Hace algunos años solo las Grandes Empresas contaban con un grupo reducido de especialistas -que ahora llamaríamos “iniciados”- encargados de gestionar la seguridad de la información de los procesos más críticos. De este campo conocido apenas por unos pocos que, además, actuaban con mucha discreción, brotaron toda clase de leyendas, conocidas en el ámbito de la empresa y amplificadas por los medios de comunicación.
Así como la “Odisea” de Homero expone la idea que los antiguos griegos tenían de los peligros y amenazas que encerraba el Mar Mediterráneo, los mitos modernos sobre la ciberseguridad transmiten nuestras creencias e inquietudes sobre la seguridad en el ciberespacio. Veamos algunos ejemplos…
El 92% de los incidentes de ciberseguridad registrados por el INCIBE (más de 100.000 casos), afectaron a ciudadanos y empresas que NO forman parte de sectores críticos o estratégicos. Solo el 1% afectó a estos sectores. Además, de un estudio realizado por Telefónica entre las pymes de España, 1 de cada 5 ha sufrido ya un incidente de ciberseguridad.
El antivirus es muy efectivo para proteger de algunas amenazas concretas, pero estas no son las únicas ni las que más crecen. Según EUROPOL, en 2018 se produjo un aumento del 350% en los ataques de ransomware (“secuestro de datos”), del 250% en los ataques de suplantación de identidad y de un 70% en los ataques de phishing (“fraude online”). Para reducir sustancialmente el riesgo se necesita un conjunto de prácticas y herramientas específicas para los distintos tipos de amenazas.
Para reducir sustancialmente el riesgo se necesita un conjunto de prácticas y herramientas específicas para los distintos tipos de amenazas
Muchos empresarios creen que hace falta invertir mucho dinero en complejas plataformas tecnológicas y en la contratación de especialistas. Sin embargo, para mitigar el riesgo y eliminar la amplísima mayoría de las amenazas más comunes, basta con tomar algunas medidas de precaución y contratar soluciones ajustadas al tamaño y exposición de la compañía. Las cinco medidas básicas son:
•Instalar un software antivirus en todos los dispositivos (PCs, Móvil, Tablets).
•Implantar una solución que “filtre” el tráfico de Internet, evitando las descargas maliciosas y el acceso a sitios web fraudulentos (actualmente esto puede hacerse con una solución en la nube, sin instalar ningún dispositivo en la red local).
•Instalar un software de detección de ransomware.
•Realizar back ups periódicos (y asegurar que se pueda restaurar).
•Mantener siempre actualizados los sistemas operativos.
Si, además, formamos al personal en buenas prácticas de ciberseguridad (el INCIBE provee material de formación en forma gratuita) y contratamos un seguro que nos cubra de cualquier situación de fuerza mayor, habremos reducido sustancialmente los riesgos en el 99% de las organizaciones. Y, por supuesto, si tenemos canales de comercio electrónico o aplicaciones propias tendremos que tomar medidas adicionales.
La perfección no existe, pero la ciberseguridad consiste en gestionar el riesgo, en aplicar medidas preventivas para reducir las amenazas a un nivel gestionable, en desarrollar mecanismos para detectar las incidencias, minimizando los daños, y en planificar las posibles contingencias para facilitar la continuidad de la empresa en el peor de los casos.
Uno de los mitos más extendidos y de los más dañinos. Según un estudio de IBM en 2017, la enorme mayoría de los incidentes se produce por lo que llaman el “inadvertent insider” (“incauto interno”). Algunos ejemplos: 2/3 de la información personal comprometida públicamente se debió a fallos humanos, un 20% del total de incidentes fue por la misma causa y 1/3 del total de amenazas se basa en inducir al usuario al error (un click en un sitio o una descarga). En síntesis, la formación de los usuarios (y de los informáticos) en ciberseguridad es una de las formas más efectivas de reducir los riesgos.
La formación de los usuarios (y de los informáticos) en ciberseguridad es una de las formas más efectivas de reducir los riesgos
Según el estudio citado de Telefónica en España, 1/3 de las pymes que han sufrido una incidencia de ciberseguridad tuvieron que hacer frente a gastos imprevistos para solucionar el problema (soporte especializado, compra de software). La falta de una planificación previa puede llevar a la imposibilidad de la compañía de continuar operando, generando un lucro cesante, además del daño en reputación. El impacto es mayor cuanto más pequeña es la compañía, pues según un informe de Kaspersky Lab y Ponemon Institute, un 60% de las pymes europeas que son víctimas de un ciberataque desaparece en los seis meses siguientes al incidente.
En la era digital es difícil encontrar una organización que no conserve al menos una clase de activo valioso: datos personales y de empresa (cuentas bancarias, números de tarjeta de crédito, emails…). Numerosas organizaciones criminales buscan hacerse con bases de datos que contengan esa información para comercializar en el “mercado negro”. El GDPR de la UE establece una serie de obligaciones en cuanto a la salvaguarda de estos datos. Esto incluye el reporte de cualquier fuga de información a las autoridades y la notificación a los afectados, bajo el riesgo de recibir fuertes sanciones económicas (que pueden alcanzar el 20% de la facturación de la empresa).
El GDPR de la UE establece una serie de obligaciones, incluyendo el reporte de cualquier fuga de información a las autoridades y la notificación a los afectados
Finalmente, en un momento de plena transformación digital, la gran ventaja competitiva que aportan las tecnologías digitales (Cloud, Apps, IoT, Big Data) lleva a que todos los procesos internos de una organización las adopten rápidamente. En este nuevo contexto, es importante abordar el tema de la ciberseguridad sin temor: todo directivo o gerente de empresa de hoy en día tiene que manejar unos conceptos básicos de ciberseguridad y no dejarse llevar por los mitos del pasado.
