Los ciberdelincuentes están apuntando a la industria del comercio electrónico de la India con una tasa de ataques sin precedentes en la actualidad. Las empresas indias de comercio electrónico, en particular las pymes, son las más vulnerables a los ciberataques debido a su falta de preparación para identificar y gestionar nuevos tipos de riesgos digitales. A medida que el big data explota y aumenta la financiación de las empresas de comercio electrónico, estas se convierten en blancos fáciles para los ciberdelincuentes. En respuesta a estas amenazas, las empresas de comercio electrónico aprovechan cada oportunidad para fortalecer sus esfuerzos de TI utilizando sofisticadas herramientas digitales y soluciones analíticas. Los sistemas de TI se vuelven más complejos con una visibilidad limitada y una autoridad deficiente y, como resultado, estas empresas entran en una carrera interminable contra riesgos invisibles de ciberseguridad. En 2023, las organizaciones indias fueron las más afectadas por los ataques de ransomware y criptojacking. Estos ataques se centraron en la infraestructura de TI crítica que respalda los pagos transfronterizos, las aplicaciones basadas en IoT y los sistemas de gestión de datos. A pesar del aumento del gasto en TI en seguridad de la nube y transformación de los centros de datos, no hay señales de una mejora en la gestión del riesgo cibernético para las empresas de comercio electrónico. Las PYMES de comercio electrónico pueden mitigar los riesgos de ciberseguridad adoptando un enfoque proactivo para una transformación digital inteligente utilizando soluciones de seguridad de infraestructura e integridad de datos de clase mundial. Pero primero, identifiquemos los principales riesgos cibernéticos que afectan a las pymes del comercio electrónico. En este artículo, se han identificado los mayores riesgos y desafíos de ciberseguridad para las pymes de comercio electrónico y lo que los propietarios de empresas deben hacer para abordar estas amenazas a la seguridad. #Riesgo 1: Mascarada de ingeniería social Grandes marcas La ingeniería social fue la amenaza cibernética más frecuente en 2022, superando al robo de datos financieros. Comprar en sitios de comercio electrónico puede ser una experiencia gratificante. Pero, ¿qué sucede cuando los ciberdelincuentes se hacen pasar por su marca de comercio electrónico y engañan a sus clientes para que hagan skimming electrónico? Grandes descuentos en festivales de ventas, opciones de pago integradas, funciones de Compre ahora y Pague después, servicios de entrega rápidos e innumerables otras experiencias centradas en el cliente hacen que los compradores de comercio electrónico hagan cola para los días de ventas en horario de máxima audiencia. Esta es una oportunidad ideal para los estafadores de ingeniería social. Los estafadores juegan el juego de la “imaginación” manipulando e influenciando a los compradores para que hagan clic en enlaces o pidiéndoles que completen formularios solicitando información personal (nombre, número de teléfono, fecha de nacimiento, correo electrónico, ubicación y otros). Los empleados también podrían ser víctimas de tácticas de ingeniería social. El cebo, el phishing, el Spear phishing, el fraude de directores ejecutivos y los pretextos son algunas técnicas de ingeniería social comúnmente utilizadas y aplicadas a sitios web de comercio electrónico. Todo lo que se necesita es una inyección SQL de ingeniería social o un ataque DDoS para acabar con toda su infraestructura de TI. Solución: Las empresas de comercio electrónico deben adoptar un sistema confiable de administración de identidad y acceso (IAM) para una administración superior de contraseñas utilizando RBAC y monitoreo de actividad o inicio de sesión. Esto protege a los usuarios y empleados de caer en la trampa de la ingeniería social. Otro medio potente para luchar contra el riesgo cibernético de la ingeniería social es modernizar la evaluación y las pruebas de vulnerabilidad de sus aplicaciones. Las pruebas de vulnerabilidad en plataformas PaaS que utilizan soluciones de integridad de datos pueden evitar que los ciberdelincuentes inflijan ataques de ingeniería social a sus propiedades de comercio electrónico. #Riesgo 2: Los delitos de ransomware cobran impulso (y el mercado de la Dark Web) Menos del 0,03% de los datos de Internet jamás producidos son visibles en la superficie; el resto es parte de la web oscura o del mercado de la web profunda. Los datos de ransomware terminan en el mercado de la web oscura. ¿Están seguros los datos de su organización? El año 2023 fue testigo de una serie de ataques de ransomware en sitios de comercio electrónico en todo el mundo. La cantidad de ataques de ransomware y la gravedad de estos riesgos muestran el avance de las tecnologías y tácticas en la industria de TI. Por ejemplo, los atacantes de ransomware utilizan técnicas basadas en inteligencia