Ciberseguridad: la respuesta a los retos de la empresa digital

La progresiva digitalización de todos los ámbitos lleva a extremar precauciones y a invertir en ciberseguridad, y es tarea de todos los sectores implicados. Pero todavía es necesario seguir trabajando para implementar modelos seguros que hagan de los ambientes laborales sitios en los que la seguridad no sea algo negociable. Hemos hablado con Javier Castro Bravo, director asociado y líder del área de ciberseguridad en Stratesys sobre los retos que debe afrontar el mundo empresarial en el ámbito de la seguridad.

Seguridad y empresa, un combo indisoluble

¿Cuáles son los retos a los que se enfrenta una empresa totalmente digitalizada?

Las amenazas de seguridad en el mundo digital evolucionan constantemente y se están haciendo cada vez más peligrosas para las empresas. Estamos viendo como el riesgo de fuga de información y de ciberataque aumenta año tras año (o mejor dicho, día tras día) y esto supone un reto para las empresas, que necesitan mantenerse actualizadas, adaptarse a los cambios y estar preparadas para «resistir» de forma continua frente a todas estas amenazas.

Lamentablemente, vemos todas las semanas ciberataques de ransomware que dejan totalmente inoperativas a las empresas afectadas. Sus sistemas quedan bloqueados por el ataque y los atacantes piden un rescate para liberarlos, algo que las compañías NUNCA deberían plantearse pagar. El problema radica en que si las empresas no se han preparado con antelación. Si no han invertido tiempo y recursos, económicos y personales, para implementar procesos de seguridad, como la gestión continua de vulnerabilidades, seguridad en identidades y accesos (IAM), proteger las cuentas privilegiadas (PAM), prevención de fuga de información (DLP), definir y entrenar los planes de continuidad de negocio y resiliencia operativa, etc… antes o después van a encontrarse en esta situación y no estarán preparadas ni para detectar el ataque a tiempo ni para recuperarse de forma eficaz, minimizando el impacto sobre la operativa del negocio y sobre la pérdida de datos, y sin tener que plantearse pagar ningún tipo de rescate)

Por último, uno de los retos a los que se enfrentan los responsables de seguridad en las empresas es la concienciación tanto del personal como del negocio. La seguridad de la información no es responsabilidad única del responsable o del equipo de seguridad, sino que es una responsabilidad corporativa y que necesita el apoyo del negocio (con recursos, apoyo de la dirección, etc.) y la involucración de todo el personal.

La ciberseguridad en el ámbito empresarial en nuestro país, ¿Está a buena altura o debemos seguir formándonos en ese sentido?

Por norma general, la inversión en ciberseguridad en los últimos años ha aumentado mucho por parte de las empresas. En España hay muchas compañías con presupuestos y recursos dedicados para ciberseguridad desde hace años, lo que les ha permitido alcanzar un nivel de madurez aceptable y mantenerlo en el tiempo. Sin embargo, también nos encontramos con la otra cara de la moneda, hay empresas, quizás no tan grandes o con menor presupuesto, que aún no cuentan con un responsable de seguridad en sus plantillas (CISO) o que no tienen un equipo o un plan de seguridad con los recursos necesarios.

También vemos que la madurez depende de sectores, el sector de la Banca y Seguros es uno de los más maduros desde el punto de vista de ciberseguridad, probablemente impulsado por la regulación que les aplica y, por supuesto, por el tipo de negocio que obliga a estas compañías a reforzarse y trabajar sus medidas de seguridad para proteger sus sistemas y la información de sus clientes. También la regulación española y europea de protección de datos han ayudado mucho a impulsar la seguridad en las organizaciones que tratan datos personales como parte de su negocio. Sin embargo, lo difícil (a la par que necesario) no es alcanzar un nivel de madurez aceptable, sino mantenerlo en el tiempo.

En resumen, hay de todo. Hay compañías que se han centrado tanto en la operativa diaria del negocio que no han sabido adaptarse a los nuevos retos del mundo digital y su nivel de madurez en ciberseguridad se ha quedado atrás. Ahora tienen un reto por delante para definir su estrategia y ponerse al día.

