El 2020 fue un año de récord de ciberataques, tanto en cantidad como por el impacto que tuvieron. La pandemia de COVID-19 propició un notable incremento de este tipo de delitos, especialmente a instituciones públicas y empresas privadas. Y en el 2021 el ataque más notable fue el sufrido por el Servicio Público de Empleo Estatal (SEPE). Tal es el calibre de este problema que el propio Gobierno anunció la puesta en marcha de un Plan de Ciberseguridad en el que España trata de ser referente.
Según datos de 2020 de KPMG, el 95% de los ciberataques que logran su objetivo vienen precedidos de un error humano. ¿Estos datos nos indican que está fallando el plan de seguridad informática de las empresas? De media, cada brecha en el sistema supuso un coste de 66.800 euros para las empresas españolas en 2020 y la cifra se elevó hasta el medio millón de euros para las compañías de mayor tamaño, según el informe Hiscox Cyber Readiness Report 2020. El problema, está claro, no es solo tecnológico.
“La respuesta pasa por un plan integral de gestión de riesgo a nivel de personal, capital y tecnología en toda la compañía”, señala Anthony Dagostino, head of Global Cyber Risk en Willis Towers Watson. “Y no sólo nos referimos a un ejercicio para los departamentos de riesgos de grandes empresas. La pequeña y mediana empresa también son objetivo de los ciberataques”.
Una violación de seguridad informática se produce cuando los datos de los que una empresa o institución pública es responsable sufren un ciberataque u otro tipo de incidente que da lugar a la violación de la confidencialidad, disponibilidad o integridad de los datos.
La Unión Europea recuerda que, cuando se produce una violación de los datos que ponga en riesgo los derechos y libertades de las personas, se deberá notificar a la autoridad de control antes de que pasen 72 horas desde que se tiene conocimiento del probelma.
Asimismo, si las personas afectadas se exponen a un riesgo alto, también deben ser informadas de lo ocurrido.
Para evitar situaciones comprometidas, las organizaciones deben aplicar medidas que permitan evitar esas posibles violaciones de la seguridad de los datos.
Hablamos, en este caso, de establecer un plan de seguridad informática, que es el documento en el que se describe de forma detallada cómo implementar los sistemas de seguridad y las acciones a ejecutar para conseguir la mayor seguridad cibernética posible dentro de una compañía, con el fin de resguardar la información con la que trabaja.
01
Como ante cualquier estrategia bien hecha, lo primero es evaluar el riesgo real. Así, es importante comprobar la estabilidad del firewall, la estructura de seguridad informática y los procesos (internos y externos) de manejo de datos. Según el informe sobre ciber riesgos de Willis Towers Watson, Cyber Claims Brief, la clave estaría también en evaluar los riesgos en el capital humano y la cultura corporativa.
“La baja implicación de los trabajadores en la compañía se relaciona directamente con el aumento del ciber riesgo. La gente que se siente menos identificada con su empleo y/o su lugar de trabajo tiende a ser menos cuidadosa”, explica Dagostino. “Una investigación bien hecha puede desvelar aspectos de la cultura corporativa que incrementan el potencial de los ciber incidentes”.
Otro aspecto central de la fase de evaluación es constatar la velocidad de respuesta ante un ataque. Es importante tener claro qué hacer cuando se pone en riesgo la ciber seguridad de la empresa. En este proceso, se hace necesaria la participación de expertos que señalen los puntos débiles del plan de seguridad y analicen los riesgos.
02
Las herramientas y métodos informáticos son importantes en una estrategia de ciber seguridad. Sin embargo, son solo la primera capa de protección. La implicación de los trabajadores y la gestión del riesgo del capital son tanto o más importantes.
“Los trabajadores necesitan preparación y formación para manejar las herramientas de ciber seguridad y conocer los riesgos a los que ellos mismos pueden exponer a la compañía”, indica el experto de Willis Towers Watson. De esta forma, las compañías deben centrarse en:
La tercera pata de una buena estrategia de ciber protección es la gestión del riesgo del capital. “Incluso los trabajadores más preparados pueden cometer errores. El riesgo nunca se podrá eliminar. Por eso, se debe proteger el capital que se puede poner en riesgo tras un ciber ataque”, señala Anthony Dagostino. ¿Y cómo?
03
Tras un ciber ataque, cada segundo que pasa tiene un coste. La reputación, la fidelidad de los clientes, las operaciones, el negocio y los costes de responsabilidad se ven afectados. “La empresa tiene que estar preparada para recuperarse de estos costes, analizar qué ha pasado y desarrollar nuevas estrategias de defensa”, puntualiza el experto de Willis Towers Watson.
“El ciber riesgo está en constante evolución. Tu habilidad para gestionarlo también debería estarlo. No todo es luchar contra los hackers. Se trata también de tus trabajadores y de los millones de dólares que están en juego en cada ataque”, concluye Anthony Dagostino.
Ni siquiera una pyme escapa a la posibilidad de sufrir un ciberataque hoy en día. Por eso, cualquier compañía ha de contar con su propio plan de seguridad informática para poder tomar las medidas necesarias ante posibles vulnerabilidades.
Y no hace falta que éste sea demasiado extenso. Bastará con que ayude a proteger los datos que maneja la compañía, ajustándose a la Ley de Protección de Datos vigente.
Ese plan de seguridad informática debe tener por escrito varios pasos que cada empresa debe seguir:
El primer paso es conocer qué datos maneja una compañía para saber qué información exacta debe proteger ante posibles ciberataques. Habrá que analizar para eso todos los activos de la compañía, desde el personal hasta el hardware, el software, el sistema informático, los programas informáticos, los servidores, los servicios externos de alojamiento web, etc.
El siguiente paso es evaluar qué podría poner en peligro esa información, ya sea la acción de un hacker, un virus informático, un daño físico, un error humano… Paralelamente, hay que calibrar el alcance del daño que podría causar un incidente así.
Cada empresa deberá decidir de qué amenazas le interesa protegerse o a cuáles dedicar una mayor atención. Según la compañía, le puede interesar más proteger los datos de sus servidores externos que los de los equipos informáticos individuales con los que trabajan sus empleados, por ejemplo. En cada caso, la empresa tendrá que establecer cómo proteger esa información en cada caso, tomando las precauciones adecuadas.
Una vez se ha realizado por escrito el plan de seguridad informática de la compañía, debe ser comunicado a todo el personal para que pueda ser adaptado e implantado dentro de las políticas y del día a día de la empresa. Una vez todo el mundo conozca el plan, habrá que establecer un calendario para ponerlo en marcha.
Pero ahí no acaba la misión, puesto que los ciber riesgos van cambiando constantemente, lo que significa que habrá que revisar periódicamente el plan de seguridad informática, así como asegurarse de que las medidas están funcionando según lo previsto o es necesario establecer correcciones.
Antes decíamos que la mayoría de ciberataques se producen por errores humanos y también que muchas veces se infravaloran los efectos de este tipo de incidentes. Ese desconocimiento de las consecuencias y la falta de celo en el día a día de la actividad de los empleados puede generar importantes riesgos que, como también hemos dicho, pueden generar un importante coste económico. ¿Qué puede pasar?
Ante todas estas amenazas, la existencia de un plan de seguridad informática guiará a todos los miembros de la empresa sobre cómo actuar para proteger la información que se maneja en la compañía de la manera más segura.
