¿Están nuestras empresas ciberseguras?

La ciberseguridad se ha convertido en una de las principales prioridades y preocupaciones de las empresas. Muchas tecnologías que hace unos años nos parecían lejanas se han asentado en nuestro día día, y con ellas, la necesidad de garantizar nuestra seguridad y privacidad, tanto en la esfera privada como en la empresarial.

El pasado mes de octubre, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) puso en marcha el Mes Europeo de la Ciberseguridad, con el objetivo se seguir concienciando a las empresas y particulares de la necesidad de adopción de unas políticas de ciberseguridad ajustadas a sus capacidades y necesidades. Formaciones, jornadas, eventos e informes han ocupado durante estos días un lugar privilegiado en la agenda europea. Y es que, aunque la aparición diaria de nuevos ciberincidentes en los medios de comunicación todos estamos cada vez más concienciados, lo cierto es que aún queda mucho camino por recorrer.

Solo durante 2017, el Instituto Nacional de Ciberseguridad (INCIBE) resolvió más de 123.000 incidentes, de los cuales 116.642 afectaron a empresas y ciudadanos, 885 a operadores estratégicos y 5.537 al ámbito académico. Mientras, si por algo está destacando 2018 es por la cantidad de datos personales que se han obtenido de forma ilícita para, posteriormente, hacerse públicos. A 29 de agosto, los expertos calculaban que esta cifra ascendía a 215.009.428 registros.

Cuando se produce una brecha de seguridad en cualquier compañía, los usuarios tendemos a señalar con el dedo a los responsables de la organización. Sin embargo, debemos ser conscientes de cuánto estamos poniendo por nuestra parte. Y es que, según un informe hecho público en 2017 por Pew Research Center, más del 40% de los ciudadanos norteamericanos consultados afirmaban que entre sus prácticas habituales estaba la de compartir claves de acceso con familiares o amigos y otro 40% reconocían que sus contraseñas eran demasiado triviales. Por tanto, es de vital importancia que todos entendamos que la privacidad y seguridad de nuestros datos es nuestra responsabilidad.

No podemos olvidar que los métodos usados por los cibercriminales son cada vez más sofisticados, por lo que debemos tener en cuenta que la continua formación será determinante para mantener nuestra identidad digital a salvo.

Un claro ejemplo de evolución de los ciberataques es la diferencia que encontramos en los intentos de phising que se llevaban a cabo hace cinco años y ahora. La mejora de los traductores online, las técnicas de ingeniería social, o incluso la propia cantidad de información pública disponible sobre nosotros hacen que los correos en los que los ciberdelincuentes intentan captar credenciales (normalmente financieras) sean mucho más elaborados. Por ello, la necesidad de mantenerse continuamente actualizado es cada vez más imperativa. Y es nuestra responsabilidad ponerles las cosas un poco más difíciles a los criminales, al menos en la medida de nuestras posibilidades.

Pero es también, por supuesto, responsabilidad de las empresas trabajar para garantizar, en lo posible, la inviolabilidad de sus sistemas.Y, en aquellos casos en los que se produzca un incidente, que la respuesta sea proporcional, rápida y eficaz. Según datos de 2015, el tiempo medio de detección de un ciberataque es de 170 días, y el tiempo medio de resolución, 45. Es responsabilidad de las compañías establecer los mecanismos necesarios para lograr reducir esos tiempos al mínimo, mediante la implementación de tecnologías más eficaces y la creación de un equipo técnico que se mantenga al día en las últimas tendencias. Por supuesto, ni las oportunidades ni los recursos disponibles son los mismos en todas las compañías, pero no debemos perder de vista lo que los datos nos dicen, y es que toda empresa puede tener interés para los ciberdelincuentes, hasta las más pequeñas.

Contar con tecnologías como Analytics, Robotics o la Inteligencia Artificial dentro de la operativa de las compañías supone un paso adelante en su capacidad productiva, sin duda, pero también nuevas potenciales puertas de entrada para intrusiones. En este escenario de cambio es importante identificar las vulnerabilidades de la compañía, desarrollar estrategias de ciberseguridad acordes con los riesgos identificados y, por supuesto, acompañar a los empleados en esta transición. En este sentido, la formación y concienciación a los empleados debe ganar protagonismo y ayudar a redefinir la cultura de la organización.

En el ámbito operativo es determinante implantar mecanismos de detección y monitorización de eventos de ciberseguridad que tengan en cuenta no solo los sistemas internos de la compañía, sino también los localizados fuera de esta. Las medidas destinadas a garantizar la seguridad de los datos fuera de nuestra organización deben pasar, obligatoriamente, por concienciar a los proveedores de la necesidad de reforzar las medidas de protección de las que dispongan.

En definitiva, las empresas tienen que ser conscientes de que la Ciberseguridad no es una pata aislada en los planes estratégicos, sino que afecta a todas las áreas de las compañías. Una buena planificación e implementación de políticas de seguridad cibernética, aunque pueda parecer costosa en un primer momento, no solo nos protegerá de intrusiones, sino que nos ahorrará costes, económicos y reputacionales, derivados de ellas.