Roberto Peña, director de CiberSeguridad de la consultora tecnológica MNEMO.
¿Cuáles son las principales brechas de las empresas en materia de ciberseguridad?
Las brechas de seguridad, tras algunos de los miles de ciberataques que reciben empresas de todo tipo e instituciones son cada vez más frecuentes. Desde MNEMO, empresa líder en ofrecer soluciones tecnológicas para diseñar una política preventiva de ciberseguridad, se ha detectado que un 85% de las empresas no tienen articulado un proceso de respuesta adecuado.
Para Roberto Peña, director de CiberSeguridad de esta consultora tecnológica “es evidente que falta una cultura de seguridad informática en la empresa. En un momento como el actual, con el Reglamento Europeo de Protección de Datos en vías de adaptarse a nuestra legislación parece lógico que el CISO, responsable de seguridad de las empresas ejerza también de Delegado de Proteccion de Datos (DPO).
Esa falta de cultura de seguridad se aprecia en la falta de inversiones suficientes por parte de las empresas en este tipo de cuestiones y, al mismo tiempo, la carencia de formación de los profesionales de muchas empresas, sobre qué comportamiento pueden o no desarrollar para evitar que generen de forma accidental determinados ciberataques.
Peña, recordó que hace año un país como Estonia quedó bloqueado por ciberataques al fallar sus infraestructuras críticas más importantes “En España vamos a un entorno digital cada vez más importante, no en vano a partir de octubre del 2018 el trato que tengan las diferentes administraciones con el ciudadano será cien por cien electrónico», comentó.
Respecto a actitudes como la llamada “desconexión digital”, es decir, alejarse de todo aquello tecnológico, nuestro interlocutor cree que hay más desventajas que oportunidades. “En un entorno seguro, auditado de forma externa de forma continuada, las capacidades de trabajo crecen en toda la empresa a todos los niveles por la gran conectividad que existe”.
Desde MNEMO se es consciente que los poderes públicos deben liderar este proceso de transformación digital al que se someten las empresas para seguir siendo competitivas e indican que sería bueno ayudar al fomento de lo digital con políticas que ofrecieran ayudas o beneficios fiscales a empresas que apuesten por un entorno seguro.
Para los expertos de esta consultora, hay diez vulnerabilidades que las empresas deberían saber gestionar mejor. Por orden de importancia éstas son las más importantes:
1-Fugas de información a través del uso descuidado de pendrives, tablets y teléfonos
Los ciberataques son prácticamente inevitables. Otra cosa son sus efectos que con una buena política preventiva se pueden mitigar. En cualquier aparato tipo pendrive, Tablet y teléfono resulta necesario explicar al usuario los riesgos que conlleva un mal uso o pérdida del dispositivo.
2-Robos de información y fraudes
La consecuencia más directa de esas fugas de información es que una parte de esa información vaya a manos ajenas y en otras ocasiones se intente realizar algún fraude con el objetivo de rentabilizarlo económicamente. Con una buena política preventiva frente a los ciberataques estas pérdidas pueden llegar a ser escasas.
3-Falta de formación y concienciación
Aun no somos conscientes que nos abocamos a ese ecosistema digital. En muchos casos la propia pyme no ha advertido los cambios que llegan. Sin embargo los cambios tecnológicos están ahí, muchos de ellos pendientes de alguna regulación normativa”
4-Inexistencia de Planes de gestión de los incidentes de seguridad
Esta es otra consecuencia de esa falta de cultura de seguridad informática de muchos de nuestros empresarios. No se forma ni hay conciencia del problema, con lo cual tampoco hay una previsión de contar con un protocolo de actuación frente a estos casos
5-Muy baja inversión en ciberseguridad
Es el problema que hemos detectado. Las empresas no conocen realmente los riesgos a los que están expuestos. En muchas ocasiones piensan que hay que hacer inversiones costosas y prefieren no hacer nada. En otras ocasiones, se piensa que nunca se va a sufrir un ciberataque, con lo cual no hay medios para afrontar este problema.
6-Falta de planificación de continuidad de negocio
Al final se reduce a una falta de planificación, tanto en el negocio de la propia empresa como en las medidas que hay que poner en marcha para protegerlo de cualquier elemento ajeno nocivo a la empresa
7-Contraseñas débiles y accesos a servicios compartidos sin permisos
Fruto de esta falta de conocimiento del problema y de la planificación antes aludida se generan que las contraseñas y los accesos a los servicios compartidos no estén bien definidos. En muchos casos no hace falta que todo el mundo conozca todo. Pero hay que definir una estrategia en este sentido que no siempre existe en las empresas
8- Incapacidad de detectar un ataque de forma rápida y autónoma
No se tienen los recursos adecuados para detectar un ciberataque. Eso sucede en muchas ocasiones. Realmente ahora no es tan caro tener un servicio de estas características u optar por la externalización, cuestión que hacen muchas empresas.
9-Utilización de sistemas operativos caducos Windows XP y servidores con Windows server 2003
Los sistemas operativos han avanzado mucho en estos últimos años. Siempre es bueno poder contar con las últimas herramientas que a nivel de prestaciones y de seguridad siempre son mejores que las anteriores.
10-Uso de software creado a medida sin suficientes garantías de seguridad
En otras oportunidades, la empresa prefiere crear su software propio para poder trabajar de forma adecuada. No parece que sea una mala solución, pero cualquier herramienta que se desarrolle debe tener las medidas de seguridad adecuadas para evitar un ciberataque que provoque a la vez un robo de información.
Noticias Relacionadas:
