Ciberseguridad en el sector de las asociaciones
La ciberseguridad es una de las principales preocupaciones de las empresas españolas. Según Google, el coste medio de un ciberataque a una pyme es de 35.000€, y el 60% de las pymes cierra seis meses después de haber sufrido uno. El sector de las asociaciones, que incluye organizaciones empresariales, patronales o sindicales, pasando por aquellas que promueven ideas o actividades políticas, sociales, sanitarias y culturales, no es ajeno a esta realidad.
Retos para la transformación digital segura de las asociaciones
La digitalización de la economía y la sociedad empujan a las organizaciones en general, y al sector de las asociaciones en particular, a su transformación digital, lo que obliga a contemplar la revisión y la inclusión de nuevos escenarios de riesgo, y a diseñar o rediseñar estrategias para hacerles frente. Sea de una forma o de otra, esta estrategia no puede dejar de considerar la ciberseguridad como un eje troncal, pues permite acompasar la digitalización del negocio con las medidas que permitirán proteger a la organización. Lo primero será entender que los presupuestos de las mejoras de ciberseguridad se tienen que considerar como una inversión y no como un gasto. La integración de las herramientas o protocolos de ciberseguridad deben ir de la mano de cambios culturales que la organización pueda absorber poco a poco. Y en lo que se refiere a los procesos internos, deberemos asegurarnos de que los cambios culturales en ciberseguridad sean introducidos de forma correcta para no saturar a los empleados con medidas irrealizables.
Las asociaciones, los riesgos y la ciberseguridad
Comprender los desafíos de la transformación digital en una asociación es fundamental para caracterizar sus riesgos. De forma general, gran parte de la digitalización de las organizaciones pasa por la adopción de sistemas cloud aaS (SaaS, PaaS y IaaS) u on-premise, aunque también debemos mencionar el uso generalizado de software en el sector (plataformas crowdfunding, marketing digital, ofimática, etc.), dentro de un enfoque de gestión operativo de la organización (captación de leads, procesamiento de formularios y fichas, etc.).
Por un lado, la compartición masiva de datos ligada a una incorrecta gestión de permisos de usuario o configuraciones incorrectas de la infraestructura de sistemas, puede crear nuevos riesgos para la seguridad de la información sensible (por ejemplo, permisos de acceso que no fueron revocados para empleados que abandonaron la empresa o contraseñas frágiles en la plataforma de administración del cloud, la web o las redes sociales), que pueden implicar fugas de información o ataques de defacement. Los datos que manejan las asociaciones son en su mayoría de carácter personal. El tipo de información puede, en el caso de asociaciones de carácter político, o si se trata de datos de menores o de salud por ejemplo, ser de carácter sensible, y por ello, está especialmente protegida por la legislación. Por este motivo, se debe aplicar una serie de medidas y controles de seguridad para protegerla, como puede ser el cifrado de la misma o llevar un control de acceso.
Por otro lado, un nivel de concienciación bajo de los empleados puede impulsarles a caer en la trampa de campañas de ingeniería social, como el phishing, el spam o la distribución de malware, que puede, en el caso de ataques de ransomware, secuestrar todos los datos de la organización. La accesibilidad a la información también es crucial para la correcta actividad diaria de la asociación. Este tipo de código malicioso está diseñado para secuestrar la información de las víctimas e impedir que puedan acceder a su contenido.
La falta de medidas de ciberseguridad puede incrementar el riesgo de continuidad sobre la actividad que desarrollan. Recordemos que la razón de ser de las asociaciones se basa en la confianza que sus socios depositan en ellas.
Medidas para protegerse mejor
- Conocer las amenazas: fugas de información, ataques contra la página web o las cuentas de redes sociales, ransomware o phishing son solo algunas de las amenazas a las que constantemente están sometidas las asociaciones. Ser conscientes de su existencia y conocerlas a fondo es esencial para poder identificarlas. Con la suscripción a servicios de boletines de Protege tu empresa de INCIBE las empresas podrán conocer de primera mano los avisos de seguridad (campañas de phishing y malware, casos de fraude, suplantaciones de identidad, vulnerabilidades detectadas en tecnologías, etc.).
- Medir los riesgos: para ayudar a las organizaciones a evaluar sus riesgos se pueden utilizar herramientas de medición del riesgo, como la herramienta de autodiagnóstico de Protege tu empresa. A través de una serie de cuestiones sobre las prácticas operativas de la organización, esta herramienta permite identificar los riesgos preliminares del negocio y emitir las recomendaciones básicas para minimizar los que amenazan la actividad.
- Proteger la información: estos son algunos de los consejos que el personal de la asociación puede aprender rápidamente para proteger los datos de sus asociados y evitar cualquier tipo de fuga de información:
- Cambiar con frecuencia las claves de correo y sitios web.
- Utilizar claves diferentes para cuentas de correo y sitios web.
- No enviar nunca en el cuerpo del correo enlaces a sitios web desconocidos e incluir siempre una descripción de la documentación que se envía.
- No guardar credenciales de acceso a páginas web en los buscadores de Internet.
- Formar a tu equipo: la formación y la concienciación en ciberseguridad son siempre una práctica asegurada:
- Por un lado, el recorrido empresarial de INCIBE sobre el sector de asociaciones contiene vídeos, artículos y enlaces para descubrir los riesgos de una forma lúdica.
- Por otro lado, se pueden proponer talleres y dinámicas basadas en el role-playing para entrenar al personal de la organización en la respuesta a incidentes. Por medio de diferentes escenarios (fuga de información, phishing, infección por ransomware, etc.), que afectan comúnmente a las empresas, se simulan distintas situaciones de crisis. Esto permitirá preparar al equipo para casos reales.
- Aumentar la resiliencia: cualquier organización puede sufrir un incidente de ciberseguridad, es un principio de debemos asumir. No obstante, lo importante es estar preparados para poder anticiparse e implementar medidas de protección de forma adecuada. Las metas anticipar, resistir, recuperar y evolucionar, definidas dentro del modelo de Indicadores para la Mejora de la Ciberresiliencia (IMC) de INCIBE-CERT, ayudan a las organizaciones a reaccionar frente a los incidentes procedentes del ámbito digital y pueden guiarlas en su definición de estrategias para asegurar la prestación resiliente de su servicio.
Cada vez se trabaja más en iniciativas que permiten acercar las mejores prácticas de ciberseguridad al sector de las asociaciones. Una muestra de ello es el SECtoriza2, un recurso de Protege tu empresa de INCIBE con buenas prácticas en ciberseguridad, dirigidas principalmente a mejorar la concienciación de las personas en este sector.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.