Los desafíos de la ciberseguridad en las empresas siguen siendo poco conocidos y poco tenidos en cuenta. Sin embargo, los efectos de un ciberataque, fallo técnico o negligencia humana pueden afectar seriamente a la actividad de una organización. Es esencial establecer un plan para protegerse contra estos riesgos cibernéticos, y por ese motivo son cada vez más las empresas que deciden contratar un consultor de ciberseguridad, ya que son profesionales que están al día de todas las posibles amenazas.
El 80% de las empresas han experimentado al menos un ciberataque en los últimos doce meses. Lejos de ir a menos, el riesgo cibernético aumenta cada día. La transformación digital han generado todo un abanico de nuevos riesgos contra las empresas que no están suficientemente preparadas. En seguridad cibernética, demasiadas organizaciones todavía dependen de sistemas defectuosos y soluciones individualizadas, mientras que la amenaza se ha vuelto global. Por tanto, es urgente tomar conciencia de los riesgos y adoptar buenas prácticas (tecnológicas y humanas) para mejorar la ciberseguridad en las empresas.
La importancia de la Ciberseguridad en las empresas
La necesidad de implantar un plan de ciberseguridad en las empresas se ha convertido en una realidad de la que las organizaciones ya no pueden esperar. Actualmente, los temores sobre delitos tecnológicos, fallos informáticos o filtraciones de datos son parte de la vida cotidiana de las organizaciones. Con efectos concretos (negativos): ralentización de la producción (para el 26% de las empresas), indisponibilidad temporal del sitio web profesional (23%), retrasos en las entregas (12%), pérdida de facturación (11%) y parada de la producción durante un período significativo (9%).
Los riesgos
La identificación de riesgos es uno de los principales desafíos de la ciberseguridad corporativa. Es decir, saber (y comprender) contra qué estás intentando luchar es fundamental. Como tal, podemos distinguir tres puntos principales de amenazas: ciberataques, los riesgos inherentes a los servicios en la nube y la negligencia humana.
Los ataques cibernéticos son el resultado de un deseo de dañar, con fines de lucro o de poner en dificultades a una organización (con un propósito competitivo, para extraer información, etc.). Se conoce como "delito cibernético" y entre los ataques más comunes:
- El ataque de virus informáticos, que tiene como objetivo acceder a un sistema defectuoso o mal protegido para destruir la totalidad o parte de los datos de la empresa, o para eliminar información sensible (secretos comerciales, derechos de propiedad, etc.). Otros tipos de ataques pueden atacar el sitio web de la empresa, como inundarlo con información innecesaria para provocar un bloqueo.
- El phishing es el uso de un correo electrónico o un sitio web falsificado para engañar a una persona y recopilar sus datos confidenciales, o para hacer que el ordenador del usuario sea vulnerable a la inyección de software malicioso (malware).
- El ransomware infecta las estaciones de trabajo al bloquear la pantalla y cifrar datos importantes a los que el usuario ya no puede acceder. Para trabajar con normalidad o recuperar información confidencial, se le anima a pagar un rescate.
- Técnicas de ingeniería social, manipulaciones psicológicas destinadas a extraer información de un usuario de forma fraudulenta para acceder a un sistema de información.
Protegerse de estos ataques supone erigir barreras ad hoc y, por tanto, adoptar un verdadero enfoque de ciberseguridad en los negocios.
Los riesgos asociados con los servicios en la nube y la negligencia humana están interrelacionados. El almacenamiento de datos online solo genera un riesgo real cuando las herramientas se utilizan incorrectamente, o cuando los usuarios son negligentes con respecto a las instrucciones básicas de seguridad. Uso de aplicaciones en la nube que no han sido aprobadas, errores de configuración de SaaS/IaaS/PaaS, intercambio accidental de datos sensibles ... Estos riesgos aumentan a medida que las herramientas en la nube ocupan más espacio en la organización. Y la principal amenaza para las organizaciones es interna: el 80% de las empresas se enfrentan al riesgo de cuentas de usuario comprometidas. Esta práctica de utilizar aplicaciones personales con fines comerciales (con todos los riesgos asociados) se denomina "shadow computing". El peligro no es despreciable: el 86% de las aplicaciones en la nube utilizadas en las organizaciones no han sido autorizadas por el CIO (gerente de sistemas o director de tecnologías).
El problema no está en el almacenamiento en la nube, que ofrece más ventajas que desventajas en términos de seguridad (aunque solo sea mediante la copia de seguridad de los datos en servidores externos, lejos de las amenazas de hardware que se ciernen sobre ellos), sino en la falta de conciencia de los empleados, de los riesgos asociados de no dominar los procesos almacenamiento. La ciberseguridad en las empresas es un problema humano antes que tecnológico.