Ciberseguridad: ¿Por qué implementarla en mi empresa?

En el marco del mes europeo sobre la ciberseguridad, consultamos a Rodrigo Nalda, CISO del Grupo Santillana, quien explica algunas recomendaciones para blindar operaciones de las empresas.
Ciberseguridad: ¿Por qué debo implementarla en mi empresa?

Durante el 2021, España sufrió más de 40.000 ciberataques por día, cifra que supone un incremento de 125% con respecto al año anterior, mientras que las pérdidas monetarias por los ataques informáticos tuvieron un valor entre 2.000 y 50.0000 euros para las pequeñas y medianas empresas (según Incibe). Para las grandes corporaciones el monto asciende a 3,6 millones de euros, de acuerdo con IBM.

La ciberseguridad es un tema que está tomando cada vez más relevancia en lo global, preocupando desde países hasta empresas. Precisamente, la Agencia Europea para la Ciberseguridad creó la Campaña European Cibersecurity Month que dedica el mes de octubre a crear conciencia sobre las posibles amenazas así como a facilitar información a través del intercambio de las mejores prácticas. Las dos tendencias a ser analizadas en esta décima edición son el secuestro de archivos (ransomware) y la suplantación de identidad (pishing)

Frente a un mundo cada vez más digital, la importancia de la protección de la data toma carácter de obligatoriedad para evitar y contrarrestar las amenazas diarias.

El proceso de transformación digital que están llevando a cabo empresas – de diferentes sectores y tamaños – debe ir acompañado por la inversión en ciberseguridad. Así lo recomienda Rodrigo Nalda, CISO del Grupo Santillana.

Uno de los principales motivos de este incremento fue el crecimiento del trabajo remoto y la teleeducación. El Covid-19 ha servido para poner en evidencia el problema de ciberseguridad en el país, y frente a esto 96% de las compañías aseguran que ajustarán su estrategia de seguridad, recoge el informe ‘Digital Trust Survey 2021’, elaborado por PwC.

En la actualidad, el tema se encuentra en la agenda de las compañías privadas y la administración pública, a tal punto que la ciberseguridad está incluida en la hoja de ruta del plan de recuperación económica pos-Covid, que en la Unión Europea (UE) se ha dibujado a través del Fondo de Recuperación Next Generation UE, otorgando un papel relevante a esta cuestión.

En el caso particular de España se destinarán 450 millones euros para la inversión en ciberseguridad, conforme a lo establecido en el Plan de Recuperación, Transformación y Resiliencia.

“Las empresas se han tomado en serio ciertos eventos que han ocurrido a nivel mundial lo que ha generado que tengan más concienciación y apuesten por ello” y este es uno de los motivos por los cuales ha aumentado el foco en el tema, comenta Nalda para PHC Software.

 

 

¿Son las empresas vulnerables a los ciberataques?

Para Nalda, la preocupación por un ciberataque es transversal para todas las empresas “porque todos estamos expuestos por muchos medios que pongamos”. Lo importante es actuar.

“Actualmente  en la situación sociopolítica que nos encontramos se les está pidiendo a las empresas y organizaciones que extremen las medidas de ciberseguridad (…) y las empresas están enviando avisos a sus usuarios para que cambien contraseñas y apaguen los equipos. Esto no tendría que hacerse ahora, es un hecho que el usuario debería tener como una costumbre”, sumó.

 

¿Qué acciones de ciberseguridad puedo tomar para blindar mi empresa?

Sobre este punto en específico, el experto sostuvo que hace 4 o 5 años lo primero que se debería hacer era proteger el perímetro.  Sin embargo, en la actualidad “este tal perímetro ya no existe y menos después de la pandemia en la que la mayoría comenzó a teletrabajar. Entonces, lo primero que hay que hacer es proteger los puestos de usuarios. Restringir el uso de los puestos en dispositivos móviles, sea un portátil, móvil o tablet”.

Para salvaguardar la información de la empresa debe tenerse un control de accesos, almacenamiento, backup (copias de seguridad), proteger el correo. Todo esto en conjunto hará que la información esté a salvo.

“Los servicios y los servidores también deben ser protegidos, así como los correos que son primordiales. Ahora con el Office 365 ya no es solo el correo el que debes proteger, son todos los servicios asociados de Office, es decir SharePoint, OneDrive, Teams, porque puedes estar almacenando un fichero o ataque malicioso y propagarse por toda la compañía”.

Haciendo un conteo de lo que debemos hacer en ciberseguridad es necesario:

software maliciosos ciberseguridad

¿Qué tan importante es formar a los usuarios de mi empresa en ciberseguridad?

La formación es un factor fundamental para garantizar la seguridad, “pero es complicado gestionarlo internamente, porque los usuarios son muy reacios y muchas veces debemos venderle esta formación de ciberseguridad de otra forma para llevarlos a la concienciación y no se pierda trabajo y dinero en el camino”.

