Ciberseguridad
Mónica Méndez Information Security Consultant

Ciberseguridad no es un departamento, es un comportamiento

El coronavirus no es el único virus que nos ha traído la pandemia, las amenazas en internet se han multiplicado masivamente en estos últimos años. El teletrabajo ha producido que miles de dispositivos se hayan tenido que conectar a la red para que las empresas o entidades públicas pudieran continuar con su labor diaria. Esto ha provocado que se hayan multiplicado también los puntos de acceso a los que los ciberdelincuentes pueden realizar sus ataques.

La urgencia para tratar de adaptarse a esta nueva situación provoca que se generen grandes brechas de seguridad y de cumplimiento, provocando que los ciberdelincuentes aprovechen este caos generalizado para atacar a todo tipo de entidades, negocios y/o estructuras. Siendo el resultado final, que los empleados se convirtieran en la primera línea de defensa frente a estos ciberataques.

Cuando hablamos de ciberseguridad, instintivamente pensamos en las herramientas o los procedimientos de seguridad que integramos en nuestros sistemas, pero en realidad, la ciberseguridad depende de un factor común, el factor humano.

De la actitud y las diferentes acciones de las personas que están interactuando con el dispositivo conectado a la red, depende en gran parte el éxito o fracaso de medidas de seguridad que se hayan implantado, ya que son ellas, las personas, las que gestionan el principal activo, la información.

A este primer firewall humano se le tiene que transmitir el valor y la importancia de la ciberseguridad. Esto, únicamente se consigue invirtiendo en planes de formación y de concienciación en materia de ciberseguridad.

Desde el nivel más alto del comité hasta el último departamento, se ha de desarrollar una cultura en ciberseguridad

Desde el nivel más alto del comité hasta el último departamento, se ha de desarrollar una cultura en ciberseguridad. A medida que se interioricen unas buenas prácticas para saber cómo detectar y evitar errores, junto con la inclusión de políticas de seguridad adaptativas a los nuevos ciberdelincuentes y tipos de ataque, se irá produciendo una disminución en el nivel de riesgo en materia de ciberseguridad.

La ciberseguridad en las empresas

Partiendo del dato, que es el activo estratégico de una organización, entidad, y/o negocio, la ciberseguridad no ha de ser considerada como un extra adicional a los servicios, sino ha de ser considerada como una gran parte esencial e intrínseca de los mismos. A medida que los sistemas y las personas se han ido conectando a la red, el perímetro de la ciberseguridad ha pasado de ser algo estático y definido, a ser completamente elástico. Las herramientas clásicas, como los antivirus han pasado a un segundo plano en materia de defensa, pasando a ser claves la formación y la concienciación del equipo humano.

Aunque en el mundo empresarial o gubernamental, hay grandes corporaciones que se toman muy en serio los peligros y las amenazas a las que están expuestos, existen cierto tipo de empresas que tienen por delante un largo camino por recorrer en materia de ciberseguridad, este tipo de empresas son principalmente el gran conjunto de pequeñas y medianas empresas. Es por ello que al igual que se intenta concienciar a las personas sobre los peligros que se pueden acontecer tras la expansión de un virus o los problemas que se pueden ocasionar en el medio ambiente según la realización de diferentes actividades y/o acciones, también hay que hacer hincapié en la ciberseguridad y conseguir que todas las personas estén concienciadas y formadas sobre los peligros que existen en este campo.

No hay día en el que nos levantemos y no veamos una nueva noticia sobre ciberataques en cualquiera de sus variantes: phishing, ransomware, brechas de seguridad, robos de datos e identidad, adware, etc.

Visto desde la distancia, se creía que teletrabajar era solo coger nuestros equipos y, en vez de ir a trabajar a la oficina, era hacerlo desde casa. Pero la realidad nos ha hecho ver que el teletrabajo tiene un gran impacto. En muchos de los casos se han tenido que replicar, en gran medida, las mismas medidas de seguridad que se tenían en sus instalaciones haciendo que existan nuevos retos en la ciberseguridad.

Según datos de la Agencia Española de Protección de Datos (AEPD), en el pasado mes de marzo se produjeron 140 en notificaciones de brechas de seguridad, siendo 110 en organizaciones privadas y 18 notificaciones de organizaciones públicas.

De estas brechas de seguridad se corresponden con ciberincidentes:

  • Dispositivo cifrado / secuestro de información 20.71%
  • Suplantación de identidad (phishing) 23,57%
  • Acceso no autorizado a datos en SI 27,14%

Partiendo de la base que el 100% en ciberseguridad es inalcanzable y mucho menos cuando contamos con un gran número de potenciales amenazas, los usuarios pasan a ser los eslabones más débiles de la cadena, ya que simplemente por mero desconocimiento, pueden introducir un ransomware en el sistema que vulnere la seguridad de este.

Aun estando hablando de una situación totalmente llena de incertidumbre, se puede llegar a una conclusión clara y muy importante, y es que estos fallos humanos son potencialmente evitables mediante la formación y concienciación continua de todo el personal implicado en el manejo de la información.

Diferentes temáticas para la formación y la concienciación