artificial para lanzar ataques automatizados en sitios web de comercio electrónico. El acceso a Internet de alta velocidad, la democratización de las criptomonedas y el deterioro de las prácticas de gestión de datos son responsables de esta afluencia masiva de ataques liderados por ransomware contra las pymes de comercio electrónico. La mayoría de las víctimas de ransomware no se dan cuenta de que sus sistemas han sido comprometidos hasta que es demasiado tarde para recuperar datos y tomar el control de sus recursos de TI. Ahí es donde los agentes de ransomware ganan dinero. Además, muchas empresas víctimas han informado haber sufrido un segundo ataque de ransomware dentro del año posterior al primer ataque, en su mayoría del mismo grupo criminal. Solución: Las pymes de comercio electrónico podrían adoptar un enfoque de “más vale prevenir que curar” para superar los ataques de ransomware. Las PYMES deberían someterse a una auditoría periódica de la infraestructura de TI, incluida la cuarentena de los activos del lugar de trabajo remoto, como parte de la operación general de modernización de TI para fortalecer la integridad y la recuperación de los datos. #Riesgo 3: Expansión de TI en la sombra + SaaS: Cómo afecta la mala gestión a la ciberseguridad La expansión de SaaS se ha convertido en un importante riesgo de seguridad en 2023. Los ciberdelincuentes están explotando la expansión de TI con facilidad. La mala gestión de SaaS en el comercio electrónico surgió en la era COVID, cuando los empleados se trasladaron a un entorno remoto. Como la mayoría de las industrias, el comercio electrónico continúa sufriendo la creciente amenaza de la TI en la sombra junto con la expansión de SaaS. Muchos miembros del personal instalan aplicaciones de hardware y software no verificadas y no autorizadas sin la aprobación del equipo de TI. Esto expone la infraestructura de TI a riesgos externos, además de causar otro problema llamado expansión de SaaS. Los empleados y asociados pueden utilizar numerosos parches y aplicaciones de software basados en la nube para tareas como compartir archivos, comunicación, colaboración, almacenamiento de datos y automatización. Estos activos “invisibles” son susceptibles a grupos de amenazas externas, lo que potencialmente resulta en una crisis de seguridad incontrolable. Solución: Las auditorías de SaaS y la gestión de adquisiciones pueden neutralizar los riesgos de seguridad de las prácticas de TI en la sombra. Un proveedor de servicios de auditoría de TI crea una hoja de ruta de modernización de TI alineada con sus cifras y gráficos financieros. Las PYMES de comercio electrónico pueden beneficiarse de los servicios de auditoría para medir y gestionar los requisitos de TI de la empresa en un entorno integrado y a prueba de riesgos. #Riesgo 4: Pasar por alto las funcionalidades del BCDR Un ciberataque es una amenaza existencial para todas las organizaciones. Sin embargo, la mayoría de las organizaciones afectadas por un ciberataque pueden recuperarse rápidamente si cuentan con un plan de continuidad del negocio y recuperación ante desastres. El comercio electrónico, en virtud de la naturaleza de su negocio, el tamaño de sus presupuestos de TI y los clientes a los que atienden, es el más vulnerable a los riesgos digitales. Pero, ¿las empresas de comercio electrónico obtienen buenos resultados en lo que respecta a la continuidad del negocio y la recuperación ante desastres? Según un informe, una empresa puede tardar más de 200 días en identificar una infracción e incluso más tiempo en recuperarse de ella. El lapso de tiempo promedio combinado, conocido como ciclo de vida de la violación de datos, es de 279 días. [source]. Hacer una suposición inteligente: las pymes indias de comercio electrónico, que tienen menos expertos en TI y seguridad en sus equipos, podrían tener un ciclo de vida de gestión de violaciones de datos más largo. Las pymes de comercio electrónico con sede en la India enfrentan enormes desafíos al integrar sus esfuerzos de modernización de TI con la resiliencia de la seguridad cibernética. La mayoría de los equipos de TI del comercio electrónico no logran incorporar procesos y políticas de continuidad del negocio y recuperación ante desastres (BCDR) como parte de su resiliencia de TI. Sin BCDR, los equipos de TI carecen de la capacidad de romper los silos departamentales y reemplazar recursos y tecnologías obsoletos con una infraestructura más orientada al cumplimiento. Esto conduce a problemas asociados con la expansión de SaaS y la TI en la sombra. Solución: La automatización es un factor clave en el programa BCDR general para empresas de comercio electrónico. Podría incluir soluciones de gestión de la seguridad informática de última generación, como la vigilancia inteligente. Los procesos de BCDR incluyen la integración inteligente de varias capacidades de automatización e inteligencia