No estás tranquilo ante ciberataques, y lo sabes
El CIO de Exevi, Juan José Muñoz, da algunos consejos para que las empresas protejan sus datos de manera adecuada
La amenaza de los ciberataques parece ser cada vez mayor y no parece que vaya a terminar. La repercusión global de ataques como WannaCry y Petya ha hecho tambalear los cimientos de muchas organizaciones, preocupadas por un riesgo que sin embargo no es nada nuevo.
La creciente dependencia de los sistemas de información para el normal funcionamiento de las infraestructuras básicas, los medios de transporte, nuestras ciudades y en general para el funcionamiento de las empresas provoca que ataques que hace 15 años causaban pérdidas de horas de trabajo ahora puedan provocar graves daños económicos e incluso muertes.
Por citar solo unos pocos, con la extensión del uso de Internet, sufrimos las primeras infecciones a gran escala Melissa (1999), Red Code (2001), Nimda (2001). Posteriormente, a finales de 2008 apareció Conficker, que en solo unos meses se calcula que infectó el 6% de los ordenadores del mundo.
La escasa preocupación de muchas empresas por la ciberseguridad expone sus sistemas de forma considerable
Los ciberataques actuales son mucho más complejos, y combinan diversas estrategias y técnicas para conseguir alcanzar sus objetivos, ya sea la denegación de servicio, la destrucción de datos o el secuestro y chantaje. Detrás de la mayoría ya no tenemos a personas aisladas o colaborando en pequeños grupos, los clásicos hackers, sino que nos encontramos con verdaderas organizaciones criminales estructuradas y preparadas para lucrarse mediante el delito en el ciberespacio.
¿Hasta qué punto tenemos la certeza de que nuestra empresa está a salvo de estas amenazas, ha sido ya atacada o puede ser la siguiente víctima? ¿Dónde queremos estar, en el grupo de las que hacen algo para evitarlo o en de las que simplemente no hacen nada?
¿Hasta qué punto tenemos la certeza de que nuestra empresa está a salvo de estas amenazas?
En este sentido, la General Data Protection Regulation (GDPR), la normativa comunitaria que entrará en vigor en mayo de 2018, puede ser el empujón que necesitamos para decidirnos a tomar una actitud más proactiva. La Unión Europea unifica con esta ley la normativa de los distintos países miembros, y pasa del modelo más estático que presentaba la Ley Orgánica de Protección de Datos (LOPD) a un modelo de procesos de mejora continua centrado en garantizar la seguridad y la integridad de los datos personales. Todo ello aderezado con la amenaza de importantes sanciones económicas. Qué mejor aliciente para preocuparnos por la ciberseguridad.
A la vez que iniciamos un proceso de adecuación para la GPDR, podemos en paralelo seguir las siguientes recomendaciones o buenas prácticas para reducir la exposición y mejorar la ciberseguridad de una empresa:
- Concienciación sobre los riesgos y cómo evitarlos o reducirlos
Es quizás la acción más sencilla, y con resultados inmediatos. Concienciar sobre el uso responsable de Internet, el correo corporativo, dispositivos USB, el uso de redes wi-fi abiertas, y cómo actuar para reconocer ataques basados en ingeniería social y phishing (dónde hacer y no hacer clic, qué ficheros abrir o no abrir). Esta formación y concienciación debe reforzarse o actualizarse de forma periódica.
- Definir una política de contraseñas
Especificar la complejidad de las mismas, la caducidad y los medios de notificación y almacenamiento. Es muy recomendable establecer sistemas de autenticación de doble factor. De este modo, aunque una contraseña quede comprometida, se limitará las circunstancias en las que se pueda hacer uso de ella.
- Revisar la política de copias de seguridad y los tiempos de recuperación
Debemos comprobar que las copias de realizan correctamente y hacer pruebas periódicas de restauración. Además, se pueden mantener una réplica de la información más crítica para tenerla disponible en caso de necesidad.
- Revisar los sistemas de protección de los equipos
Por ahorrar dinero se usan soluciones que pueden traer graves problemas. Usemos bien los recursos. Tal vez puede haber equipos protegidos con antivirus de bajo coste, pero otros necesitan sistemas verdaderamente robustos. Lo recomendable sería usar un antivirus/antimalware que proteja contra amenazas de día cero.
- Mantener al día los sistemas operativos y las aplicaciones
No usar software ilegal, pues sus canales de distribución, y el mismo software suele estar comprometido.
- Hacer un plan de continuidad de negocio
Muchas compañías están obligadas por diferentes motivos a tener un plan de gestión de riesgos. Unas han de seguir normas tipo ISO 31000 y otras no, pero hacer un plan de riesgos es relativamente poco costoso y debería ser obligatorio para toda empresa. En cualquier caso, debemos hacer un plan, por sencillo que sea, que deje claro dónde están los riesgos, cómo vamos a prevenirlos en la medida de lo posible y cómo vamos a recuperarnos si algunos de estos se dan.
- Trasladar riesgos a seguros
Cuando hacemos el plan anterior, sabemos que hay riesgos que no podremos prever ni mitigar. Para eso están los seguros, para cubrirlos
Juan José Muñoz es CIO de Exevi.
