Why Cybersecurity is Necessary for Nonprofits & How to Protect Your NPO

Seguridad para las organizaciones sin fines de lucro

Por qué la ciberseguridad es necesaria para las organizaciones sin fines de lucro

Por qué la ciberseguridad es necesaria para las organizaciones sin fines de lucro y cómo puede proteger la suya

Aunque las organizaciones sin fines de lucro se crean para hacer el bien en sus comunidades y en todo el mundo, muchas de sus operaciones diarias son paralelas a las del espacio comercial. Por ejemplo, recogen información confidencial, ya sea de voluntarios o como parte de campañas de donación. Sin embargo, a diferencia de las empresas comerciales, las organizaciones sin fines de lucro suelen disponer de menos recursos monetarios y personal, lo que puede hacer que tenga dificultades para proteger los datos y mantenerlos accesibles.

Dado que las organizaciones sin fines de lucro dependen de la buena voluntad y la confianza de sus benefactores, la protección de sus datos debería ser una de sus principales prioridades. Continúe leyendo para saber por qué la ciberseguridad es necesaria para las organizaciones sin fines de lucro que desean proteger sus datos y, por lo tanto, su misión.

¿Por qué las organizaciones sin fines de lucro necesitan ciberseguridad?

Las organizaciones sin fines de lucro recopilan, procesan, transmiten y almacenan más información confidencial de lo que creen. A pesar de centrarse en su misión y sus objetivos, también realizan muchas operaciones comerciales similares a las de las organizaciones con fines de lucro, que incorporan información de identificación personal, como la siguiente:

  • Comercio electrónico: procesamiento de donaciones, inscripción de personas en eventos, venta de artículos de la marca de la organización
  • Recursos humanos: procesamiento de nóminas, registros de seguros médicos
  • Marketing: marketing por correo electrónico, correo directo

Las organizaciones sin fines de lucro gestionan muchos datos y aplicaciones, pero no suelen tener la flexibilidad financiera para invertir en la tecnología y los conocimientos necesarios para proteger su entorno. Esto hace que las organizaciones sin fines de lucro de cualquier tamaño sean vulnerables a los actores maliciosos. Por ejemplo, el Banco de Alimentos de Utah (Utah Food Bank) recientemente fue víctima de piratas informáticos que utilizaron el sitio web de la organización para acceder a los datos confidenciales de más de 10 000 donantes. Este es un claro ejemplo de por qué las organizaciones sin fines de lucro deben asegurar cuidadosamente cada solución y servicio que emplean.

¿Cuáles son los riesgos de ciberseguridad a los que se enfrentan las organizaciones sin fines de lucro?

En muchos sentidos, las organizaciones sin fines de lucro se enfrentan a los mismos riesgos que las organizaciones de otros sectores. Para protegerse, deben poder identificar los riesgos y comprender la mejor manera de mitigarlos.

Donaciones en línea

Un número cada vez mayor de donantes opta por hacer donaciones en línea, y un informe de Blackbaud de 2020 indica que las donaciones en línea aumentaron un 20,7 por ciento de un año a otro. Teniendo esto en cuenta, para muchas organizaciones sin fines de lucro, sus canales de donación en línea son un recurso indispensable.

Sin embargo, como se ha demostrado en incidentes como la vulneración de SolarWinds, terceros pueden dejar a las organizaciones sin fines de lucro expuestas riesgos. Las organizaciones sin fines de lucro deben evaluar cuidadosamente los servicios que utilizan para recaudar y procesar los pagos, y asegurarse de que su organización está preparada para lo peor al realizar una evaluación de riesgos y vulnerabilidades; de lo contrario, podrían poner en riesgo la información más confidencial de sus donantes.

Voluntarios

Las organizaciones sin fines de lucro suelen emplear a voluntarios o empleados a corto plazo para iniciativas específicas in situ. Sin embargo, los voluntarios no suelen pasar por el mismo proceso riguroso de formación en seguridad o de comprobación de antecedentes que los empleados a tiempo completo.

