Imagen: Adobe/immimagery El sector sin fines de lucro es uno de los mayores empleadores y fuentes de ingresos de Australia. 1,4 millones de personas trabajan en el sector sin fines de lucro en Australia y otros 3,2 millones de personas son voluntarias. Los ingresos totales del sector son de 190 mil millones de dólares y ese dinero se destina directamente a apoyar causas críticas en todo el país. Desafortunadamente, según una nueva investigación de Infoxchange, el sector no está bien equipado para manejar los requisitos de seguridad de los entornos de TI modernos, y eso no sólo está poniendo en riesgo a cerca de cinco millones de personas, sino que también está inhibiendo la capacidad del sector NFP para abordar los problemas de Australia. desafíos humanitarios y de justicia social más apremiantes. Saltar a: Información sobre seguridad cibernética de NFP de Infoxchange Tecnología digital en el sector sin fines de lucro de Infoxchange ofrece una inmersión profunda en las tendencias dominantes que enfrentan las organizaciones benéficas y sin fines de lucro con la tecnología, según una encuesta de más de 1,000 organizaciones del sector. Las estadísticas incluyen: Una de cada ocho organizaciones encuestadas había experimentado un incidente de seguridad cibernética durante el año pasado. Solo el 23% contaba con procesos efectivos de seguridad de la información, lo que permitía al personal y a los voluntarios salvaguardar los datos de la organización. Sólo el 39% había implementado la autenticación multifactor para sistemas conectados a Internet con datos confidenciales, mientras que sólo el 13% tenía un plan documentado para mejorar la protección de la seguridad cibernética. Sólo el 12% de los PFN realizaron periódicamente capacitaciones sobre concientización sobre seguridad cibernética, y solo uno de cada cinco contaba con una política de seguridad cibernética. Estas PFN comprenden la importancia de la modernización digital. En otra parte del informe, el 45% dijo que ya había trasladado la “mayoría” de su TI a la nube. Los PFN también están profundamente interesados en el potencial de la tecnología para mejorar sus comunicaciones, y el 38% afirmó que mejorar su sitio web era su principal prioridad de cara al futuro. Mientras tanto, el 32% dijo que hacer un mejor uso del marketing digital era el principal objetivo tecnológico. La falta de apoyo deja a los PFN con prácticas de seguridad deficientes. Y, sin embargo, sin ninguna pregunta sobre seguridad cibernética, la mayoría “estuvo de acuerdo” en que estaban operando de acuerdo con las mejores prácticas (Figura A). Figura A El estado de preparación en materia de seguridad cibernética entre los PFN. Imagen: Infoxchange «A pesar de esta enorme huella en nuestra economía y en nuestras vidas, las organizaciones benéficas y sin fines de lucro no han recibido el apoyo que necesitan para hacer frente a un nivel cada vez más sofisticado de ataques cibernéticos», dijeron David Crosbie y Tim Costello. AO, del Consejo Comunitario de Australia, en un comunicado conjunto. “A diferencia de las empresas, las organizaciones benéficas gastan cada dólar extra que pueden encontrar en servir a sus comunidades. “Asignar más recursos para fortalecer la seguridad cibernética significaría reducir el nivel de servicios disponibles en nuestras comunidades. Muchas organizaciones benéficas y NFP luchan por retirar sus servicios, a pesar de que la seguridad cibernética es claramente una prioridad importante”. El impacto de la mala seguridad En agosto, se supo que los datos de hasta 50.000 donantes (que afectaban a hasta 70 NFP, incluidas importantes organizaciones benéficas como la Fundación Fred Hollows, el Cancer Council y Canteen) se habían filtrado y publicado en la web oscura. Esto se debió a que los NFP se asociaron con la organización equivocada (en este caso, Pareto Phone para servicios de telemercadeo), pero resalta los bajos niveles de preocupación o conciencia sobre la seguridad entre muchas organizaciones benéficas. Las organizaciones están obligadas a garantizar que los socios externos sean responsables de los datos de los clientes. Por otra parte, en 2022, otra importante organización benéfica australiana, The Smith Family, fue atacada directamente por piratas informáticos y le robaron datos críticos de alrededor de 80.000 donantes, incluidas tarjetas de crédito e información personal. La falta de conciencia de seguridad de las NFP los está exponiendo a responsabilidad legal. Como señaló Moores, una firma legal que se especializa en apoyar organizaciones benéficas y otras organizaciones de “bien social”, los impactos de las infracciones cibernéticas en las NFP son particularmente dañinos. VER: Las empresas australianas están