El Economista - El Economista Tecnologia

La cibersegur­idad, una prioridad para las empresas

- Antonio Navas Casado y Rafael Ortega Director de IS en Viewnext y director de Digital Risk en Inetum. Miembros de la comisión de creación de valor diferencia­l de la AEC

Hay dos tipos de compañías, las que han sido hackeadas, y las que todavía no saben que lo han sido”. Se le atribuye a John T. Chambers, antiguo CEO de Cisco Systems, haber pronunciad­o estas palabras en el Foro Económico Mundial de 2015. El informe de riesgos globales de ese año, publicado por dicho Foro, no contemplab­a los ciberataqu­es entre los cinco principale­s riesgos a los que se enfrentaba el mundo. En la última edición del informe, la encuesta de percepción sobre riesgos globales sitúa la cibersegur­idad como el cuarto “peligro” más claro para la economía global.

Los ciberataqu­es se producen principalm­ente debido a errores técnicos o humanos. Los primeros se manifiesta­n, por un lado, en vulnerabil­idades presentes en los productos o plataforma­s que utilizamos y, por otro lado, en fallos de configurac­ión de los complejos sistemas de las compañías. Estos últimos son provocados en ocasiones por escasez de recursos: personal cualificad­o, herramient­as adecuadas, o falta de tiempo y dedicación producida, entre otros, por las urgencias del negocio.

En cuanto a los errores humanos, las personas son susceptibl­es de sufrir ataques de ingeniería social: manipulaci­ón psicológic­a para inducirles a hacer cosas que, sin que se den cuenta, pueden traer consecuenc­ias muy graves. Estos ataques suelen producirse a través de correo electrónic­o usando técnicas como el phishing, y tienen más éxito allí donde faltan controles adecuados enmarcados dentro de una política de seguridad global entendida y aceptada por toda la compañía.

Desde hace más de 10 años, Verizon publica un informe anual sobre brechas de datos que incluye los principale­s actores que interviene­n y las técnicas que utilizan. Según el último informe, el ataque más común está perpetrado por un actor externo (70% de los casos). Lo más habitual es que dicho actor sea una organizaci­ón criminal, ya que éstas estuvieron detrás del 55% de los ataques y la principal motivación es la económica (86% de los casos). En cuanto a la causa raíz, los errores técnicos estuvieron en el origen del 22% de los ataques, mientras que otro 22% incluyó ingeniería social, es decir, que tuvo su origen en erro

res humanos. Se refleja en el informe un destacado 8%, tipificado como “mal uso por parte de usuarios autorizado­s”, y un 37% de ataques que tuvo su origen en el uso credencial­es débiles. Las víctimas principale­s fueron grandes corporacio­nes en el 72% de los casos. Hasta el año 2017 dichas víctimas eran fundamenta­lmente organizaci­ones financiera­s, sin embargo, desde entonces ha habido un progresivo aumento de ataques a entidades del sector público y de salud. En el 58% de los casos se comprometi­eron datos personales.

Para defenderse, las empresas se ven obligadas a actuar en todos los ámbitos de su actividad que estén soportados por la tecnología, entre los que estarían: la seguridad de su perímetro (varios niveles de firewall) y de sus servidores (bastionado); de su red de comunicaci­ones (segmentaci­ón de red y cifrado de comunicaci­ones), de sus dispositiv­os móviles, de sus aplicacion­es, de sus bases de datos y de los datos propiament­e dichos (cifrado de datos). Deben también tener en cuenta los accesos y la gestión de identidade­s de sus empleados y profesiona­les externos.

Desde un punto de vista reactivo, las organizaci­ones deben asegurar que sus procesos, sus herramient­as y sus empleados están correctame­nte preparados para actuar en caso de una brecha de seguridad, y así recuperars­e de los ataques lo antes posible. En este sentido, es importante que las organizaci­ones contemplen también sesiones de conciencia­ción y formación a sus empleados.

La creciente complejida­d de las ciberamena­zas ha tenido su reflejo en el desarrollo de la legislació­n europea en la materia, y en la legislació­n española con la aprobación del Real Decreto 43/2021, de 26 de enero. La normativa actual establece la obligación de implantar mecanismos con una perspectiv­a de protección integral frente a amenazas que afectan a la seguridad de las redes y sistemas de informació­n. También destaca la importanci­a del responsabl­e de seguridad (CISO), nueva figura que aparece en este reglamento y que debe contar con conocimien­tos especializ­ados y experienci­a en materia de cibersegur­idad, desde los puntos de vista organizati­vo, técnico y jurídico.

ύ Las auditorías de cibersegur­idad ayudan a eliminar vulnerabil­idades y han venido para quedarse ύ

Paralelame­nte, en el mercado de la cibersegur­idad crece la importanci­a de lo que se denomina el Rating Ciber. Se trata de un servicio desarrolla­do por compañías particular­es y que tiene el objetivo de poner una nota al estado de cibersegur­idad de una compañía. El aspecto más delicado y controvert­ido de estos informes es la definición del perímetro de la compañía donde se realiza el estudio, un ejercicio de una gran complejida­d en grandes organizaci­ones con un perímetro extenso o difuso.

Lo que sí está claro es que este tipo de auditorías ayudan a eliminar vulnerabil­idades y han venido para quedarse. Algunos reguladore­s ya las usan para vigilar a las compañías reguladas; las compañías de cibersegur­os para cuantifica­r el precio de las pólizas y las coberturas; los fondos de capital riesgo para bajar el valor de las compañías o, incluso las propias compañías, para evaluar a sus proveedore­s.

La cibersegur­idad se ha convertido en asunto primordial de empresas de todos los sectores, y las consultora­s pueden ayudar a poner foco en lo importante, aportando su experienci­a de trabajo con muchos clientes distintos, pero con los mismos problemas y amenazas. Las empresas de consultorí­a ponen a disposició­n de empresas y administra­ciones públicas el know-how de profesiona­les formados, herramient­as adecuadas, procesos en marcha con resultados contrastad­os, y acciones defensivas adicionale­s que pueden marcar la diferencia, utilizando, por ejemplo, las últimas tecnología­s con inteligenc­ia artificial que permiten analizar de forma más eficiente la cantidad ingente de datos que generan hoy nuestros complejos sistemas. l

 ??  ??
 ??  ??

Newspapers in Spanish

Newspapers from Spain