¿Realmente somos actores de la seguridad y la (in)seguridad informática?

    Acepto y he leído la política de privacidad.Ver política.
    Responsable tratamiento: ESCUDA SGSI, S.L.
    Finalidad: venta de bienes, servicios y comunicación comercial.
    Derechos: entre otros, acceso, rectificación, supresión a escuda@escuda.es

    Acepto recibir información con fines publicitarios y de prospección comercial, incluido el envío de boletines y noticias (email, SMS y cualquier otro medio electrónico) sobre promociones y novedades de ESCUDA SGSI S.L. relacionados con servicios informáticos y ciberseguridad.

    ¿Realmente somos actores de la seguridad y la (in)seguridad informática?

    En publicaciones anteriores hemos estado hablando de las vulnerabilidades de las empresas, grandes y pequeñas, del tipo de ataques que pueden sufrir y de las diversas consecuencias. Todas estas informaciones siempre vistas desde el punto de vista de la empresa, parecen olvidar que las empresas las conformamos nosotros, las personas.

    La respuesta a la pregunta del título es sí, efectivamente somos actores tanto de la ciberseguridad cono de la ciberinseguridad de nuestra empresa.

    errores humanos ciberseguridad

    Muchos de los ciberataques que se han ido produciendo en los últimos meses o años se han dado porque alguien ha dejado abierta “la rendija” por la que se han colado los ciberdelincuentes. Al igual que ocurre con nuestra casa: si dejamos “una puerta sin cerrar o una ventana sin el pestillo puesto, los ladrones la encontrarán.”

    En el último año, Los errores de los empleados, ya sea inducidos por ingeniería social (el phishing, el spoofing) o por otra razón, han causado el 28% de las intrusiones que han dado pie a ciberataques. Ni qué decir si además le sumamos el 23% de entradas a partir de los dispositivos móviles de los empleados.

    Causas ciberataques

    Resumen de los ciberataques 2020 – 2021

    Basta con abrir un diario cualquiera, digital o papel, para ver noticias relacionadas a ciberataques ocurridos en diversos países y habiendo causado diversidad de consecuencias negativas, tanto en las propias organizaciones como en sus clientes y proveedores, por lo que no perderemos el tiempo haciendo aquí una lista, que nunca será completa.

    Sin embargo, lo que sí presenta cierto interés es tomar conciencia que la gran mayoría de esos ciberataques, ocurridos contra empresas grandes y pequeñas, pudieron tener éxito debido a las debilidades humanas, es decir de nosotros, los trabajadores de nuestras empresas, como bien ilustra este gráfico:

    Causas ataques ransomware

    ¿Dónde y cómo se puede filtrar la información?

    Según un estudio de McAfee, el 53% de los robos de datos están causado por el propio personal de las empresas víctimas, ya sea de forma premeditada o a causa de algún descuido o distracción.

    Si nos fijamos más en la pérdida o exfiltración de datos, vemos que se pueden dividir en dos tipos:

    • Robos producidos por medios electrónicos, en su mayoría a través de ingeniería social (el 60%)
    • Pérdida o robo de soportes físicos desprotegidos (sin claves ni encriptación), tales como USB, dispositivos corporativos (el 40%)

    Estas cifras nos confirman la gran importancia que tiene la concienciación de los equipos, unidas a medidas más técnicas, como son la encriptación de los dispositivos, la autenticación multifactorial, los backup de datos, etc.

    ¿Qué consecuencias puede tener un robo de datos para mi empresa?

    Según cifras de 2020, un ciberataque puede llegar a paralizar hasta el 30% de la actividad de la empresa víctima, además de causarle numerosas otras afectaciones.

    Las consecuencias más relevantes de sufrir un robo de datos suelen ser:

     

      1. Pérdida de la información. Nuestra empresa se puede encontrar ante un ataque que le impida recuperar la totalidad de sus datos, como patentes, documentación técnica, procesos, facturas, etc. Esto acarrea una pérdida económica y dificultad para seguir operando “como antes”.

     

    2. Pérdida de negocio. Un ciberataque puede suponer la parada en seco de todas nuestras actividades, a la espera que se puedan restablecer los sistemas TI. Lo que podría llevar a la empresa a la quiebra.

     

    3. Dedicación de Recursos Humanos. Se calcula que el tiempo medio necesario a una empresa para recuperarse de un ciberataque es de 6 meses. Esto supone un elevado coste humano (a menudo oculto), sobre todo para las PYMES.

    4. Responsabilidad ante terceros (clientes, proveedores). No podemos obviar las afectaciones a terceros para quiénes y con los que trabajamos, como: incumplimiento de obligaciones (pagos o proyectos), perdida de información, otros perjuicios.

    5. Perdida de reputación y de clientes. El robo de datos, además de su coste económico evidente (extorsión, paralización de la actividad, …) conlleva una clara perdida de reputación, que puede llegar a ser fatal.

