Decálogo para minimizar los riesgos en ciberseguridad

Los incidentes de ciberseguridad que se gestionaron a través del Instituto Nacional de Ciberseguridad (INCIBE) en 2017 ascendieron a 123.064, de los que 116.642 correspondieron a ciudadanos y empresas.

Desde el INCIBE aseguran que durante el pasado año se registraron desde las típicas oleadas de phishing -facturas falsas, suplantación de entidades bancarias…- hasta los ya famosos ataques de ransomware –como el WannaCry o el Petya– seguidos de avalanchas de correos electrónicos que, aprovechando el efecto producido por los anteriores, extorsionaban a las empresas. “Y es que la mayoría son más rentables para el ciberdelincuente cuanto más afecten a las empresas y personas, aplicando criterios de economía de escala”, agregan.

Más allá de que el número de incidentes registrados continuará creciendo, los delincuentes seguirán enfocando sus malintencionados esfuerzos en ataques de phishing y ransomware, aunque se prevé una mayor sofisticación y más formas para evitar su detección.

Y como la madurez y extensión de las herramientas de ataque permiten a los delincuentes lograr un mayor alcance, en INCIBE esperan para este 2018 grandes filtraciones de información sensible de las empresas, como los datos de perfiles de navegación en internet; ransomware y ataques DDoS que afectarán a los sistemas virtualizados y a los servicios en la nube que guardan grandes volúmenes de datos de sus clientes; ataques desarrollados con inteligencia artificial; ataques ciberfísicos contra las ciudades, vehículos u otros dispositivos inteligentes; secuestros de ordenadores para hacer minería de criptomonedas; y ataques de denegación de servicio DDoS aprovechando la difusión de los dispositivos de Internet de las cosas (IoT).

 

Decálogo de ciberseguridad

En este sentido, Gianluca D’Antonio, director Académico del Máster en Ciberseguridad del IE y presidente de ISMS FORUM, elabora un decálogo con las principales claves que deben tener en cuenta las empresas para minimizar los riesgos en ciberseguridad este año:

  1. Las compañías deben desarrollar capacidades de ciberinteligencia para conocer el entorno de amenazas al que están expuestas y anticipar, así, los riesgos correspondientes.
  2. Tienen que incluir el análisis de riesgo como herramienta fundamental en todos los procesos de negocio.
  3. La formación y concienciación de los empleados en ciberseguridad ha de convertirse en una praxis más, como lo es la prevención de riesgos laborales.
  4. El control de la cadena de suministros es un elemento esencial de la estrategia de ciberseguridad de una empresa cuando sus operaciones se alimentan de servicios y bienes de proveedores y subcontratistas.
  5. Los simulacros de gestión de crisis y los ciberejercicios son instrumentos de capacitación necesarios para poder preparar la empresa a la hora de reaccionar de forma eficaz ante ciberataques como Wannacry.
  6. Compartir la información sobre ciberamenazas, ciberataques y riesgos es vital para hacer frente al cibercrimen.
  7. Una estrategia efectiva en ciberseguridad debe contar con profesionales con las necesarias competencias y perfiles. Por esta razón, la captación y retención del talento en ciberseguridad se hace prioritaria.
  8. En una economía digital, como la actual, la ciberseguridad es un elemento estratégico de los procesos de negocio de una empresa y, como tal, debe ser incluido en los objetivos de control de la dirección general.
  9. La compañía tiene que tomar conciencia de que los riesgos cibernéticos constituyen cada día más un elemento que se ha de tener en cuenta para la sostenibilidad de la estrategia empresarial.
  10. La ciberseguridad es un proceso que no se acaba con la implementación de herramientas e infraestructuras de seguridad, sino con la definición y mantenimiento de un sistema de gestión orientado a la mejora continua.

Principales riesgos cibernéticos para las empresas

Respecto a las principales amenazas en ciberseguridad a las que deben enfrentarse las compañías hoy en día, D’Antonio revela que algunas son comunes a empresas y particulares, como la pérdida de información y la suplantación de identidad. Sin embargo, tanto las consecuencias como el impacto pueden diferir.

De esta manera, una fuga de información podría exponer la compañía a sanciones y a un importante daño de imagen y reputación. En cualquier caso, el presidente de ISMS FORUM sostiene que para las empresas el principal riesgo es no entender la necesidad de desarrollar un sistema de gestión de la ciberseguridad capaz de hacer frente a las crecientes amenazas relacionadas con el uso de las nuevas tecnologías.

Así, desde el INCIBE recomiendan analizar el estado de seguridad que tenemos en la empresa, definir a dónde queremos llegar y elaborar una serie de políticas que dirijan nuestra forma de abordar la seguridad. Asimismo, sugieren poner en marcha o actualizar el sistema de control de accesos lógicos para controlar quién entra en nuestros sistemas.

Por otra parte, instan a implantar algún mecanismo de copias de seguridad como única forma de sobrevivir ante la mayoría de incidentes; a instalar una protección antimalware; a no utilizar sistemas o aplicaciones obsoletas y desactualizadas, pues son más vulnerables; a verificar que la red esté bien configurada y protegida…

De igual modo, recuerdan la necesidad de proteger la información en tránsito y almacenada, ya que los soportes pueden extraviarse o deteriorarse. Y advierten de que el medio más utilizado para engañarnos es el correo electrónico, mensajería o llamadas telefónicas que simulando notificaciones de bancos, servicios de técnicos o entidades, hacen que hagamos clic en un enlace o que descarguemos un adjunto que nos llevará a instalar un malware que nos robará los datos. También pueden lograr que rellenemos formularios con datos personales que, posteriormente, serán enviados a los delincuentes.

 

Negocio rentable

La ciberdelincuencia ocasiona unas pérdidas superiores al 1% del PIB mundial, según la Comisión Europea. De hecho, atendiendo a las cifras de negocio, se ha situado por encima del narcotráfico, la venta de armas y la trata de personas. Y desde el INCIBE constatan que no sólo las grandes empresas son las víctimas, sino que las pymes también son objeto de ciberataques.

“Uno de los problemas principales es que los presupuestos no siempre respaldan estas medidas. La clave para reducir el impacto es adoptar un enfoque holístico de seguridad de IT, en lugar de depender sólo de la tecnología de detección”. Los expertos aseveran que, en resumen, las empresas deberían elevar la formación y concienciación de sus empleados para evitar riesgos e invertir en tecnología y personal de ciberseguridad o contratar una póliza de ciberriesgos.

Por su parte, D’Antonio recuerda que en su Global Risks Report para 2018, el Foro Económico Mundial advirtió a personas y empresas contra la inoperancia y los instó a prepararse para las interrupciones repentinas y dramáticas causadas por el delito cibernético. Como consecuencia de ello, el mismo organismo puso el cibercrimen entre los tres riesgos globales para este año. Y añade que al hilo de los datos publicados por agencias gubernamentales y centros de estadísticas, las pérdidas relacionadas con el cibercrimen a nivel global escalaron en 2017 por encima de los 320 billones de dólares, y que en 2021 podrían alcanzar los 6 trillones de dólares.

Exit mobile version