La ciberseguridad, una prioridad para las empresas
Hay dos tipos de compañías, las que han sido hackeadas, y las que todavía no saben que lo han sido”. Se le atribuye a John T. Chambers, antiguo CEO de Cisco Systems, haber pronunciado estas palabras en el Foro Económico Mundial de 2015. El informe de riesgos globales de ese año, publicado por dicho Foro, no contemplaba los ciberataques entre los cinco principales riesgos a los que se enfrentaba el mundo. En la última edición del informe, la encuesta de percepción sobre riesgos globales sitúa la ciberseguridad como el cuarto “peligro” más claro para la economía global.
Los ciberataques se producen principalmente debido a errores técnicos o humanos. Los primeros se manifiestan, por un lado, en vulnerabilidades presentes en los productos o plataformas que utilizamos y, por otro lado, en fallos de configuración de los complejos sistemas de las compañías. Estos últimos son provocados en ocasiones por escasez de recursos: personal cualificado, herramientas adecuadas, o falta de tiempo y dedicación producida, entre otros, por las urgencias del negocio.
En cuanto a los errores humanos, las personas son susceptibles de sufrir ataques de ingeniería social: manipulación psicológica para inducirles a hacer cosas que, sin que se den cuenta, pueden traer consecuencias muy graves. Estos ataques suelen producirse a través de correo electrónico usando técnicas como el phishing, y tienen más éxito allí donde faltan controles adecuados enmarcados dentro de una política de seguridad global entendida y aceptada por toda la compañía.
Desde hace más de 10 años, Verizon publica un informe anual sobre brechas de datos que incluye los principales actores que intervienen y las técnicas que utilizan. Según el último informe, el ataque más común está perpetrado por un actor externo (70% de los casos). Lo más habitual es que dicho actor sea una organización criminal, ya que éstas estuvieron detrás del 55% de los ataques y la principal motivación es la económica (86% de los casos). En cuanto a la causa raíz, los errores técnicos estuvieron en el origen del 22% de los ataques, mientras que otro 22% incluyó ingeniería social, es decir, que tuvo su origen en errores humanos. Se refleja en el informe un destacado 8%, tipificado como “mal uso por parte de usuarios autorizados”, y un 37% de ataques que tuvo su origen en el uso credenciales débiles. Las víctimas principales fueron grandes corporaciones en el 72% de los casos. Hasta el año 2017 dichas víctimas eran fundamentalmente organizaciones financieras, sin embargo, desde entonces ha habido un progresivo aumento de ataques a entidades del sector público y de salud. En el 58% de los casos se comprometieron datos personales.
Para defenderse, las empresas se ven obligadas a actuar en todos los ámbitos de su actividad que estén soportados por la tecnología, entre los que estarían: la seguridad de su perímetro (varios niveles de firewall) y de sus servidores (bastionado); de su red de comunicaciones (segmentación de red y cifrado de comunicaciones), de sus dispositivos móviles, de sus aplicaciones, de sus bases de datos y de los datos propiamente dichos (cifrado de datos). Deben también tener en cuenta los accesos y la gestión de identidades de sus empleados y profesionales externos.
Desde un punto de vista reactivo, las organizaciones deben asegurar que sus procesos, sus herramientas y sus empleados están correctamente preparados para actuar en caso de una brecha de seguridad, y así recuperarse de los ataques lo antes posible. En este sentido, es importante que las organizaciones contemplen también sesiones de concienciación y formación a sus empleados.
La creciente complejidad de las ciberamenazas ha tenido su reflejo en el desarrollo de la legislación europea en la materia, y en la legislación española con la aprobación del Real Decreto 43/2021, de 26 de enero. La normativa actual establece la obligación de implantar mecanismos con una perspectiva de protección integral frente a amenazas que afectan a la seguridad de las redes y sistemas de información. También destaca la importancia del responsable de seguridad (CISO), nueva figura que aparece en este reglamento y que debe contar con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico.
Paralelamente, en el mercado de la ciberseguridad crece la importancia de lo que se denomina el Rating Ciber. Se trata de un servicio desarrollado por compañías particulares y que tiene el objetivo de poner una nota al estado de ciberseguridad de una compañía. El aspecto más delicado y controvertido de estos informes es la definición del perímetro de la compañía donde se realiza el estudio, un ejercicio de una gran complejidad en grandes organizaciones con un perímetro extenso o difuso.
Lo que sí está claro es que este tipo de auditorías ayudan a eliminar vulnerabilidades y han venido para quedarse. Algunos reguladores ya las usan para vigilar a las compañías reguladas; las compañías de ciberseguros para cuantificar el precio de las pólizas y las coberturas; los fondos de capital riesgo para bajar el valor de las compañías o, incluso las propias compañías, para evaluar a sus proveedores.
La ciberseguridad se ha convertido en asunto primordial de empresas de todos los sectores, y las consultoras pueden ayudar a poner foco en lo importante, aportando su experiencia de trabajo con muchos clientes distintos, pero con los mismos problemas y amenazas. Las empresas de consultoría ponen a disposición de empresas y administraciones públicas el know-how de profesionales formados, herramientas adecuadas, procesos en marcha con resultados contrastados, y acciones defensivas adicionales que pueden marcar la diferencia, utilizando, por ejemplo, las últimas tecnologías con inteligencia artificial que permiten analizar de forma más eficiente la cantidad ingente de datos que generan hoy nuestros complejos sistemas. l