“Hay que concienciar al empresario, al usuario y muchas veces a los mandos intermedios, que son los que tienen el contacto del día a día con el empleado. Los equipos de ciberseguridad deben hacer campañas constantes de phishing simulado o de maildroping, smishing. Es una de las medidas que puede funcionar para formar al personal”, señala Nalda.

En este sentido, recomienda a las empresas reforzar lo fundamental y lo básico sobre ciberseguridad. “Cada día salen nuevos vectores de ataques, al igual que en el área de ciberseguridad debemos estar actualizados, debemos actualizar a nuestros usuarios constantemente”.

 

 

¿Cómo pueden las empresas pequeñas implementar soluciones de ciberseguridad?

“Las pymes medianas ya tienen cierto nivel de concienciación y están comenzando a trabajar en ciberseguridad, pero las pymes pequeñas que están obligadas a lo mismo que las medianas y grandes, no tienen nada”.

“Ahora mismo en el mercado puedes encontrar soluciones globales para las pymes pequeñas que cubren los puestos de trabajo, el móvil, el cifrado y les dará toda la cobertura de ciberseguridad que necesitan. Evidentemente, todo esto requiere una inversión, pero poco a poco, los fabricantes de ciberseguridad están entendiendo que, si bien el negocio está en las grandes organizaciones, también hay mercado en la pequeña empresa. Hay soluciones y paquetes en el mercado bastante buenas”.

“Lo otro que pueden hacer es una pequeña charla cada cierto tiempo con sus empleados o compartir tips de seguridad, para que los colaboradores sean cuidadosos con el puesto de usuario. Son pequeños consejos que cuidan mucho el negocio, sobre todo en las pequeñas empresas que le puede afectar más un ataque que paralice su producción que a una grande, o incluso las multas por algún incumplimiento”.

 

 

¿Qué tanto puede afectar un ciberataque a mi empresa?

“Esto depende de la empresa y de qué tipo de negocios haga. Entre los ataques más comunes y que pueden afectar a todas está el ransomware (secuestro de datos) que cifra toda la información de tus servicios y bases de datos y estos conlleva ciertos costes”.

“Son diferentes casuísticas y esto dependerá de la empresa. Por ejemplo, a un banco lo que más le preocupa es que le hagan un robo de dinero a través de un ciberataque, al igual que las plataformas de criptomonedas”.

 

 

¿La ciberseguridad debe ir de la mano con el proceso de transformación de mi empresa?

“La ciberseguridad está dentro del proceso de transformación digital de una empresa. Por ejemplo, un negocio tradicional sin grandes tecnologías empieza a modificar sus formas de trabajo, a llevar la venta online, tiene que acompañar esta transformación en paralelo y apoyada con la seguridad ¿Se está haciendo? Yo creo que no cómo debería. Y no se está haciendo porque no se ve como un beneficio sino como un coste a fin de año”.

“Sin embargo, antes era mucho más difícil vender ciberseguridad, ahora es mucho más fácil. Poco a poco se está viendo el cambio, los gerentes se están dando cuenta que si tienen en el futuro un problema de ciberseguridad van a tener un problema en el bolsillo (monetarios) entonces para evitar esto están invirtiendo, porque no quieren tener multas, paralizar sus servicios tres días y dejar de ingresar dinero”.

“Poco a poco se ha empezado a hablar más de ciberseguridad en las noticias y hay cada vez más foros por todo el mundo, la gente empieza a entender más lo qué es la ciberseguridad. Por ejemplo, ahora es poco común conseguir un smartphone sin patrón de seguridad activado, quizás consigas algunos en gente mayor, pero esta gente mayor no tiene el acceso a su banco allí”, agregó.

Leer también: Indicadores de Transformación Digital importantes para tu empresa.

 

 

¿Cómo gestionar el choque generacional que puede tener la implementación de ciberseguridad en mi empresa?

A juicio del especialista, gestionar el tema de la ciberseguridad y el choque generacional dentro de una empresa no es tan complicado, ya que la seguridad debe ser algo transparente para el usuario, no debe afectarle en su día a día de trabajo. “Se puede enterar porque quizás no pueda entrar en ciertas páginas web, pero no tiene que afectar mucho más allá”.

“Hay algo que quizás genere más dificultad que es el doble factor de autenticación, pero según la plantilla de colaboradores la empresa tiene que ver qué sistemas informáticos de doble factor de autenticación implementa, puede ser por la tarjeta de fichar, o un mensaje que te lleva al móvil y si tienes algún problema con esto es porque no has formado a tus usuarios”.

Para finalizar, el CISO del Grupo Santillana, Rodrigo Nalda reflexiona sobre la importancia de la ciberseguridad en las empresas: “Cuando salimos de casa cerramos la puerta con llave ¿por qué no hacemos lo mismo con la tecnología? ¿Si proteges tus bienes materiales por qué no proteges tus bienes digitales o tecnológicos?”. 

Esta página web requiere un navegador más actualizado para obtener la apariencia y usabilidad requeridas.

Para disponer de la mejor experiencia y conocer PHC Software y sus productos, debes acceder a través de otro navegador más reciente como Google Chrome, Firefox o Safari.