Medidas de ciberseguridad indispensables para todo manager de proyectos
Los proyectos online pueden ser una presa fácil para los ciberdelincuentes debido a la implicación de información de seguridad crítica (correos electrónicos, contraseñas de acceso a diferentes plataformas, cuentas bancarias, etc.).
Un simple correo electrónico de phishing solicitando nuevas credenciales de inicio de sesión o detalles de cuentas bancarias podría ser efectivo en miembros del equipo negligentes y podría poner a todos en riesgo.
En otras palabras, cualquier violación de la información por parte de un miembro del equipo del proyecto podría conducir a un desastre para las partes implicadas. Por eso, como gestor de proyectos, eres responsable de garantizar la seguridad de tu proyecto y proteger a las personas implicadas. En este artículo conocerás las amenazas de ciberseguridad para tu proyecto online y las medidas que debes tomar para evitarlas.
Tipos de amenazas a la ciberseguridad
Conocer algunos de los métodos más comunes que persiguen los ciberatacantes y las herramientas y tecnologías implicadas puede ayudarte a tomar las medidas necesarias para proteger tu negocio. Así que, antes de aprender a proteger tus activos digitales, echemos un vistazo a la naturaleza de los ciberataques más comunes.
1- Malware
El software malicioso, o en breve malware, es un software intrusivo que se inserta en un sistema con intenciones maliciosas, como comprometer la confidencialidad e integridad de los datos. El malware puede ser peligroso para los datos, el sistema operativo o las aplicaciones, lo que lo convierte en una de las amenazas más destacadas para tus activos. No es posible evitar el malware por completo. Hay que contar con defensas que proporcionen la detección de infracciones, y eliminarlo de su sistema una vez identificado.
2- Ransomware
El ransomware es un malware que limita el acceso a tus propios sistemas o datos, utilizado por los ciberdelincuentes que piden un rescate a los usuarios a cambio de recuperar el acceso.
3- Spam y phishing
El spam es un correo electrónico no solicitado en el que el destinatario no ha dado su consentimiento al remitente, a menudo utilizado como táctica de promoción. El spam suele dar lugar a la prohibición de la cuenta del remitente tras repetidos informes de spam de múltiples destinatarios.
Los intentos de suplantación de identidad o phising suelen presentarse como un correo electrónico o un mensaje que advierte de un problema relacionado con tu cuenta, aparentando que proviene de un lugar de autoridad.
4- Toma de posesión de cuentas corporativas
Como su nombre indica, se refiere al robo de entidades empresariales, en el que los ciberatacantes se hacen pasar por una entidad empresarial para realizar transacciones de fondos empresariales no autorizadas a las cuentas bajo su control. Es crucial que los propietarios de las empresas tengan un mecanismo de supervisión y un control sólido sobre sus sistemas financieros.
5- Ataques de denegación de servicio distribuidos (DDoS)
Los ciberdelincuentes recurren a los ataques DDoS para detener el funcionamiento de un sistema o servicio en línea. Los atacantes cortan el acceso de los usuarios al sistema abrumándolo con demasiadas peticiones procedentes de una variedad de IPs, enviadas desde dispositivos secuestrados que llevan a cabo la estafa.
6- Retirada de efectivo en cajeros automáticos (ATM)
Las grandes retiradas de dinero de un solo cajero automático o las múltiples retiradas simultáneas en varias regiones se consideran como retiradas de dinero de cajeros automáticos. Los ciberladrones modifican la configuración operativa a través de los paneles de control de los cajeros automáticos para poder retirar fondos por encima del límite de efectivo del dispositivo y del saldo de la cuenta. Las empresas pueden protegerse de los ataques a los cajeros automáticos controlando sus redes informáticas, los sistemas de gestión de los cajeros y los mecanismos de detección del fraude.
Los proyectos online son fácilmente propensos a cualquier tipo de ataque de ciberseguridad porque en ellos se comparten y se accede a múltiples tipos de portales y plataformas privadas, como correos electrónicos corporativos y privados, sistemas de gestión de contenidos empresariales, servidores, etc.
Añade a esto el hecho de que puedes necesitar trabajar con equipos externos y autónomos para realizar algunas gestiones. Un compromiso por parte de cualquiera de los miembros de tu equipo podría dar lugar a una cibercatástrofe.
Para evitarlo, debes tomar algunas medidas serias:
1- Educar a los miembros del equipo y a las partes interesadas
La regla general en materia de ciberseguridad es que los seres humanos son la parte más débil de la cadena de seguridad, y que la mayoría de los compromisos podrían tener su origen en un factor humano. Por eso es importante educar a todos los que interactúan con tus sistemas. Esto incluye a los miembros del equipo del proyecto, los contratistas externos, los propietarios del proyecto y cualquier otra parte interesada.
