dinero para devolverlo a la empresa. Ransomware se ha convertido en una industria de millones de dólares en sí mismo.
Las empresas que trabajan en el desarrollo de software en la India aún no están debidamente equipados para hacer frente a estas amenazas a la seguridad, y por lo tanto, caer inesperadamente presa de este tipo de estafas que afectan gravemente los ingresos y la reputación de sus entidades de marca.
¿Por qué son capacidades más seguridad cibernética no es efectiva?
1. Las empresas no están seguros de sus medidas de seguridad
La mayoría de las empresas admiten que su conciencia de seguridad y las medidas de lucha contra no están a la altura, debido a la falta de conocimiento acerca de los tipos de ataques de phishing y ransomware. Ransomware como objetivo Ojo de oro una sección de empleados, que sería, sin saberlo, haga clic en sus enlaces de phishing - por ejemplo un enlace a una hoja de vida HR de habla alemana que descarga un ransomware malicioso cuando se hace clic. Tal ransomware pide enlaces de contacto y pagos Bitcoin para descifrar los archivos cifrados de la empresa.
2. Las empresas no están dispuestos a gastar extravagante en la seguridad
La prevención y la lucha contra el phishing avanzada y ransomware requiere soluciones de seguridad que son caros. Las grandes organizaciones todavía pueden pagarlos ya que el coste por empleado disminuye considerablemente, mientras que las organizaciones pequeñas siempre están en riesgo, ya que en su mayoría optan por versiones gratuitas de las soluciones de seguridad o no suscriben ningún soluciones de seguridad. Sin embargo, algunas empresas se dan cuenta de que el dinero gastado en una solución eficaz gestión de la seguridad puede ayudar a ahorrar una gran cantidad de gastos adicionales en términos de pérdida de presente y futuro de los ingresos y la reputación.
4. Los usuarios son el eslabón más débil
Incluso si la empresa reconoce la necesidad inmediata de una solución de seguridad robusta, los usuarios (empleados) menudo sucumben a las tentaciones de enlaces de correo electrónico utilizadas por suplantación de identidad, fraude CEO / BEC, y los intentos de ransomware. Esto se debe a que las empresas no se centran en proporcionar entrenamiento regular concienciación sobre la seguridad de los expertos en la materia. Además de la formación, que es necesario disponer de la medición regular de la sorpresa para medir los niveles de conocimiento de los empleados. Esto no está ocurriendo en más de 50% de las empresas en la actualidad.
5. Organizaciones no están ejerciendo la debida diligencia
copia de seguridad insuficientes
La tendencia creciente en las empresas es tener una arquitectura híbrida de alojamiento - con los datos regulares siendo almacenados en la nube y los datos confidenciales almacenados críticamente en las instalaciones. Si las copias de seguridad de todos los datos no son tomadas por la solución de seguridad, ya no queda más remedio que pagar hasta aplicaciones ransomware en el caso de los datos es robado.
Ninguna prueba después de la formación de conciencia de seguridad
la formación de conciencia de seguridad se ha reducido a la mera formalidad que tiene lugar una vez al año en la mayoría de las empresas. También, estos entrenamientos no son objeto de seguimiento mediante pruebas, que ilumine las empresas sobre los niveles actuales de sensibilización de los empleados.
No hay controles de las operaciones de mayor nivel
los datos de nivel superior de gestión y operaciones financieras no están sometidos a controles de seguridad que requieren una autenticación de dos factores. Esto los hace vulnerables a fraudes CEO, y estafas BEC, vía correo electrónico.
Ninguna implementación de BYOD
Se ha documentado que la mayoría de las empresas todavía no tienen políticas estrictas BYOD, comprobar en aplicaciones personales como editores, utilizado por los empleados de modificar datos de la empresa. Los datos de la empresa deben ser encriptados y segregados de modo que no se puede acceder a aplicaciones que no sean los de la suite de aplicaciones empresariales, y que también después de la autenticación basada en roles.
Por otra parte, ciberdelincuentes y sus organizaciones están por delante de la curva de desarrollo a medida que surgen con mejoras para atacar a las últimas tecnologías. A diferencia de su desarrollo de software de la India contrapartes, que están bien financiados y generan ingresos apuesto por la celebración de los datos confidenciales de la empresa a un rescate.
¿Cómo hacer frente a estas deficiencias?
1.Las empresas deben ser conscientes de los riesgos de seguridad que la suplantación de identidad, pesca submarina, fraude CEO, y otras estafas plantean de manera realista a sus datos.
2.auditorías regulares (pruebas) deben llevarse a cabo para determinar la concienciación sobre la seguridad de los empleados.
3.políticas BYOD estrictas y otras soluciones de trabajo móviles deben ser utilizados para proporcionar una excelente administración de dispositivos de gestión de aplicaciones móviles y Mobile.
4.Sistemas distribuidos en la nube y en las instalaciones de alojamiento, y desarrollado en varias plataformas deben mantenerse actualizados a sus últimas versiones y se mantiene la copia de seguridad a intervalos regulares.
5.soluciones anti-malware / anti-ransomware deben ser suscritas a sobre una base SaaS para protegerse de los ataques de seguridad.
6.Todos los datos del dispositivo y los datos compartidos en la red deben cifrarse. Esto se traduce en una protección centrada en los datos que asegura que los piratas informáticos no pueden utilizar los datos incluso si se las arreglan para robarlo.
7.Seguimiento y monitoreo, que vincula los empleados hacer clic a través de sus correos electrónicos ayudan a identificar las amenazas potenciales usando análisis de comportamiento.