Ciberseguridad: las amenazas y los retos

Ciberseguridad: las amenazas y los retos

Francisco Valencia, Director General de la empresa de ciberseguridad Secure&IT

En 2020, el número de ciberataques aumentó un 50%, con respecto a 2019, lo que supuso 250.000 impactos graves en nuestro país; una tendencia que ha seguido al alza en 2021. Se están incrementando de forma exponencial los ataques de ransomware, el conocido como “fraude al CEO”, el robo de credenciales y el phishing o el robo de información con chantaje.

«Y es que España es el tercer país más ciberatacado del mundo (después de EE.UU. y Reino Unido). Salir de un ciberataque puede costar, de media, entre 60 mil y dos millones de euros. Pero, además de lo económico, tiene un impacto reputacional, operativo, sobre las personas, sobre el cumplimiento y sobre la estrategia. Por todo ello, la ciberseguridad es una de las principales preocupaciones de las empresas».

Existen múltiples motivaciones por las que cualquiera se puede convertir en una ciberamenaza: hacktivismo, ciberdelincuencia, ciberterrorismo, ciberespionaje o ciberguerra. Pero, los ciberdelincuentes “solo” son culpables de un 23% de los ataques. ¿A qué corresponde el resto?  Errores humanos, empleados descontentos, competencia desleal, incumplimientos legales o contractuales, falta de medidas técnicas, formación insuficiente, etc. De hecho, los factores que generan la mayoría de problemas en seguridad de la información son, fundamentalmente, tres: la falta de valoración de activos, la falta de comunicación entre los departamentos y la escasa formación y concienciación de los usuarios.

No podemos olvidar que, independientemente del entorno de trabajo (nuestra casa, la oficina, etc.), el objetivo siempre debe ser la protección de la información; el principal activo de las compañías. Por eso, tanto si se trabaja en las instalaciones de la empresa, como si se teletrabaja desde cualquier otra parte, debemos aplicar los cinco pilares en los que se sustenta la seguridad de la información: disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad. Siempre teniendo en cuenta la normativa que nos aplica en este sentido (RGPD, LOPDGDD, LPI o LSSI-CE).

«Las empresas deben tener mucho cuidado, no solo en garantizar una ejecución más ágil de sus procesos sino, además, en asegurar que esta información, ahora más volátil, se sigue tratando con aspectos de seguridad suficientes. En muchos casos, la conjunción entre tecnología y seguridad se hace complicada y, en este momento, en el que nos enfrentamos a grandes retos en el ámbito de la ciberseguridad, las compañías (de cualquier tamaño o sector) deben estar preparadas».

No olvidemos que cualquiera puede ser objetivo de los ciberdelincuentes pero, sobre todo, que las amenazas van más allá y ocasionan pérdidas a las empresas por lo que, intencionalmente o no, debemos denominar ciberataque. Y la empresa no es la única afectada ante un ciberataque. Por este motivo, es irresponsable y poco ético no aplicar medidas cuando se pueden ver afectados clientes, proveedores, socios, empleados o usuarios, entre otros.

Lo cierto es que, para las organizaciones, disponer de una visión global que unifique todos los aspectos de la seguridad de la información, no es una tarea sencilla. En primer lugar, porque intervienen distintos departamentos (jurídico, sistemas de información, calidad y procesos, recursos humanos, etc.) y lograr coordinarlos correctamente puede ser complejo. Por otro lado, aunque la gestión de riesgos sea algo prioritario para la compañía, no suele estar en el día a día de los responsables. Además, una correcta gestión de la seguridad de la información requiere contar con expertos en la materia (tanto en los aspectos técnicos, como de cumplimiento y procesos).

Pero, en este aspecto, me gusta hacer hincapié en que nuestro trabajo debe ser solo reactivo, también de prevención, concienciando a las empresas y a las personas de lo importante que es esa correcta gestión de la seguridad de la información.

A través de un modelo de “Seguridad 360°”, como el de Secure&IT, es posible ofrecer una cobertura completa al cliente, ayudando a las organizaciones a establecer un Sistema de Gestión de Seguridad de la Información basado en cuatro pilares fundamentales: la Protección de Datos y el cumplimiento normativo; los procesos corporativos de seguridad; la seguridad informática; y la seguridad gestionada a través de nuestro SOC-CERT.