Actualidad
Preparando a nuestra organización contra los riesgos del ciberespacio
La importancia de la ciberseguridad en las empresasHace ya muchos años que somos conscientes de los retos que usuarios, profesionales, empresas de diferente tamaño y calibre, así como instituciones y organizaciones públicas enfrentan día a día en la red.
La sociedad digital evoluciona a un ritmo frenético y si bien hasta hace unos años, la gran masa social no prestaba atención a los riesgos y amenazas inherentes al ciberespacio, a día de hoy podríamos decir que esta sensación comienza a cambiar.
Los numerosos incidentes que se han ido sucediendo en forma de noticias en medios constantemente durante tantos años, junto con la labor de divulgación que profesionales e instituciones del sector de la ciberseguridad hemos ejercido en este sentido, han contribuido a que el nivel de concienciación se haya incrementado considerablemente con respecto a hace una década. No obstante, aún nos queda por hacer.
Ya son más de 9 los años que llevo colaborando en medios de comunicación de prensa, radio y televisión a nivel nacional, así como impartiendo conferencias en todo tipo de eventos allá por todo el mundo. Todo ello con frecuencia semanal, incluso a pesar de la pandemia. Tanto ponencias técnicas en conferencias de hackers o eventos propios de nuestro sector, así como muchas otras dedicadas al ámbito de la concienciación en eventos multidisciplinares, inspiracionales, conferencias TED, sesiones de concienciación a Comités de Dirección y a trabajadores de empresas, formación,.. Además de haber publicado a finales de 2018 “La Amenaza Hacker”, del sello editorial Deusto (Grupo Planeta) que acerca el mundo de la ciberseguridad tanto para usuarios como profesionales y responsables de empresa.
La Amenaza Hacker (Deusto, Planeta)
Uno de los aspectos en los que más me gusta hacer hincapié, es en una noción básica, quizá trivial, que muchos pasan por alto a la hora de abordar un tema tan complejo como este. ¿Cómo se producen todos estos incidentes? Y la respuesta más simple, en esta ocasión es más que acertada: por un error.
Un error técnico, que puede venir dado por una vulnerabilidad, una mala configuración, ,… o un error humano. Generalmente se suelen suceder combinaciones de ambos, pero al final, se trata de eso.
Otro aspecto a tener en cuenta es que la seguridad 100% es una utopía. Básicamente porque mañana un investigador puede descubrir una nueva vulnerabilidad en un estándar, dispositivo, tecnología o protocolo que considerábamos seguro hasta la fecha.
La aproximación en el mundo de la seguridad ha cambiado hace ya unos buenos años, de intentar evitar que los incidentes ocurran (por supuesto hay que hacerlo en la medida de lo posible), a estar preparado para reaccionar ante los mismos. PYMEs, grandes empresas y multinacionales son comprometidas a diario. Ya no se juzga tanto a las empresas por ser víctimas de un ciberataque, pero sí por cómo responden ante el mismo.
Es por eso que hay que estar preparado para cuando algo ocurra, y elaborar un plan de respuesta a incidentes adecuado al tamaño de la organización. Respecto a las cosas básicas que podemos y debemos hacer para empezar a abordar la seguridad de nuestra organización o nuestro negocio, son dos, orientadas justo en las dos vertientes del error que antes mencionaba.
La primera, realizar auditorías de seguridad sobre nuestros sistemas. Más allá de las dedicadas al aspecto del compliance, hablamos de auditorías técnicas, englobadas dentro de lo que se conoce como hacking ético o pentesting. Se trata de encontrar todas las vulnerabilidades que pueda haber en los sistemas de la organización tanto desde el exterior, como del interior como lo haría un atacante con fines maliciosos. De cara a descubrir dichas vulnerabilidades para mitigarlas antes de que sea tarde.
La segunda, dedicada a minimizar los errores humanos, es la formación de los trabajadores mediante sesiones de concienciación en ciberseguridad, donde se les muestran las diferentes amenazas mediante demostraciones en tiempo real y se les instruye en las buenas prácticas a acometer para evitar ser víctimas de ataques de phishing, BEC (Business E-mail Compromise), y otro tipo de vectores de ataque basados en la ingeniería social.
Existen otras muchas acciones a la hora de gestionar la ciberseguridad de nuestro negocio, pero estas dos son imperativas. Son servicios que de manera recurrente me demandan las empresas, precisamente porque permiten conocer el estado real de nuestra organización y fortalecer la resiliencia ante los ataques que sí o sí nos tocará enfrentar en el ciberespacio.
Antes de ir a por soluciones milagrosas o de lamentarlo cuando sea tarde, si nunca has hecho una auditoría de seguridad sobre tus sistemas ni impartido formación a tus trabajadores, quizá sea hora de pensar en ello.