adoptando un enfoque de «asumir una infracción» en materia de seguridad cibernética. «Desafortunadamente, muchas organizaciones benéficas y NFP son susceptibles a ataques de seguridad cibernética debido a los bajos niveles de resiliencia cibernética», señaló la firma en un blog. “Para una organización benéfica o un PFN, no tomar las medidas adecuadas para proteger los datos podría significar: La exposición de información confidencial de los beneficiarios, donantes o miembros; la pérdida de fondos y recursos de caridad; daño reputacional; e incumplimiento de obligaciones legales”. Más cobertura en Australia Y, sin embargo, a pesar de estas preocupaciones y las dificultades que enfrentan los PFN para financiar la seguridad, parece haber pocos esfuerzos a cualquier nivel para abordar el desafío. Por ejemplo, el Consejo Comunitario de Australia está utilizando el informe de Infoxchange para presionar al Primer Ministro, alegando que el documento de debate sobre la Estrategia Australiana de Seguridad Cibernética 2023-2030 (incluido el concepto de “seis escudos”) no reconoce específicamente a las organizaciones benéficas y sin fines de lucro. , a pesar de sus importantes contribuciones a la fuerza laboral, el PIB y el bienestar de la comunidad australianos. «Nunca ha sido más importante desarrollar las capacidades digitales y la resiliencia del sector sin fines de lucro», dijo en un comunicado el director ejecutivo de Infoxchange, David Spriggs, apoyando los llamados a un apoyo más estratégico y nacional para las NFP y la seguridad cibernética. “A medida que los australianos son los más afectados por la crisis del costo de vida, esto está ejerciendo una mayor presión sobre las organizaciones comunitarias locales y sin fines de lucro que están en primera línea para responder a niveles récord de demanda de servicios”. Un enfoque de regreso a lo básico Es poco probable que los PFN vean una repentina afluencia de presupuesto para mejorar su situación de seguridad. En lugar de eso, los profesionales de TI que trabajan en NFP deberían adoptar un enfoque de “vuelta a lo básico” en materia de seguridad de TI y asegurarse de que, como mínimo, las organizaciones sigan estas mejores prácticas. Educar y capacitar al personal La primera línea de defensa en ciberseguridad suelen ser los propios usuarios. Los profesionales de TI deben realizar sesiones de capacitación periódicas para educar al personal sobre las últimas ciberamenazas y cómo reconocerlas. Esto incluye estafas de phishing, malware y ataques de ransomware. Implementar políticas de contraseñas seguras Un área donde existe una gran conciencia entre los PFN es el valor de las políticas de contraseñas y de administración de contraseñas seguras que incluyan autenticación de dos y múltiples factores. Los profesionales de TI deberían buscar implementar las políticas de confianza cero más sólidas posibles, especialmente para aquellas NFP que operan predominantemente en la nube. Actualice y aplique parches a los sistemas con regularidad. Las ciberamenazas evolucionan constantemente y el software obsoleto puede tener vulnerabilidades que los piratas informáticos pueden aprovechar. Actualizar y aplicar parches periódicamente a todos los sistemas es fundamental para mantenerlos seguros. PREMIUM: Aprovecha esta política de gestión de parches. Instale y actualice software de seguridad Utilice software de seguridad confiable que ofrezca protección en tiempo real contra malware y otras ciberamenazas. Muchos paquetes de software de seguridad modernos tienen inteligencia artificial incorporada, lo cual es fundamental aprovechar cuando los recursos humanos son escasos. Realice copias de seguridad de los datos periódicamente Las copias de seguridad periódicas de los datos son esenciales para recuperarse de los ciberataques. Las copias de seguridad deben realizarse con frecuencia y probarse periódicamente para garantizar que puedan restaurarse si es necesario. También es importante almacenar copias de seguridad de forma segura, ya sea fuera del sitio o en la nube, para protegerlas contra daños físicos o robos. Como defensa contra el ransomware, los equipos de seguridad deberían buscar copias de seguridad que también tengan un «espacio de aire» que impida que el ransomware llegue a los datos de la copia de seguridad. Invertir en servicios gestionados Los PFN deberían considerar invertir en servicios gestionados para apoyar a sus equipos internos. El resultado de seguridad de trasladar el trabajo a la nube es que los equipos de seguridad pueden brindar soporte a la organización de forma remota, y muchos MSP con inclinación por la seguridad se especializan en brindar soporte a organizaciones pequeñas y con pocos recursos.
Deja una respuesta