Como resultado, es posible que los voluntarios tengan menos conocimientos sobre ciberseguridad, lo que pone a las organizaciones en riesgo. Por ejemplo, es probable que no sepan cómo crear una contraseña segura o que utilicen su acceso de forma indebida, accidental o intencionalmente. En cualquier caso, esto pone en riesgo la información confidencial de las organizaciones sin fines de lucro.

Estafas de phishing y ransomware

Las organizaciones sin fines de lucro se comunican con voluntarios y organizaciones asociadas por correo electrónico, SMS y mensajería instantánea, entre otros medios. Cada uno de estos canales de comunicación deja a los empleados vulnerables a ataques de ingeniería social, y para los actores maliciosos, las organizaciones sin fines de lucro son una oportunidad excelente.

Los ataques de ingeniería social suelen comenzar con estafas de phishing como forma de enviar malware, como el ransomware.

No dé lugar a ataques de ransomware

¿Sabe qué debe hacer ante un ataque de ransomware? Siga estos siete pasos para limitar los impactos.

Descargue nuestra lista de verificación para la prevención de ransomware

Estos ataques tienen éxito porque apelan a las emociones de las víctimas para que tomen medidas en contra de sus intereses. Dado que los empleados de las organizaciones sin fines de lucro también se comunican con otras organizaciones sin fines de lucro, y es probable que sean personas empáticas, son menos propensos a desconfiar de un correo electrónico procedente de lo que parece ser un donante o una organización asociada.

Ataques de malware

En general, los ataques de malware comienzan con estafas de phishing. Sin embargo, los sitios web maliciosos son otro vector de amenaza de malware. Los voluntarios y empleados que buscan información en Internet pueden hacer clic accidentalmente en un sitio web malicioso y descargar malware en su dispositivo.

Ataques de inyección SQL

Aunque los ataques de inyección SQL suenan sumamente técnicos, son una metodología de ataque común y fácil de usar para los actores maliciosos. Los hackers pueden atacar portales de acceso de sitios web que recogen un nombre de usuario y una contraseña. Buscan los menos seguros e insertan código malicioso. La aplicación web acepta este nuevo código como válido, lo que les da acceso a la base de datos, donde pueden ver, cambiar o descargar información confidencial.

Cómo proteger a las organizaciones sin fines de lucro de las amenazas

A medida que las organizaciones sin fines de lucro digitalizan sus operaciones, deben centrarse en proteger sus datos y su reputación. El primer paso para poner en marcha un plan de ciberseguridad es identificar, analizar y comprender las fuentes de riesgo.

Comprender las fuentes de datos y los riesgos

Antes que nada, toda organización necesita identificar y clasificar los datos que recoge, transmite, procesa y almacena.

Al iniciar el proceso de identificación, las organizaciones sin fines de lucro deben determinar si recopilan lo siguiente:

  • Nombres
  • Fechas de nacimiento
  • Direcciones de domicilio
  • Direcciones de correo electrónico
  • Números de seguro social
  • Información de cuentas financieras
  • Información de tarjetas de crédito
  • Direcciones IP
  • Información sobre atención médica

Luego, deben identificar dónde almacenan esta información. Estos son algunos ejemplos:

  • Computadores portátiles o de escritorio
  • Dispositivos móviles, como teléfonos inteligentes y tabletas
  • Proveedores de servicios en la nube, como M365, Google Suite o Box.
  • Servidores, tanto locales como en la nube
  • Hardware extraíble, como unidades USB

Por último, deben saber quién tiene acceso a los datos, por ejemplo:

  • Empleados
  • Voluntarios
  • Contratistas externos
  • Proveedores de servicios tecnológicos externos

Realizar una evaluación de riesgos

Después de recopilar estas listas de datos, lugares y personas, las organizaciones sin fines de lucro deben evaluar sus riesgos. Por ejemplo, algunos usuarios pueden tener un riesgo mayor que otros. Un administrador de TI que puede crear cuentas o modificar cualquier tipo de información representa un mayor riesgo que un voluntario que solo puede acceder a una sola computadora con conectividad limitada a Internet.

