El Covid lleva la ciberseguridad a los comités de dirección
Para evitar riesgos, la concienciación debe impregnar toda la cultura de la organización
Este martes, el servidor del Servicio Público Estatal de Empleo (SEPE) sufrió un ciberataque que le obligó a suspender su actividad durante varios días. Un virus ransomware secuestró sus datos y pidió un rescate para que el sistema pudiera volver a la normalidad. No es un episodio aislado, al contrario, este tipo de problemas son cada vez más frecuentes: durante el año 2020 cada compañía española se enfrentó a una media de 66 brechas o ataques en materia de ciberseguridad, según expuso la jefa de seguridad del servicio de protección de Hewlett Packard Enterprise (HPE), Ana Fernández, en la jornada ¿Qué deben saber sobre riesgos tecnológicos y ciberseguridad los consejeros?, organizada esta semana por Deusto Business School e Icade Business School.
En mayo de 2017, las empresas de todo el mundo se pusieron en alerta: un virus conocido como WannaCry secuestró los datos de numerosas compañías y organismos públicos en 150 países, solicitando por ellos un pago a través de criptomoneda. Este suceso fue un punto de inflexión en materia de ciberseguridad en el ámbito corporativo, aseguró la líder de alianzas estratégicas de SAS, Eduvigis Ortiz, durante su intervención en la jornada. “Los comités de dirección de las compañías se dieron cuenta de que les podía pasar también a ellos y empezaron a preocuparse por qué tenían que hacer para que no les sucediese”, desarrolló.
Desde entonces, los ataques no han dejado de crecer: en los dos últimos años, estos se han multiplicado por cuatro. “El dato es el centro, por lo que dependemos más de la tecnología. Eso nos está mejorando mucho la vida, pero también nos enfrenta a un montón de retos que antes ni nos planteábamos”, justificó Fernández. La pandemia, con el consiguiente teletrabajo, ha potenciado esta tendencia: la digitalización y sus riesgos. “Con el Covid, el mundo se ha trasladado al entorno digital y los ataques se han incrementado. Las oficinas eran entornos más o menos seguros y controlados, pero nos hemos ido a nuestras casas”, explicó la directora de seguridad de la información de Banco Santander, Idoia Mateo.
Frente a este auge de las amenazas, la mejor respuesta es instaurar una cultura de ciberseguridad en toda la compañía, y para ello, la concienciación debe empezar por la alta dirección. “Si el compromiso no parte del comité de dirección, los esfuerzos que se hagan desde las áreas de tecnología o ciberseguridad no tienen el mismo efecto, solo son tiritas”, insistió Ortiz. Esta es la forma de que este compromiso cale también en los equipos. Una tarea en la que no se puede dar nada por supuesto ni depositar una excesiva responsabilidad en los trabajadores. “Todos los días nos encontramos con empresas que han perdido millones porque sus empleados no tenían la suficiente cultura de ciberseguridad. No hay que dejar nada en manos de los usuarios, no deberían tener en sus manos esa arma de doble filo al descargar un correo o recibir una llamada fraudulenta de un técnico. A nosotros, que trabajamos en esto, nos puede parecer burdo, pero su día a día es otro”, justificó la portavoz de SAS.
Que se hable de casos como los de WannaCry o el que sufrió el SEPE ayuda a que se produzca este salto a los comités de dirección. “Antes, cuando la gente sufría un ataque no lo decía, procuraba ocultarlo. Ahora, la comunicación, a través de los medios, y la regulación han contribuido a que se preste más atención a ello. La concienciación es fundamental”, reiteró Mateo, quien lamentó que hasta el momento todo esto se veía como algo que solo debía preocupar a los departamentos de tecnología.
Amenaza constante
Es importante también no bajar la guardia en ningún momento. “Las personas y las empresas tenemos que hacerlo todo bien continuamente, no se puede dejar ninguna puerta abierta porque con que los ciberdelincuentes ataquen una vez, ya tienen éxito”, advirtió la portavoz de Banco Santander. Y aun con eso, hay que aceptar que no se puede llegar a todo. “La seguridad total no existe, pero los ataques son como una calle llena de chalés en la que algunos no tienen ni alarmas y otros tienen hasta cámaras; si un ladrón va a robar, lo hará en la que vea que es más fácil”, comentó Ortiz.