    Principio del “Security by design” (Seguridad desde el diseño)

    Este es un tema que ha tomado una nueva relevancia, en particular para los departamentos de RRHH, con la llegada del RGPD. De hecho, el “Privacy by design” resulta ser una prolongación de la idea establecida por el RGPD del “Security by design” un principio esencial (Art. 5 f), que todas las empresas debemos tener en cuenta.

    La idea del “Privacy by Design & Default” consiste en que, desde su concepción y por defecto, el tratamiento de los datos debe presentar elevadas garantías de seguridad (RGPD – Art. 25). Garantías sobre las que debemos aportar pruebas. Así, desde el momento en que desarrollamos una política de seguridad y el sistema que la acompaña, tengamos en cuenta herramientas y sistemas destinados a proporcionarnos esas mismas garantías de seguridad de alto nivel.

    El Art. 32 del RGPD también establece que “… los actores deben poner en marcha medidas técnicas y organizativas adaptadas a los riesgos y documentarlas”. Lo que conviene igualmente hacer respecto de la seguridad TIC y la ciberseguridad de la empresa.

    Por último, tanto respecto de la protección de los datos, como de los incidentes de ciberseguridad coinciden en lo establecido en los Arts. 33 y 34 del RGPD, que obliga a notificar a la entidad responsable (AEPD), cualquier incidente importante que vulnere la seguridad, en un plazo máximo de 72 horas.

    Si nos fijamos, nos encontramos ante un posible cruce entre lo jurídico y lo informático en la empresa…

    Implicar a los Trabajadores en la ciberseguridad

    Por todo esto resulta importante implicar a todas y todos los trabajadores, de todos los niveles jerárquicos, de la empresa. Esto se logra gracias al desarrollo de una cultura de la ciberseguridad, que comienza con la redacción y puesta en marcha de un Plan de Ciberseguridad para nuestra empresa. Este plan puede ser transmitido a los empleados a través de los siguientes elementos:

    • Formación y concienciación: El personal debidamente formado corre menos riesgos de caer en las trampas, cada vez más sofisticadas de los ciberdelincuentes. Además, la formación permite conservar los soportes y, en caso necesario, volver a dar un recordatorio de las nociones aprendidas.
    • Responsabilizar: Cada vez más queda claro que las formaciones deben ser interactivas, es decir que deben presentar casos reales para su estudio, trabajar sobre nociones y hechos concretos. Sólo así nos aseguramos de la toma real de conciencia respecto de la importancia de estos temas, por parte de los trabajadores y que, además, se sientan involucrados.
    • Probar, testear: A pesar de las diversas simulaciones realizadas, de phishing (por ejemplo), en numerosas empresas, con personal concienciado, sigue habiendo un 30% (1/3) de trabajadores que tienen reacciones deficientes ante dichas simulaciones, mostrando posibles debilidades ante un ataque. Esto confirma que la labor de concienciación no solo es algo que se pueda resolver en una única sesión.
    • Altas de personal (Onboarding): Es necesario informar todo nuevo integrante de la empresa respecto de los diferentes ciberriesgos a los que se puede ver enfrentado.

    Teniedo todo esto en cuenta, resulta siempre útil establecer medidas que contemplen el “legal by design”, que faciliten el aprendizaje y permitan fijar los conceptos, sobre todo porque, a menudo, una imagen o una experiencia (i.e. simulación) vale más que mil palabras.

    ¿Es obligatorio formar al personal en ciberseguridad?

    Desde un punto de vista legal, no lo es. Sin embargo, como la empresa está obligada a establecer medidas de protección, por rebote, esto la debería llevar a tener que formar a sus empleados. Es aquí donde los RRHH (Recursos Humanos) entran a formar parte, como miembros de pleno derecho, del equipo encargado de la implantación de las medidas de ciberseguridad en la empresa. Pero esta historia le veremos en la próxima publicación…

    En ESCUDA, como empresa especializada en soluciones de seguridad TIC y ciberseguridad, te podemos ayudar a concienciar a tus equipos, así como con tus formaciones en ciberseguridad. No dudes en contactarnos llamado al 931 931 848 o completando este formulario, estaremos encantados de atenderte.

     

    Más información:

    Las empresas españolas, las más ciberatacadas en 2020

    Qué hacer si somos víctimas de un ransomware

    Informe de Ciberpreparación de Hiscox 2021

    Las empresas españolas se quedan ‘rezagadas’ en el ámbito de la ciberseguridad

    Observaciver

    Los 10 ciberataques de phishing en los que más suelen «picar» los empleados

     

    #escuda #ciberataque #ciberseguridad #cybersecurity #phishing #spoofing #Piratasinformaticos #Culturadeciberseguridad #Plandeciberseguridad #concienciación #ciberiseguridad

    Puede que estos artículos te gusten

    ¿Te ha gustado este artículo?

    Comparte esta publicación con quien tú quieras