¿Están nuestras empresas ciberseguras?

Planificar bien puede parecer caro pero ahorra costes económicos y de reputación

¿Están nuestras empresas ciberseguras?

De un tiempo a esta parte, el concepto de ciberseguridad se ha introducido en nuestras vidas hasta convertirse en una de las principales preocupaciones de las compañías. Tecnologías que hace unos años nos parecían un futuro muy lejano, se han asentado en nuestro día a día. Y con ellas, la necesidad de garantizar, en la medida de lo posible, nuestra privacidad, nuestra seguridad y la continuidad del Business As Usual. Tanto en la esfera privada como en la empresarial.

Y con el objetivo en mente de seguir concienciando a empresas y particulares en la necesidad de adoptar unas políticas de ciberseguridad ajustadas a nuestras capacidades y nuestras necesidades, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (Enisa) puso en marcha durante octubre el Mes Europeo de la Ciberseguridad por séptimo año consecutivo. Jornadas, formaciones, eventos e informes sobre esta temática han ocupado durante el pasado mes un lugar privilegiado en la agenda europea. Y es que, aunque la aparición diaria de nuevos ciberincidentes en los medios de comunicación ha hecho que todos estemos cada vez más concienciados, lo cierto es que aún queda mucho camino por recorrer.

Solo durante 2017, el Instituto Nacional de Ciberseguridad (Incibe) resolvió más de 123.000 incidentes, de los cuales 116.642 afectaron a empresas y ciudadanos, 885 a operadores estratégicos y 5.537 al ámbito académico. Mientras, si por algo está destacando 2018 es por la cantidad de datos personales que se han obtenido de forma ilícita para, posteriormente, hacerse públicos. A 29 de agosto, los expertos calculaban que esta cifra ascendía a 215.009.428 registros.

Cuando se produce una brecha de seguridad en cualquier compañía, los usuarios tendemos a señalar con el dedo a los responsables de la empresa. Pero tenemos que ser conscientes también de cuánto estamos poniendo por nuestra parte. Según un informe hecho público en 2017 por Pew Research Center, más del 40% de los ciudadanos estadounidenses consultados afirmaba que entre sus prácticas habituales estaba la de compartir claves de acceso con familiares o amigos y otro 40% reconocía que sus contraseñas eran demasiado triviales. Es necesario que todos entendamos que la privacidad y seguridad de nuestros datos es responsabilidad de todos.

Puede que después de años y años de leer y escuchar consejos sobre rutinas, procedimientos y métodos para mantener nuestra identidad digital a salvo, creamos que ya no hay nada más que aprender. Pero no podemos olvidar que los métodos usados por los cibercriminales son cada vez más sofisticados. Un ejemplo muy claro de cómo han evolucionado, incluso dentro de un mismo tipo de ataque, es la diferencia que encontramos en los intentos de phising que se llevaban a cabo hace cinco años y los que se llevan a cambio ahora.

La mejora de los traductores online, las técnicas de ingeniería social, o incluso la propia cantidad de información pública disponible sobre nosotros, y sobre las empresas, hacen que, hoy día, los correos en los que los ciberdelincuentes intentan captar credenciales (normalmente financieras) sean mucho más elaborados y, en cierta medida, cercanos a las comunicaciones oficiales que, como clientes, recibiríamos de esas compañías. Es por eso que la necesidad de mantenerse continuamente actualizado es cada vez más imperativa. Y es nuestra responsabilidad ponerles las cosas un poco más difíciles a los criminales, al menos en la medida de nuestras posibilidades.

Pero es también, por supuesto, responsabilidad de las empresas trabajar para garantizar, en lo posible, la inviolabilidad de sus sistemas. Y, en aquellos casos en los que se produzca un incidente, que la respuesta sea proporcional, rápida y eficaz. Según datos de 2015, el tiempo medio de detección de un ciberataque es de 170 días, y el tiempo medio de resolución, 45. Es responsabilidad de las compañías establecer los mecanismos necesarios para lograr reducir esos tiempos al mínimo, mediante la implementación de tecnologías más eficaces y la creación de un equipo técnico que se mantenga al día en las últimas tendencias. Por supuesto, ni las oportunidades ni los recursos disponibles son los mismos en todas las compañías, pero no debemos perder de vista lo que los datos nos dicen, y es que toda empresa puede tener interés para los ciberdelincuentes, hasta las más pequeñas.

La implementación de nuevas tecnologías como analítica, robótica o inteligencia artificial dentro de la operativa de las compañías supone un paso adelante en su capacidad productiva, sin duda, pero también nuevas potenciales puertas de entrada para intrusiones. En este escenario de cambio es importante identificar las vulnerabilidades de la compañía, desarrollar estrategias de ciberseguridad acordes con los riesgos identificados y, por supuesto, acompañar a los empleados en esta transición. En este sentido, la formación y concienciación a los empleados debe ganar protagonismo y ayudar a redefinir la cultura de la organización.

Dentro del ámbito más operativo, es crítico implantar mecanismos de detección y monitorización de eventos de ciberseguridad que tengan en cuenta no solo los sistemas internos de la compañía, sino también los localizados fuera de esta. Las medidas destinadas a garantizar la seguridad de los datos fuera de nuestra organización deben pasar, obligatoriamente, por concienciar a los proveedores de la necesidad de reforzar las medidas de protección de las que dispongan.

Es necesario que las empresas tomen conciencia de que la ciberseguridad no es una pata aislada en los planes estratégicos, sino que afecta a todas las áreas de las compañías. Una buena planificación e implementación de políticas de seguridad cibernética, aunque pueda parecer costosa en un primer momento, no solo nos protegerá de intrusiones, sino que nos ahorrará costes, económicos y reputacionales, derivados de ellas.

Adolfo Pedriza es socio de Risk Advisory de Deloitte

Normas