En el mundo interconectado de hoy, la ciberseguridad es más importante que nunca. ¿Cuál es la misión que tiene? Proteger los sistemas digitales, las redes y los datos del acceso no autorizado, el robo o los daños.
Implica la implementación de diversas medidas y tecnologías para garantizar la confidencialidad, la integridad y la disponibilidad de la información almacenada y procesada en los sistemas informáticos.
Los tres vértices del triángulo de la seguridad
El primero, la prevención que es el método de seguridad cuyo objetivo esencial es evitar el acceso no autorizado o las infracciones.
El segundo, la detección, que es cuando el método de seguridad elegido ya está en posición de detectar, identificando posibles amenazas y vulnerabilidades en un sistema.
Por último, la respuesta es cuando ya se están tomando las medidas necesarias para amortiguar el impacto de un incidente de seguridad.
Componentes críticos de una estrategia de ciberseguridad
La ciberseguridad tiene que formar parte del Plan Estratégico Global de una organización, y la que corresponda en particular a éste ámbito de la prevención, detección y respuesta, debe estar diseñada de manera apropiada con la finalidad de:
- Proteger los activos digitales
- Que la clientela sepa que está libre de interferencias y que las relaciones comerciales, especialmente operaciones online estén garantizados de que no haya un hackeo que resulte exitoso, al mismo tiempo que se pueda entrar en el sistema y poner las bases de datos en peligro.
- Que se tengan en cuenta todas las regulaciones existentes que no deben faltar en la estrategia de ciberseguridad.
Proceder a la evaluación de riesgos
Hay que formularse algunas preguntas, tales como:
– ¿En qué parte del proceso operativo y/o de la estructura organizativa se sabe que existe un riesgo de seguridad?
– ¿Cuáles son las amenazas que ya se conocen y cuáles se cree pueden ser las nuevas?
– Cuando se habla de que una parte del sistema administrativo y/o productivo y/o financiero, etc. es vulnerable por alguna cuestión técnica específica de esa empresa, ¿está en condiciones de valorar el posible impacto de un ataque?
Establecimiento de políticas y procedimientos de seguridad
Toda implementación de normativas internas para la aplicación de una metodología, tiene que ser clara y muy específica en cuanto a qué funciones y qué procesos, así como responsabilidades de las personas, están descritas y analizadas pormenorizadamente, a fin de evitar que se escape de la planificación estratégica algún tipo de amenaza que no sea siquiera contemplada.
Debe detallarse el uso de la tecnología y los pasos a seguir en caso de un incidente de seguridad, lo que exige una revisión y actualización periódica.
Los puntos débiles a vigilar
– Seguridad de red y puntos finales: hay que implementar medidas de seguridad sólidas de red y puntos finales, incluidos firewalls, sistemas de detección y prevención de intrusiones, software antimalware y acceso seguro a Wi-Fi.
– Controles de acceso: deben establecerse controles de acceso estrictos para limitar el acceso a datos y sistemas confidenciales. Además de la autenticación y el control de acceso basado en roles, deben practicarse auditorías periódicas de los privilegios de los usuarios para minimizar el riesgo de acceso no autorizado.
– Cifrado de datos: los datos confidenciales en reposo y en tránsito deben cifrarse para protegerlos del acceso no autorizado y posibles infracciones. El cifrado agrega otra capa de seguridad, lo que dificulta que las partes ilegales y los atacantes accedan a la información confidencial.
– Gestión de riesgos de terceros: hay que evaluar cuál es el nivel de ciberseguridad de los proveedores y socios externos, ya que pueden introducir vulnerabilidades en la seguridad de la estructura operativa.
Cuando se mide el ataque se toma consciencia del peligro
Las estadísticas oficiales del gobierno del Reino Unido muestran que el 39 % de las empresas informaron haber sufrido una violación o ataque de seguridad cibernética en los últimos 12 meses. Un dato así debe ser más que suficiente para que las organizaciones estén persuadidas de la importancia de tomar todas las medidas preventivas en materia de seguridad.
También hay que tener en cuenta que el atacante no necesariamente siempre es de fuera, ya que cuando se protegen todos los dispositivos redes, servidores y datos contra el robo o daño, puede ocurrir que sea por parte de personal no autorizado.
Cada vez dependemos más del uso de Internet y de nuestros dispositivos en lo que respecta a nuestra vida profesional. Ya sea que estemos realizando tareas sencillas como responder correos electrónicos o conectarnos con clientes a través de plataformas de video en línea, la ciberseguridad debe ser el centro de nuestras empresas.