artificial. Estas capacidades incluyen tecnologías avanzadas como reconocimiento facial, OCR, inteligencia predictiva de amenazas, procesamiento inteligente de imágenes, análisis y gestión remota de activos. Los programas BCDR para el comercio electrónico también podrían permitir la integración con firewalls empresariales y otras medidas de seguridad de TI y gestión de activos digitales. #Riesgo 5: Errores humanos: abordar las ineficiencias de TI Los errores humanos representaron el 40% de las interrupciones reportadas en los últimos años. Estos errores a menudo se deben al incumplimiento de las normas y regulaciones de gestión de datos existentes, la falta de herramientas de automatización y las ineficiencias de TI. Las pymes indias de comercio electrónico también corren el riesgo de ser víctimas de ciberdelincuentes debido a errores humanos. Por ejemplo, los empleados pueden establecer contraseñas débiles que pueden descifrarse fácilmente mediante tácticas de fuerza bruta. De manera similar, la negligencia de los empleados asociada con compartir contraseñas con otros o no cumplir con BYOD o conexiones de redes Wi-Fi públicas puede provocar ciberataques relacionados con errores humanos. También podemos contar el sabotaje deliberado por parte del personal humano interno como parte de esta lista. Los empleados descontentos podrían filtrar datos confidenciales o coparticipar en ataques de ransomware para obtener ganancias financieras a cambio de información de sus empleadores actuales o anteriores. Solución: Es imposible pensar en tener éxito con las prácticas de TI modernas sin Zero Trust Architecture (ZTA) y análisis de comportamiento. Las mejores prácticas de modernización de TI deben adoptar tecnologías de nueva generación para ZTNA, análisis de comportamiento, evaluación predictiva de riesgos y monitoreo de registros elásticos. Cómo responder a las necesidades de ciberseguridad: mejores prácticas con ejemplos Según un informe de Gartner, casi dos tercios (72%) de las organizaciones tienen capacidades limitadas de recuperación ante desastres. La mayoría sufre la ilusión de estar totalmente protegida contra los riesgos cibernéticos gracias a su infraestructura de TI existente. Puede ser un desafío abrumador justificar todos los objetivos e inversiones de modernización de TI si la organización no salvaguarda sus recursos digitales. Por eso se necesitan nuevas soluciones para afrontar nuevos riesgos. Adopte la IA y el aprendizaje automático en el ciclo de vida de la modernización de TI Los líderes de TI del comercio electrónico deberían encontrar nuevas formas de adelantarse a los ciberatacantes. Se podrían utilizar técnicas de inteligencia artificial y aprendizaje profundo de la nueva era para la detección de anomalías. Estos sistemas de inteligencia artificial ayudan a los equipos de TI a crear modelos de referencia de seguridad, identificar desviaciones de datos de las líneas de base y configurar herramientas de observabilidad de datos para realizar un seguimiento del estado y prevenir incidentes de seguridad. Integrar la gestión del conocimiento de seguridad en toda la organización Las organizaciones de comercio electrónico deben crear una infraestructura de gestión de la seguridad basada en el conocimiento. Esto agrega mayor eficiencia y seguridad a los entornos de múltiples nubes. En una hoja de ruta de modernización de TI, una herramienta confiable de inteligencia empresarial como VirtuaPlace de Embee hace que el flujo de trabajo para las operaciones de comercio electrónico sea fluido y seguro en entornos laborales desafiantes. Adopte la minimización de datos Las limitaciones de almacenamiento y los riesgos cibernéticos han llevado a la llegada de un nuevo concepto a la nube llamado minimización de datos. Las PYMES de comercio electrónico podrían beneficiarse de la minimización de datos como parte de las prácticas de modernización y migración a la nube. Esto reduciría la necesidad de recopilar, analizar y almacenar datos innecesarios. Menos datos en los repositorios significa menos riesgos y menores costos de las operaciones necesarias para gestionar estos datos. Elija un socio confiable Los equipos cibernéticos pueden beneficiarse al asociarse con un proveedor confiable de XaaS que ofrece una amplia gama de servicios como migración a la nube, integración de datos, evaluación integral de la seguridad, modernización de la nube y capacitación y mejora de las habilidades de los empleados. Los proveedores de XaaS como Embee pueden fortalecer a las PYMES de comercio electrónico contra riesgos cibernéticos avanzados con servicios de vigilancia y seguridad de TI totalmente administrados. Trabajar con un socio de XaaS también permite a las pymes diversificar sus productos y servicios en la etapa posterior a las fusiones y adquisiciones, cuando deben limitar la exposición a amenazas a los datos y al rendimiento.
Deja una respuesta