¿Cómo mejorar la ciberseguridad de las ONG?
La transformación digital ha alcanzado a todos los sectores, incluyendo a las organizaciones no gubernamentales (ONG). Ahora estas organizaciones se han vuelto más dependientes de la tecnología para mejorar sus capacidades de entregar y escalar programas, comprometerse con los beneficiarios y agilizar su respuesta a las poblaciones necesitadas.
Esta transformación sin duda ha conseguido muchos beneficios, pero también ha ocasionado que los cibercriminales encuentren en estas instituciones un objetivo viable y apetecible. Según el Informe 2023 Nonprofit Tech for Good, el 27% de las organizaciones sin ánimo de lucro de todo el mundo han sufrido un ciberataque.
Las ONG recopilan, administran y procesan altos volúmenes de datos que incluyen información sensible de personas en situaciones vulnerables y datos financieros de sus donantes. Por esta razón, los cibercriminales buscan atacar estas organizaciones, que se han posicionado en el tercer puesto entre las industrias más atacadas.
En enero de 2022, un servidor de Médicos Sin Fronteras en España fue comprometido, aunque, afortunadamente, el incidente no pasó a mayores y se evitó una brecha de datos importante. Del mismo modo, en febrero del mismo año, el Comité Internacional de la Cruz Roja (CICR) fue atacado a través de un código diseñado para impactar sus servidores. En este caso, de no haberse tomado medidas proactivas, se podría haber provocado la pérdida de datos de casi 500.000 personas. En esta misma línea, el 5 de octubre de 2022, Amnistía Internacional Canadá fue objeto de un ciberataque que se debió al uso de herramientas y técnicas asociadas a determinados grupos de amenazas persistentes avanzadas (APT).
Como resultado a los riesgos cibernéticos que enfrentan estas organizaciones, varias ONG recurren a aseguradoras para evitar sufrir perdidas devastadoras. Tanto es así, que en la primera mitad de 2022 hubo un asombroso aumento del 57% entre los reclamos realizados por las ONG, según el Instituto Cyberpeace.
8 principios básicos de ciberseguridad para las ONG
Las ONG buscan dedicar sus fondos a las ayudas con las que se han comprometido, y, por lo general, no suelen invertir suficiente en ciberseguridad, así como pueden carecer de los conocimientos y el personal experto en la materia. Para contrarrestarlo, estos son algunos elementos básicos de ciberseguridad que deberían implementar:
-
Políticas de seguridad:
Las ONG necesitan delinear unas políticas de ciberseguridad claras y bien definidas. Para ello, deben conocer qué deben proteger y cómo hacerlo. Así, podrán desarrollar una serie de medidas y procedimientos a seguir que incluyan todos los procesos, sistemas y personal de la organización. Siempre hay que recordar que la ciberseguridad es una responsabilidad compartida, por lo que la realización de programas periódicos de concienciación para los empleados y el personal de TI debería formar parte de estas políticas, con la finalidad de hacer que la ciberseguridad forme parte de la cultura de la organización.
-
Actualizaciones de software:
Las actualizaciones de software son fundamentales para conseguir una ciberseguridad robusta. Es necesario asegurarse de que, tanto el sistema operativo como las aplicaciones utilizadas, estén actualizadas y tengan los últimos parches para garantizar su protección y evitar brechas de seguridad producidas por vulnerabilidades en el sistema.
-
Contraseñas seguras:
Las contraseñas actúan como la primera barrera de seguridad de las organizaciones, al proteger las credenciales de sus usuarios. Por esta razón, es importante que sean fuertes y complejas, así como cambiarlas regularmente y evitar repetirlas. También es recomendable aplicar la MFA (autenticación multifactor) como una capa adicional de seguridad para las credenciales de los empleados y miembros de la ONG.
-
Copias de seguridad:
Realizar copias de seguridad de forma periódica puede garantizar que los datos se puedan recuperar en caso de una brecha de seguridad. Para almacenarlas de forma segura, las ONG deben asegurarse de establecer unas políticas y medidas técnicas adecuadas como tener varias copias cifradas de los datos críticos, ya que de esta forma es más fácil restaurarlos en caso de necesitarlo.
-
Educación y concienciación:
La gestión eficaz del riesgo humano pasa por capacitar a todo el personal sobre las amenazas de ciberseguridad. De esta forma, podrán reconocer y evitar ataques como el phishing, la ingeniería social y otras amenazas. Al convertir a las personas en detectores humanos, se puede mejorar la capacidad de respuesta de una organización.
-
Acceso limitado:
Para evitar los movimientos laterales dentro de la red si un actor logra hacerse con las credenciales de algún empleado de la ONG, lo mejor es limitar los permisos y accesos a los sistemas a aquellos que tienen una necesidad legítima de acceso. La mayoría de los sistemas de software permiten que lo administradores regulen los niveles de autorización en función de los roles funcionales de cada empleado.
-
Evaluación de riesgos:
Es necesario realizar evaluaciones periódicas de los riesgos cibernéticos para identificar y abordar las vulnerabilidades en sus sistemas y procesos. DE esta forma, podrán reducir los ciberataques al ser conscientes de sus puntos débiles.
-
Monitorización y detección de intrusiones:
Las ONG deben monitorizar sus sistemas de forma proactiva, de esta forma serán capaces de detectar y responder a cualquier actividad sospechosa o maliciosa. Para ello, lo mejor es que la organización cuente con soluciones como cortafuegos, y sistemas de detección y prevención de intrusiones para salvaguardar los datos confidenciales, los sistemas y los empleados.
Seguridad de red: un requisito esencial para mejorar la ciberseguridad de las ONG
Las ONG deben ser capaces de proteger sus redes y, para ello, es fundamental contar con un cortafuegos que funcione como una importante primera línea de defensa contra los ciberataques.
Al utilizar un cortafuegos como Firebox de WatchGuard es posible controlar el tráfico en la red externa y de confianza, una tarea crucial si se tiene en cuenta que casi dos tercios del malware se esconde en el tráfico cifrado. Gracias a esta tecnología, las ONG pueden detener todo el tráfico sospechoso para incrementar la seguridad de la organización, así como detectar y frenar los ataques más sofisticados, como el ransomware, las amenazas de día cero y otros malware avanzados diseñados para evadir las defensas de seguridad de red tradicionales.
En 2019 Nugent Care sufrió un ciberataque que acabó con casi toda su infraestructura informática. Tras encontrarse en esa situación decidieron crear una estrategia de cinco años que les permitiera retomar el control interno de su infraestructura de red y cortafuegos. Por esta razón, decidieron invertir en una serie de dispositivos Firebox que, a través de WatchGuard Cloud, obtenían la visibilidad que buscaban para dar forma al tráfico y hacer análisis y gestión de servicios de calidad.
Scott Davis, Equipo TIC de Nugent Care explicaba que "WatchGuard fue el más comunicativo y servicial con su tiempo, orientación y demostraciones, lo que me ayudó en el proceso de toma de decisiones. No importa lo bueno que sea el producto si no está respaldado por un buen soporte".
Nugent Care es un ejemplo de lo que puede conseguir una ONG cuando cuenta con una tecnología y servicio de calidad. Como dice Scott: "duermo mejor por la noche, no hay nada peor que no saber con qué te vas a despertar".
Si quieres conocer más sobre cómo contribuye la seguridad de red en la ciberseguridad de una organización no dejes de consultar los siguientes artículos de nuestro blog:
- Cinco nuevos retos de ciberseguridad del trabajo híbrido o remoto
- Más del 80% de las empresas ha experimentado incidentes de seguridad en la nube