Después de determinar el riesgo que supone cada tipo de información, usuario y dispositivo, las organizaciones deben analizar el impacto que tendría una vulneración de datos. Esto implica examinar la probabilidad de que se produzca una vulneración de datos y el impacto financiero y de reputación que esta tendría. Esto ayuda a las organizaciones sin fines de lucro a crear una estrategia de ciberseguridad que las proteja contra una amplia variedad de vulnerabilidades.

Profundizar en los riesgos reales

No todos los riesgos son iguales. Algunos activos son de bajo riesgo. Por ejemplo, una sola computadora situada en las instalaciones que no tiene conexión a Internet es un activo de bajo riesgo. Pero una base de datos en la nube que almacena información confidencial y está equipada con muchas aplicaciones de terceros es un activo de alto riesgo.

Al profundizar en los riesgos reales, las organizaciones sin fines de lucro pueden decidir cómo priorizar sus estrategias de mitigación de riesgos de ciberseguridad. En algunos casos, si un riesgo es demasiado alto, las organizaciones pueden encontrar una táctica alternativa para evitarlo por completo. Por ejemplo, puede ser que un determinado proveedor no tenga una buena reputación en materia de seguridad y decidan cambiar a otro proveedor que emplee técnicas de seguridad de vanguardia. En otros casos, podrían decidir mitigar el riesgo estableciendo controles de seguridad o transferirlo mediante la compra de un seguro contra riesgos cibernéticos.

Cómo puede ayudar SoftwareONE

Las organizaciones sin fines de lucro necesitan transformar digitalmente sus operaciones para poder seguir teniendo un impacto en los problemas sociales más críticos del mundo. SoftwareONE reconoce esta necesidad y se compromete a trabajar con las organizaciones sin fines de lucro para que puedan implementar tecnología de vanguardia, segura e innovadora para avanzar en su misión.

SoftwareONE se compromete a trabajar con Microsoft Tech for Social Impact (Tecnología para el impacto social), creando herramientas asequibles y accesibles para proteger a las organizaciones sin fines de lucro y sus datos, así como ayudarlas en su proceso de transformación. A través de nuestros servicios ONEImpact, nos esforzamos por capacitar a las organizaciones sin fines de lucro para que actualicen su infraestructura tecnológica con el fin de garantizar que sus equipos de TI, habitualmente sobrecargados y escasos de personal, dispongan de las herramientas necesarias para proteger los datos.

Comenta este artículo

¡Deja un comentario para hacernos saber lo que piensas sobre este tema!

Deja un comentario

Autor

Joe Morley

Joe Morley

Technical Evangelist – ONEImpact

Nonprofit sector

Artículos relacionados

cyber-security-update-june-2021
  • 12 julio 2021
  • Bala Sethunathan
  • Ciberseguridad, Seguridad Gestionada, Cybersecurity User Awareness, Cyber Threat Bulletin
  • Seguridad de datos, información, Ciberamenazas, Conciencia Cibernética

Noticias sobre ciberseguridad - Junio de 2021

Cada año, se roban miles de millones de registros en todo el mundo. ¿Pero sabe cuánto vale su información personal para los ciberdelincuentes? Descúbralo.

Getting Started with FinOps: Why Cloud Security is Your Step Zero | SoftwareONE Blog

Primeros pasos con FinOps: Por qué la seguridad en la nube es su paso inicial fundamental

Tanto si busca controlar los costos derivados de las cargas de trabajo en la nube, como el fraude o las vulneraciones de datos, la seguridad en la nube es el paso inicial más importante antes de comenzar con las FinOps. Más información.

cyber-security-update-may-2021
  • 14 junio 2021
  • Bala Sethunathan
  • Seguridad Gestionada, Cybersecurity User Awareness, Cyber Threat Bulletin, Ciberseguridad

Noticias sobre ciberseguridad - Mayo de 2021

En la actualidad, los errores de configuración en la nube representan un alto riesgo de vulneración de datos. Conozca estas prácticas recomendadas que ayudan a asegurar sus activos basados en la nube.