Empieza por concienciar sobre las amenazas de ciberseguridad más comunes que hemos examinado para darles una idea de lo que pueden encontrar. Recuérdales que nunca deben compartir información crítica por correo electrónico, especialmente en lo que respecta a los detalles financieros de la empresa, incluso como comunicación interna. Si es necesario, crea programas y cursos de incorporación a través de tus sistemas de gestión del aprendizaje para garantizar que los miembros de tu equipo tengan acceso a la información necesaria.
2- Utiliza contraseñas seguras y haz doble clic
El informe de Verizon sobre investigaciones de violaciones de datos (DBIR) descubrió que en 2021, el 81% de las violaciones relacionadas con la piratería informática fueron causadas por el robo de contraseñas y/o contraseñas débiles. Sin embargo, por desgracia, los usuarios de internet no suelen dedicar tiempo a crear y memorizar contraseñas seguras, o temen que se les olviden. Por eso 123456 es una de las 10 contraseñas más comunes en internet.
Es crucial que cada una de las cuentas de tu empresa tenga contraseñas únicas que se actualicen de vez en cuando. La contraseña ideal sería de más de 15 caracteres, generados aleatoriamente. Por supuesto, sería casi imposible recordar todas tus contraseñas, así que puedes utilizar una herramienta de gestión de contraseñas que creará y almacenará contraseñas únicas por ti.
Ten en cuenta que algunos servicios o productos vienen con contraseñas por defecto que no deberías utilizar durante mucho tiempo. Cámbialas y crea una contraseña única para cada uno. Sin embargo, sólo hay que cambiarlas cuando haya riesgo de que los datos se vean comprometidos.
3- Utiliza un servicio seguro en la nube para alojar y compartir archivos
Independientemente del tamaño de tu empresa, tus datos deben estar almacenados en un lugar seguro, y debes realizar copias de seguridad de los mismos con regularidad, ya que los ciberatacantes serán más reacios a atacar los datos protegidos, y es menos probable que pidan un rescate por ellos.
Utilice un servicio en la nube como el intuitivo Internxt para almacenar y salvaguardar sus datos. Internxt encripta automáticamente los archivos que subes, codificando la información y haciéndola ilegible. Sólo tú puedes utilizar la clave de cifrado para descifrar el archivo y leerlo.
4- Realiza una adecuada evaluación de riesgos de ciberseguridad
La evaluación de riesgos es un paso importante en la planificación y gestión de proyectos. Saber lo que hay y lo que puede venir, es decir, los factores de riesgo reconocidos y sospechosos, será esencial para la salud de tu proyecto. Trabaja con un especialista en TI para evaluar los posibles riesgos de ciberseguridad asociados a su proyecto.
Los especialistas en TI le ayudarán a identificar la necesidad de software necesario, a gestionar la autorización de datos, a mejorar los procesos de verificación y a educar a tu equipo sobre las medidas de seguridad que deben tomar, como la realización de copias de seguridad y el uso de software de seguridad.
Otra estrategia de gestión de riesgos es transferir el riesgo a un tercero. A las pequeñas empresas les conviene mucho más externalizar los requisitos de seguridad de un proyecto o contratar un seguro. Trabajar con un socio de servicios en la nube es una transferencia del riesgo, por ejemplo. Pero ten en cuenta que el coste de trasladar el riesgo no debe superar el coste de realización del mismo.
5- Utilizar herramientas de gestión de proyectos seguras
Las herramientas relacionadas con los proyectos, como las de gestión de proyectos, las de creación de prototipos o las de requisitos de productos, acceden y almacenan tus datos a diario, así que utilice otras seguras. La información sensible y los datos de los clientes circulan por la base de datos de tu software. Un fallo de seguridad en tus sistemas puede dañar tu reputación y causarte un perjuicio económico. Entonces, ¿qué hay que buscar en un software PM seguro?
El software debe cifrar y transmitir tus datos a través de los protocolos SMB 3.0, HTTPS y SSL para asegurarse de que no se modifican ni se leen. Debe ofrecer protección contra el malware y pruebas de seguridad automatizadas. Además, la herramienta que elija debe almacenar tus datos en tiempo real para asegurarse de que son accesibles para todos los usuarios en múltiples servidores dispersos por regiones.
En definitiva, los gestores de proyectos son responsables de la ciberseguridad de sus proyectos. Si algo va mal, no sólo se desperdician los esfuerzos de sus equipos, sino que también se pone en peligro la información crítica de todas las personas implicadas (incluidos los correos electrónicos personales/corporativos, la información de las cuentas bancarias, las credenciales de acceso a la plataforma, etc.).