¿Cómo puede ayudar Stratesys a las empresas a la hora de cumplir lo estándares de ciberseguridad?

En el área de Ciberseguridad de Stratesys contamos con un equipo de personas ampliamente cualificadas y experimentadas y podemos ayudar a las empresas en varios ámbitos, por ejemplo:

Para empresas que están iniciando su andadura en este ámbito, o que como parte de su transformación digital necesitan definir o adaptar su estrategia en ciberseguridad, podemos ayudarles a hacer una evaluación de sus capacidades actuales y definir un plan director que les ayude a sentar las bases y establecer medidas en los siguientes ámbitos fundamentales de ciberseguridad:

• Identificar sus activos y los riesgos que los amenazan;
• Protegerlos para prevenir incidentes en la medida de lo posible;
• Detectar amenazas e incidentes de seguridad de forma temprana;
• Estar preparados para responder ante ellas de forma efectiva y recuperarse en caso de ataque minimizando el impacto sobre el negocio.

Para empresas que ya cuentan con cierta madurez en ciberseguridad, podemos ayudarles a ponerse a prueba con ejercicios de «seguridad ofensiva». Consiste en realizar auditorías técnicas de ciberseguridad sobre sus aplicaciones o infraestructura, en las que nuestros expertos certificados en hacking ético tratan de acceder a los sistemas de las compañías, de forma controlada, con el objetivo de notificar los posibles caminos de ataque y agujeros de seguridad que detectemos para que puedan ser solventados antes de que ningún atacante con malas intenciones los trate de explotar. En este sentido, es muy recomendable realizar este tipo de ejercicios de forma continua, con el objetivo de poner a prueba las medidas de ciberseguridad de la organización y entrenar a los equipos de defensa constantemente.

También prestamos servicios de formación y sensibilización para empleados. Uno de los ejercicios más recurrentes en este ámbito es la simulación de ataques de phishing internos. Con esta y otras actividades de concienciación tratamos de entrenar al personal de las organizaciones para que sepan detectar ataques de ingeniería social, técnicas de ataque que se centran en manipular a las personas para conseguir acceso no autorizado a los sistemas o a información confidencial.

Hay que destacar que las empresas no deben centrarse únicamente en proteger la infraestructura o los sistemas desplegando tecnología de ciberseguridad, sino que también es importante reforzar el conocido como «firewall humano», es decir, la concienciación de los empleados. De hecho, el correo electrónico sigue siendo el vector de amenazas más crítico para las compañías, ya que es el medio que los ciberdelincuentes utilizan comúnmente para realizar ataques cada vez más sofisticados de ingeniería social.

Mejorar la seguridad ¿Es posible con solo unos sencillos pasos?

Digamos que es posible implementar medidas técnicas básicas en los sistemas que ayudan a mejorar la seguridad de forma sencilla, por ejemplo, el uso de contraseñas robustas y 2FA (doble factor de autenticación), implementar una estrategia básica de copias de seguridad que nos permita poder disponer de una copia de los datos si los perdemos, cifrar la información sensible en reposo, etc.

Pero, las compañías deben entender que la seguridad no es una incidencia técnica que se pueda solucionar implementando cierta tecnología como un antivirus, un firewall o una VPN, sino que se trata de un riesgo que cambia, que afecta a cada compañía de forma diferente, y que se ha de gestionar de forma continua.

 Por lo tanto, lo ideal sería definir un plan que marque los requerimientos de seguridad exigibles por la compañía y las líneas de trabajo necesarias para alcanzarlos y mantenerlos en el tiempo. Por supuesto, esto requiere dedicar cierto tiempo y recursos, tanto personales como económicos. Ninguna compañía, no importa el tamaño o el tipo de negocio, debería mirar para otro lado esperando que nunca les llegue la hora de ser atacados, porque al final ocurre… y deben estar preparadas.