riesgos de ciberseguridad

Las empresas hoy en día conviven y se enfrentan a un mundo cada vez más tecnológico enfocado a una progresiva digitalización. El incremento de dispositivos conectados a la red, impresoras, Smartphone, tablets, ordenadores, relojes etc., lo ya conocido como el “internet de las cosas”, ha obligado a las organizaciones a establecer nuevos mecanismos de defensa y análisis de los riesgos para evitar ataques a la seguridad de su información.

En los últimos años se han incrementado los ciberataques a las compañías y fundamentalmente a las pymes. Éstas son un claro objetivo para los hackers ya que disponen de menos recursos para protegerse y por tanto las convierten en más vulnerables a un ataque informático. Uno de los ataques más habituales actualmente, es el denominado ramsomware o secuestro de datos. El ataque consistente fundamentalmente en la encriptación de la información por un ciber-delincuente que impide su acceso y solicita una cantidad económica (un rescate) para su desencriptación. La puerta de entrada a la red de la empresa suele ser a través de un software malicioso (malware), normalmente vía correo electrónico o internet, que infecta el ordenador o dispositivo desde el que se ejecuta.

A través de este tipo de mecanismos, cada vez más sofisticados y complejos, se han conseguido sustraer millones de archivos con información vital para la operativa de muchas compañías, incluso de grandes multinacionales, poniendo a prueba constantemente las medidas de seguridad implantadas y la capacidad de respuesta y recuperación de éstas tras un ataque cibernético.

Es cierto que, muchas empresas, frente a esta clara amenaza se han puesto manos a la obra en materia de ciberseguridad implantando medidas preventivas y destinando inversión a la defensa de su información. Sin embargo, aún existen muchas de ellas que bien por desconocimiento, confianza en sus sistemas o subestimación de los riesgos que una falta de seguridad de datos podría suponer (pérdida de confianza y por ende de clientes, daño reputacional, problemas legales, paralización de la actividad, perdidas económicas…entre otras) todavía no han desarrollado protocolos de prevención y planes de respuesta ante la posibilidad de un ciberataque.

Los riesgos de ciberseguridad por tanto, no son una cuestión del departamento de IT, sino que deben formar parte de la estrategia general del negocio por su indudable impacto en la sostenibilidad de las organizaciones. Desde esta perspectiva, el análisis de los riesgos de ciberseguridad debe alzarse hasta los Comités de Dirección, y formar parte de la matriz global de riesgos de las compañías. Resulta esencial evaluar de forma pormenorizada los riesgos por área: sistemas, funciones, personal, legal, activos, etc. así como los objetivos que se pretenden alcanzar para tomar decisiones sobre qué,  dónde, y en qué medida destinar los recursos para su mitigación, y por supuesto, realizar un seguimiento continuo de los mismos.

Obviamente, la seguridad absoluta no existe, por lo que las decisiones estratégicas deberán ir enfocadas a priorizar aquellos riesgos que por su probabilidad de ocurrencia y nivel de  impacto podrían hacer más daño al negocio, centrando la mayor parte de los recursos disponibles en su mitigación, es decir, “no debe costar más el collar que el perro”, sino aplicar un enfoque de análisis de coste vs beneficio.

En definitiva, la ciberseguridad tiene que formar parte de la cultura de la organización y estar integrada dentro de los modelos de prevención de riesgos. Es labor de la Alta Dirección instaurar la conciencia de la seguridad en todos y cada uno de los procesos y procedimientos internos y formar a sus profesionales en materia de seguridad y uso de la tecnología para asegurar razonablemente la salvaguarda  de los activos clave de la organización.

Medidas tan sencillas como: el cambio de contraseñas periódico, el control de accesos, la actualización de software, alertas sobre correos electrónicos sospechosos, copias de seguridad, el establecimiento de protocolos de seguridad o de planes preventivos que permitan una respuesta rápida frente a una potencial amenaza, pueden evitar los riesgos más altos y de mayor envergadura.

Si desea conocer el nivel de riesgo de ciberseguridad solo tiene que cumplimentar este sencillo test: TEST

Raquel Hernáez

Directora