Quines són les principals amenaces, els riscos i reptes que enfronten les empreses?

• Atacs Enginyeria socials, Atacs a la gent, Factor humà, O els atacs de qualsevol altre tipus, que comencen amb una acció de Enginyeria socials, Per què, en la majoria dels casos, passant PhishingName En qualsevol de les seves variantsSmshing, Viscat, Qrshing, Fishing de llans, Etc.) O altres canals, mitjans, o tàctiques emprades pers Cíbercriminals. Aquests tipus d'atacs sovint es dirigeixen als treballadors dins de les empreses i, gairebé sempre, a treballadors molt específics (manadors, Computadors, personals de compra, VIPs - Gent molt importants- I/o VAPs - Gent molt atacat-), Qui estan enganyats a revelar informació privada i confidencial, o descarregar i executar. MalwareName Sense conscients.

• Els atacs PhishingName En ells mateixos, si són. ImpersonacióName (Typ BEC - Compromitza de correu electrònics) O no, en cap dels seus modes de lliuració iFlavors”( Per correu electrònic, per. SMS, En una trucada d' Telèfona, Què tal, Al cuir un QR, Etc.)

• El dos anteriorEnginyeria socials i PhishingName De tot tipus), entre altres tipus d'atacs, produeixen a canvi. Exfiltració de dades, E Violacions de dades i informació. Aquest és un problema molt greu ja que les dades dels clients, informació personals, o informació legal, industrial o financers de la companyia atakata.

• Ciberkidnects Els atacs RansomwareName, A mesura que passa el temps i es converteix en més i més sofisticat, Ser empreses més periós i objectius de tot tipus de sectors i mida (úsculsos, freelancers, microSMEs, SMEs, grans empreses, multinacionals. Aquests atacs encripta informació i documents, bloquejant l'accés a les dades i sistemes, demanant un rescat per restaurar l'accés, Decipar-los.

• MalwareName Un general (General)VirusName, Trojans, Cubes, Botnets, SpywareName, Etc.), que arriba a l'empresa (el seu perímetre, dispositius interns i externs, xarxa corporativa, nova, infrastructures, etc.) Per diferents canals (mail, fishing, baixades, USB, etc.) I compleix l'activitat malignanta, il·licita o perjudica per a la qual està programada. En moltes ocasions, hi ha variants o mostres de MalwareName Encara desconegut (creat recentment) que es pot utilitzar per atacar i infectar. Aquests tipus d’atacs són sovints coneguts com a atacs Dia zero, 0 dia, L'un d' Dia zer.

• Exploitat de les vulnerabilitats Vol dir atacar els punts més febles detectats en qualsevol d'aplicacions o programari per a l'ús corporatives, així com la seva xarxa, Architectura de maquinari, infraestructura, núvol, sistemes ordinadors de l'organització i fins i tot dispositiusIT, OT, IT/ OT i IoT). En moltes ocasions existeixen. Vulnerabilitats Encara desconegut que els poden explotar per aquells que els han detectat abans d'altres. Aquests tipus d'atacs també es coneixen com atacs Dia zero, 0 dia, L'un d' Dia zer.

• Denegat els atacs de serveis (DoS / DDoS), De fet aconseguir l'aline, d'una manera. Simultània, Peticions de massas Des d'una multitud (milers, centenars de milers, milions) de punts o dispositius, a un únic element comú (server web, base de dades, sistema d' accés, formulari d' entrada de dades, APIName, Etc.), amb la qual és possible saturar, col·lapseu i sortir Fora del servei Per aquest sistema, sense la necessitat d'infectar-lo o fer cap altre tipus d'acció. Poden ser de tipus. DoS (atac de serveis) El tipus DDoS I, generalment, s'han llançat des d'a BoteNet (Un xarxa de ordinadors, conegut com zombies, que abans han estat "capturats" per a prendre el control sobre ells i capaç de demanar-los per fer certes accions, com la connexió a tots a la mateixa hora i en una base recurrent a un servei web per a provar DoS, DDoS, Minis de la criptografia, Etc.)