Más allá de la disponibilidad de medidas de prevención y protección adecuadas, igualmente no hay que confiarse con tener firewalls, software antivirus o contraseñas seguras para proteger la información, ya que cuando “los buenos” (las empresas) tienen acceso a toda la nueva disrupción tecnológica, los malos (los atacantes) también dispondrán de los mismos adelantos. Por eso hay que asegurarse que las medidas de ciberseguridad estén actualizadas y sean lo suficientemente sólidas para hacer frente a los nuevos y mejorados riesgos de seguridad que utilizan los ciberdelincuentes.
El impacto de ignorar la ciberseguridad
Una vez que hemos visto cuál es el alcance del daño que puede provocar un ataque, resulta evidente el impacto que tiene ignorarla. Y este se traduce en la incidencia que tiene en diferentes ámbitos de la actividad empresarial:
- En el económico y financiero.
- Afectar la reputación corporativa.
Para 1) es evidente que ante cualquier ataque siempre hay un coste operativo, que no en pocas ocasiones ha afectado de tal manera que se haya tenido que cerrar temporalmente una línea de negocio, que, si bien no es cerrar una empresa entera, sí afecta costes fijos que se tienen que seguir pagando mientras deja de operar y de ganar dinero.
La dirección tiene que tener en cuenta también, que según sea el tipo de ataque, es posible que también tenga que afrontar financieramente las reparaciones de los sistemas dañados e incluso la compensación a aquellos cuyos datos haya perdido. Lo grave en estas circunstancias, es que se sumarán posiblemente a los costes internos los externos por conceptos regulatorios, como multas o sanciones.
Para 2) es algo que preocupa y mucho a las direcciones, ya que las infracciones y los ataques cibernéticos pueden dañar la reputación corporativa, porque ocurre que un número determinado de clientes no quieren depositar su confianza en una organización que tiene un historial de pérdida de información confidencial.
Esto lo hemos visto cuando compañías de gran prestigio y posicionamiento de marca, en cuanto sus bases de datos fueron atacadas, no tardan ni un minuto en dar explicaciones al mercado y decir que lo que les ha afectado no ha puesto en riesgo la confidencialidad de los datos de los clientes. Pero esta es una cuestión que todos tememos por el uso indebido de información confidencial. Esto ha ocurrido en el ámbito de tarjetas de crédito y también en empresas aseguradoras médicas, con el riesgo añadido que esto implica de los historiales clínicos de los pacientes.
No solo se van a perder clientes actuales, sino que se pone en riesgo la captación de clientes futuros que buscarán una empresa a su entender que ofrezca garantías de seguridad.
Estamos en un mercado en el que los consumidores, cada vez mejor informados e inteligentes, tienen muchas opciones en lo que respecta a los servicios que eligen.
Si un competidor tiene un gran historial en materia de ciberseguridad, es probable que sea una mejor opción para el consumidor que una empresa que no ha hecho un cuidado de sus datos de manera eficiente.
¿Se puede garantizar la ciberseguridad de una empresa?
No existe una metodología única para garantizar que una empresa esté completamente protegida contra los ciberataques. Lo que sí hay que hacer es elaborar una estrategia de ciberseguridad adecuada a los requerimientos operativos, para lo que los responsables de esta área, deben quedar absolutamente satisfechos de que se han tomado todas las medidas para minimizar los riesgos de seguridad.
El pasado mes de abril, un informe del FMI firmado por Fabio M. Natalucci que es subdirector del Departamento de Mercados Monetarios y de Capital y está a cargo de las funciones de monitoreo de los mercados financieros globales y evaluación del riesgo sistémico del FMI, titulaba “Rising Cyber Threats Pose Serious Concerns for Financial Stability” (Las crecientes amenazas cibernéticas plantean graves preocupaciones para la estabilidad financiera), destaca de entrada algunas cuestiones que nos deben hacer reflexionar:
– Los ciberataques se han más que duplicado desde la pandemia.
– Si bien históricamente las empresas han sufrido pérdidas directas relativamente modestas por ciberataques, algunas han experimentado un coste mucho mayor.
– La agencia de informes crediticios estadounidense Equifax, por ejemplo, pagó más de 1.000 millones de dólares en multas después de una importante filtración de datos en 2017 que afectó a unos 150 millones de consumidores.
Inmediatamente hace referencia al “Informe de estabilidad financiera mundial de abril de 2024”, que dice que el riesgo de pérdidas extremas por incidentes cibernéticos está aumentando. Es evidente que estas pérdidas podrían causar problemas de financiación a las empresas e incluso poner en peligro su solvencia.
“El tamaño de estas pérdidas extremas se ha más que cuadriplicado desde 2017 hasta los 2.500 millones de dólares. Y las pérdidas indirectas, como el daño a la reputación o las actualizaciones de seguridad, son sustancialmente mayores”
Fabio M. Natalucci denuncia que, si hay un sector expuesto al riesgo cibernético, este es el de la Banca y las finanzas. Sorprende que los ataques a la actividad financiera representan 1/5 del total, y en particular los Bancos son los más expuestos. Sin duda, la otra consecuencia es la perturbación de la actividad económica en general, y de la financiera en particular, que es un sector altamente sensible a la reputación corporativa, a lo que la sociedad tiene como referencia determinada marca de producto y directamente, el respaldo que el nombre de un Banco ofrece.
