Actualidad - Noticias

¿Cómo garantizar la ciberseguridad de tu empresa?

8/4/2020

La crisis actual y la falta de implantación del teletrabajo están abriendo la puerta a amenazas cibernéticas sobre la COVID-19 que golpean la seguridad de muchas organizaciones en la Red

La situación de crisis actual y la escasa o nula experiencia previa en el teletrabajo están desencadenado amenazas cibernéticas sobre la COVID-19 que están golpeando de lleno la ciberseguridad de muchas empresas. 

Con objeto de implantar el risk management en la estrategia corporativa es de especial importancia que cada empresa tenga en cuenta todos los posibles casos indicados a continuación, así como las recomendaciones de ciberseguridad.

LAS CLAVES

1. ¿Qué tipo de ciberataques se están incrementando?

  1. Campañas de phishing (suplantación de la identidad) asociadas al coronavirus (COVID-19). Ejemplos reales de phishing en el asunto de los correos electrónicos: «Últimas actualizaciones de Corona-virus»; «¡Advertencia! CoronaVirus!»; «Actualizaciones de Coronavirus (COVID-19) // Anuncio de plan de continuidad empresarial a partir de marzo 2020».
  2. Incremento de campañas de phishing vinculadas al teletrabajo asociadas a entidades bancarias.
  3. Phishing sobre sistema de correo corporativo indicando falta de capacidad en el email y ofreciendo ampliaciones de cuota.
  4. Phishing de la Agencia Tributaria, DGT (pago de multas), Oficina Española de Patentes y Marcas, etc. 
  5. Campañas de smishing (mensajes SMS fraudulentos). Especialmente dañina está siendo la suplanta al SEPE utilizando los ERTE como excusa.
  6. Incremento de ciberataques de red asociados a equipos y dispositivos móviles vulnerables no actualizados, no protegidos o sin los suficientes controles de ciberseguridad. Aplicaciones falsas para dispositivos móviles, que simulan ser aplicaciones legítimas.
  7. Distribución de malware (software malicioso) referenciando a la COVID-19. A través de  correos electrónicos maliciosos se fuerza al usuario a instalar sin su conocimiento herramientas de administración remota (RAT) como NetWire, NanoCore, LokiBot, entre otras, así como otros programas maliciosos. Algunos ejemplos de nombres de archivos peligrosos adjuntos: «Aviso de concienciación sobre coronaVirus COVID-19 Documento_pdf.exe»; «Coronavirus COVID-19 update.xlsx»; «Coronavirus.uue»; «CoronaVirus afectó a la tripulación y al buque.xlsm»; «Covid19.ZIP».
  8. Incremento de webs maliciosas con dominios relativos a la COVID-19. En estas últimas semanas se han registrado más de 100.000 dominios con palabras como «virus», «corona» o «covid» (como pauta general a tener en cuenta: si la web no existía antes de la epidemia es posible que se trate de una web maliciosa). 
  9. Fake News (noticias falsas).
 

2. ¿Cómo podemos estar protegidos en el ámbito corporativo?

  1. Concienciación de cada empleado y adopción de medidas individuales, pues la seguridad es responsabilidad de todos y de cada uno de los miembros de una empresa.
  2. Adopción de las medidas anti-phishing indicadas anteriormente.
  3. Activación del 2FA (doble factor de autenticación) en todas las cuentas corporativas. Este punto evita o dificulta enormemente que puedan entrar en el correo, incluso si en el peor de los casos se filtra o roba la contraseña.
  4. Uso de equipo corporativo estandarizado, con todos los mecanismos y controles de ciberseguridad centralizada, para acceder a los datos e información de la empresa de forma totalmente segura.
  5. Aunque parezca una obviedad, es muy importante cambiar la contraseña antes de que ésta caduque.
 

3. ¿Cómo estamos protegiendo a nuestros clientes desde el equipo de ciberseguridad de BCD travel?  

  1. Adopción, administración y revisión diaria de alertas, controles y mecanismos de ciberseguridad.
  2. Priorización de respuesta a incidentes de ciberseguridad por parte de la matriz de la compañía, Ávoris Retail Division S. L.
  3. Vigilancia permanente de informaciones relativas a ciberseguridad, campañas, ciberdelincuencia, informes de inteligencia, etc.
  4. Conexión permanente con principales organismos y asociaciones de inteligencia nacionales e internacionales en el campo de la ciberseguridad por parte de nuestra matriz.
  5. Personal certificado y especializado en ciberseguridad asignado a todas las funciones y tareas de ciberseguridad comentadas.
  6. Prohibición de la conexión a los sistemas internos de la empresa mediante VPN (Virtual Private Network) en ordenadores no corporativos. Solamente se permite el acceso desde equipos externos a aplicaciones que no requieran el uso de una conexión VPN. Se entiende por «equipos corporativos» aquellos gestionados por BCD travel, pues sólo éstos garantizan que todos los sistemas de ciberseguridad están instalados y actualizados.
  7. Cumplimiento de la GDPR y envío de un recordatorio de la misma a todos nuestros empleados, en el que se ha incluido la explicación del nuevo marco normativo en comparación con el anterior y se han especificado los aspectos más relevantes del reglamento.
  8. Información de prevención de riesgos a los clientes de BCD travel a través del comunicado Risk Management news.

La protección de la información de clientes y empleados de BCD travel es crítica para el logro de nuestros objetivos corporativos y requiere esfuerzo de colaboración, conciencia continua y capacitación de toda la organización.

Nos tomamos muy en serio la seguridad de la información y siempre adoptamos medidas para mejorarla. BCD travel tiene el compromiso de mantener la protección de sus empleados y de los datos confidenciales de sus clientes. La conciencia de seguridad y la capacitación para la misma también forma parte de los estándares, las mejores prácticas, la privacidad y los requisitos de los clientes de BCD travel.

BCD travel, como compañía global de gestión de viajes corporativos, es un aliado tecnológico de sus clientes y por eso nos preocupamos de todo riesgo inherente al corporate travel que pueda ser una amenaza.

Si deseas más información sobre cómo BCD travel puede ayudarte en el ámbito del Risk Management en el business travel, no dudes en ponerte en contacto con tu equipo habitual.
 
<Volver