• Internet de les coses (Internet de les coses - IoT) i Infrastructures Corporates També són comuns, especialment en empreses en entorn industrials. En aquest cas s'aprofita d'això Forats de seguretat i Configuracions Dispositius no vàlids com les càmeres, impressores, PLC, electrodomes intel·ligents, etc.

• Injecció de codi, E Injecció de codi SQL, Que consisteix de atacar un servei Web (Usualment a través a Forma amb Camps per a introducció de dades), Introducint Codi SQL En els camps vulnerables quan sigui possible, per a aconseguir Accedeix a bases de dades i extrau la vostra informació.

• APTs O Amenaces avançats persistents, Considerat un dels atacs més evolucionats, que adopten tecnologies més sofisticades, complexes i objectius, Mecanisme i estratègies. En aquest cas, consisteix de casos de Hacant Això es fa constantment en una organització per entrar i Queda't dins. Durant molt temps, actuant la seva activitat perill.

• Els que atacan Infraestructura de claud, Internal o extern d' una tercera part i aplicacions existents en ells. En aquest cas, per exemple, podríem parlar Ombra IT O els riscs de infraestructura no controls pel departament IT de l'organització (coma les infraestructures de núvols contractats dels proveïdors de núvols).

• Relacat amb el punt anterior, especialment a causa de la augmenta dependència dels serveis del tercer partit, un dels riscs més comuns, El que és menys en compte, però que s'aconsegueu rellevant i atenció especial, és la de la Cadena de proveïció. És a dir, d'aquests riscs que, no ser la seva pròpia o inherent per a l'empresa, pot afectar-la ja que són perills d'un tercer grup en què tenen els seus serveis o amb qui col·laborant per alguna cosa en particular, incloent companys, companys, etc.

• Insiders O amenaces interns que, com a usuaris interns dels sistemes de l'organització (si són treballadors, proveïdors, col·laboradors o companys), intencionament o no, poden fer accions perills i perjudicials a causa de la seva falta de coneixement i entrenament, La capdaça, descomporta, les arranjaments incorrectes, l'atenció d'accés, Credencials i permisos, Ús i connexió dels dispositius externs a la xarxa corporativa, etc.

• Atakes directes sobre ells Assi de informació, Com a bases de dades (o contenidors d'informació) de clients, proveïdors, socis, usuaris, col·laboradors, o la pròpia de l'organització (propietat intel·lectual, patents, legal, corporatiu, financer, etc. ), amb informació privada i confidencial, que poden produir, a més a Marcat d' informació, Problemes importants per a la companyia en termes Bahar, Però Comprovació regulator, LegalName, De Imatgen, ReputacióName, MarcaName i Continitat de negocis.

• Desenvolupament insegura De programari Seguretat ciber del disseny, Incurat Errors, Bupes de seguretat i Vulnerabilitats Això es poden explotar pels tercers parts. És per corregir-lo, un model de Cicles de desenvolupament de programari segur (SSDLC).

• La falta d'addència tècnica per a la justa Comprovació regulator (Percusa Compliment) És un altre factor a tenir en compte. En aquest cas, no complir amb certs estàndards i definir els marcs de seguretat de ciber i legalitat, amb certes regles, Les regles i lleis poden portar a problemes greus. Ja no per no complir i Sanciós O Fins Que això pot involucrar, però també per a l'hora. Forats de seguretat i la La falta de protecció de qualitat El que significarà no complir-los.

• La falta de conscients, entrenament i entrenament Els treballadors.

• Evolució continua De la tecnologia i la digitalització que requereix actualització constant i quasi-immediat. I, de la mateixa manera, l'evolució (deixant darrere) de les noves lleis, Regles i regulacions que arriben a regular-lo i "poseu un cert ordre de conducta", amb una visió que és tan holístic com sigui possible, en molts països amb característiques comú o no.

• Kapacitat econòmia, financera, inversió i recurs A l'organització. Una organització pot tenir una mica de coneixement i habilitat per complir la seva pròpia. Estrategia de seguretat cibersPerò no és normal. Si això no és teu. Negoci cerc O la vostra àrea IT no té aquestes capacitats, recursos o temps, normal i consellats Recorda als experiments externs I l'adquisició de programari Seguretat cibers.

Íñigo Ladrón Morales, escriptor de contingut Zerolynx.