Formación y concienciación sobre ciberseguridad
Dado que la ingeniería social, como el phishing, que es una técnica que consiste en el envío de correos electrónicos que suplantan la identidad de compañías u organismos públicos y solicitan información personal y bancaria al usuario, es una de las principales formas en que los cibercriminales obtienen credenciales de acceso. Ignorar el elemento humano al desarrollar un sistema de ciberseguridad puede tener consecuencias nefastas.
Las organizaciones, en particular las que forman parte de una infraestructura crítica, deben generar conciencia sobre los problemas de ciberseguridad y la importancia de la seguridad de la información.
Es fundamental que todas las empresas tengan políticas de seguridad de la información documentadas y que los empleados sepan a quién informar sobre los problemas de ciberseguridad cuando surjan.
Algunas prácticas que las organizaciones deberían tener en cuenta
– Política organizacional con respecto a la ingeniería social.
– Procedimientos de protección de datos para proteger los datos de las tarjetas de crédito y evitar el robo de identidad.
– Mantener una higiene de contraseñas sólida.
– Doble factor de autenticación.
– Reconocer ataques de phishing.
– Revisión y actualización permanente de los sistemas informáticos y el software.
– Implementar seguridad básica de la red.
No hay empresa pequeña para los ciberataques
Se tiende a pensar que a los hackers les interesa solo las grandes empresas, pero en realidad el tejido empresarial de un país como España, es más del 80% pyme, y conforman la economía, pero con el agravante de que no están preparadas de la misma manera que las grandes organizaciones. Lo cual no están exentas del riesgo o los efectos de los ataques cibernéticos y, en algunos casos, podrían correr un riesgo aún mayor.
Por un lado, tienen la ventaja de que cuentan con una menor cantidad de datos que las operaciones a nivel de grandes grupos, pero por otro, tienen la desventaja de que cuentan con menos protecciones y defensas cibernéticas.
Un elemento a considerar, es que las pymes siempre trabajan con grandes empresas, convirtiéndose en la puerta de entrada y en el punto débil para que cualquier acción criminal tenga acceso a jugosas bases de datos y movimientos que siempre generan aquellas grandes corporaciones. Por tanto, la cadena de suministro global puede verse afectada.
La importancia de una rápida respuesta
De la misma manera que los habitantes de una isla con un volcán que no está activo hace 300 millones de años, pero que los geólogos saben que en algún momento va a hacer erupción, la certeza la tienen, lo que no saben es cuándo. En cuanto a los ciberataques pasa tres cuartos de lo mismo, porque a su vez se están volviendo cada vez más frecuentes, por lo que al igual que en la vulcanología, no es para la empresa un incidente que ocurrirá o no: va a ocurrir, por lo que debe estar preparada para dar una respuesta rápida. De esta manera podrán minimizar el daño sufrido, las interrupciones operativas satisfaciendo a los reguladores cuando sea necesario y protegiendo la confianza que se han ganado de los clientes.
Un documento de plan de respuesta debe ser fácilmente comprensible para cualquier persona en la empresa e identificar quién es responsable de liderar la respuesta a incidentes (el equipo de respuesta a incidentes), junto con sus funciones actuales y datos de contacto.
Gestión de riesgos de la cadena de suministro
Las organizaciones están más seguras cuando protegen sus superficies de ataque, incluidas las de terceros y cuartos proveedores. La gestión de riesgos de la cadena de suministro intenta identificar, mitigar y remediar estos problemas de la cadena de suministro.
Algunas empresas dependen en gran medida de sus cadenas de suministro digitales, como las empresas que utilizan aplicaciones de terceros, almacenamiento en la nube y otros proveedores de servicios basados en la nube. Ya sea que los suministros sean físicos o digitales, una empresa debe analizar esos riesgos para proteger su infraestructura.
Al colaborar con proveedores y vendedores, las organizaciones pueden desarrollar un ecosistema de conciencia mutua sobre ciberseguridad y garantizar que no haya brechas en sus controles de seguridad y superficies de ataque.
Artículo coordinado por José Luis Zunni, presidente y CEO del Instituto Europeo Ecofin de Liderazgo (IEEL), director de ecofin.es, vicepresidente de Foro ECOFIN y autor del libro recién publicado ‘El Cubo del Líder’ (Ed. Kolima; disponible a la venta pinchando aquí), en colaboración con Salvador Molina, presidente de Foro ECOFIN y presidente honorario del Instituto Europeo Ecofin de Liderazgo (IEEL) y también autor del libro ‘El Cubo del Líder’.
