Desde hace unos años está en boca de todos la ciberseguridad, principalmente por dos hechos muy relevantes. El primero fue la entrada en vigor del nuevo Reglamento General de Protección de Datos, y el segundo la afectación masiva de Wannacry. Ambos hechos pusieron sobre la mesa asuntos que, si bien no eran desconocidos, eran muy obviados por la mayoría de las empresas, sobre todo Pymes, como eran la exposición al riesgo y la responsabilidad en caso de los daños ocasionados por la falta de contramedidas.

Las grandes empresas, en la mayoría de los casos, ya llevaban años invirtiendo en ciberseguridad, quizá empujadas por un mercado cada vez más orientado hacia el e-commerce, o por sus relaciones con terceros, como proveedores o clientes. Además, poseían el musculo financiero que les permitía invertir en tecnologías que les generaban confianza y sensación de protección. Una buena implementación de un marco de ciberseguridad, puede llevar a las Direcciones de nuestras empresas a pensar que realmente los ataques no se están produciendo y realmente la empresa no está en riesgo.

Entonces… ¿Debe mi empresa empezar a evolucionar sus sistemas de ciberseguridad?

Rotundamente SÍ. Todas las empresas, independientemente de su tamaño deben evolucionar sus sistemas de seguridad, y además, deben establecer pautas para ir revisando estos sistemas con una cierta frecuencia.

El ecosistema de riesgo cibernético ha cambiado, mientras antes los ataques eran dirigidos a las empresas con cierto interés, hoy se lanzan masivamente, sin objetivo concreto. Si bien es verdad que el hacker que hay detrás de un ataque es menos profesional, la recompensa económica que recibe hace que haya muchos más. Todas las empresas, incluso las manufactureras más pequeñas están conectadas a internet, y todas utilizan algún sistema informático de gestión o de producción capaz de paralizar en algún grado sus negocios.

Ahora bien, hay que desmitificar algunas cosas y sentar las bases de la acción respecto de la ciberseguridad:

  • Desincentivar ataques. Hay que eliminar el concepto de todo o nada. Existe una máxima en ciberseguridad que es “Tu seguridad es tan fuerte como el punto más débil de tu seguridad”, pero tal como hemos señalado, el hacker que hay detrás es menos profesional que antes y en la mayoría de los casos los ataques no son dirigidos, por lo tanto, el mayor logro que se puede tener en ciberseguridad consiste en desincentivar al atacante, ir poniendo trabas para que un hacker inútil no nos provoque un daño catastrófico. En un entorno de miles o millones de empresas, unas medidas de seguridad básicas conseguirán repeler un ataque en un tanto por ciento muy alto porque la recompensa no compensará el esfuerzo del atacante.

  • No hace falta protegerlo todo, pero si hay que proteger lo importante. Con esta idea podemos afirmar que la seguridad no es “cara”, de hecho, debe ser suficiente y proporcionada al activo que se quiere proteger. El punto más importante de la ciberseguridad consiste pues en la evaluación de los activos de cada empresa y su puesta en valor para identificar los límites y esfuerzos a realizar para protegerlos.

  • Definir cómo y quién se encarga de la seguridad de mi empresa. Así como cuál es la información relevante que debe recibir mi dirección, para conseguir una buena y suficiente implementación de seguridad y una minimización del riesgo y del impacto derivado.

  • La tecnología una aliada en un mundo hiperconectado. La tecnología evoluciona sin parar para proteger nuestros activos de los nuevos riesgos que existen en la red en un mundo hiperconectado.

  • Establecer políticas de acceso. Las fronteras entre lo permitido y no permitido en nuestras empresas cada vez son más difusas si tenemos en cuenta que los elementos móviles, conectados o no, que deambulan por nuestras instalaciones no para de crecer, que los elementos IoT han venido para quedarse, y que las aplicaciones de uso generalista y/o redes sociales, de acceso masivo, ahora son también de uso empresarial.

  • Concienciación y la formación de los empleados. Es quizá la parte más importante del plan de implementación de seguridad y seguramente la más efectiva medida para evitar ataques de alto impacto en nuestras organizaciones.

“La seguridad es cosa de todos”

Justo López
Responsable del departamento de ciberseguridad Instel. Certified Information Security Manager (CISM)
Posted in Artículos