La sociedad es consciente de las implicaciones que tiene usar las nuevas tecnologías de cara a su seguridad. Han aceptado ese precio a pagar. Si llevamos esta misma situación a la industria, ¿pueden las organizaciones permitirse fallos en materia de ciberseguridad para empresas? ¿Qué implicaciones puede tener esto para los negocios, los clientes o los empleados? No te pierdas este artículo donde son los expertos quienes nos ponen al día sobre cómo hacer una auditoría de ciberseguridad. ¡Empezamos!
También puede interesarte: Master en Ciberseguridad
Índice de contenidos
Por qué las empresas necesitan hacer una auditoría de ciberseguridad
Primero de todo, y para saber si la seguridad informática para empresas es un tema en la mesa de las organizaciones, debemos preguntarnos por qué este ámbito debería preocupar a las instituciones.
Uno de los motivos es la Transformación Digital. Alejandro Guasch, profesor del Master en Blockchain y Fintech con más de 21 años de experiencia en el sector IT, lo explica así: “cada vez más los activos de las empresas de valor son digitales y su modificación o/y robo puede conllevar grandes gastos o incluso en algunos casos la desaparición de la misma”.
El motivo financiero es el de mayor peso cuando una empresa se adentra en el mundo de la digitalización. Omar Jesús Orta, profesor de la escuela y Director de Ciberseguridad en Plexus Tech, nos lo explica: “las empresas son conscientes de que la ciberseguridad es un riesgo importante. Incluso, algunos sectores identifican la ciberseguridad como su principal riesgo externo. El principal problema se encuentra en que al momento de invertir no hay una estrategia concreta y los equipos de ciberseguridad no logran “vender” a los altos directivos los beneficios de la inversión para el negocio. Por lo tanto, la ciberseguridad no logra alcanzar el nivel sugerido en la “mesa de los mayores”».
Ciberseguridad: el principal riesgo externo de las empresas
Visto que las empresas deben preocuparse por la ciberseguridad si quieren crear un negocio sostenible en el tiempo, ¿existen otro motivos por los que deberían integrar y evitar las amenazas que trae consigo la ciberseguridad?
Para Omar la preocupación por la seguridad informática para empresas debe ir ligada a la digitalización de la misma: “las empresas están en una era de Transformación Digital, donde están adaptando sus modelos de negocio para ser más eficientes, mejorar la producción y ser competitivos en un mercado influenciado por los nuevos clientes “nativos digitales”. Esta “transformación” trae como consecuencia el uso de nuevas tecnologías en los diferentes procesos productivos de las empresas. Desde el uso de dispositivos móviles para estar más cerca de la información y poder acelerar la toma de decisiones, pasando por nuevos canales digitales (redes sociales, internet, aplicaciones, etc.) para acercarse a los clientes y poder conocerlos mejor, hasta el uso de RFID o bombillas conectadas a internet para optimizar la producción”.
Entonces, ¿cuándo surge el conflicto con la seguridad informática para empresas? Para Omar, en un primer vistazo, “el uso de nuevas tecnologías es interesante y parece la respuesta a las necesidades de esta nueva revolución “digital” del mercado. Y, ¡lo es! El problema es que, al adoptarlas, las organizaciones están ampliando la superficie de ataque al contar con nuevas “things” conectadas a la red y sin mecanismos de seguridad apropiados”.
¿Cómo hacer una auditoría de ciberseguridad?
El objetivo de una auditoría de ciberseguridad es saber las principales vulnerabilidades de una empresa, esta puede englobar la seguridad física, la de los sistemas de información o ambas.
Guasch recomienda empezar por un análisis de la situación, «de allí saldrán unos objetivos y un inventario de activos y seguirá una planificación utilizando herramientas de análisis, dependiendo de los resultados se tomarán medidas de prevención, análisis o mejora».
De allí saldrán las incidencias y las vulnerabilidades y la última fase es realizar las mejoras, como si de un proyecto se tratara, empezando por aquellas que con poco conseguimos reducir más el riesgo. «Los riesgos cambian, los sistemas cambian, por lo tanto se deben hacer auditorías periódicas», añade. En muchas empresas como la banca, estas son obligatorias por cumplimiento normativo.
Para hacer una auditoría de ciberseguridad, se debe concretar qué tipo de auditoría se desea. Los tipos son:
Auditoría de caja negra
En la auditoría de ciberseguridad de caja negra el auditor no conoce ninguna característica de la infraestructura interna de la empresa o la organización. Es decir, no sabe cómo están organizados interiormente los sistemas y redes.
Por tanto, la primera tarea del auditor (o hacker ético) será la de recopilar cualquier tipo de información que se encuentre de forma pública y accesible sobre el objetivo, y después tratará de encontrar y explotar vulnerabilidades de los sistemas y servicios de la empresa objeto.
Auditoría de caja blanca
En la auditoría de ciberseguridad de caja blanca el auditor deberá adquirir el rol de un usuario de la empresa, el cual dispone de acceso a los sistemas internos o a la totalidad de los datos críticos de ésta.
Auditoría de caja gris
Por último, la auditoría de ciberseguridad de caja gris permite al auditor tomar el rol de un cliente, un empleado con pocos o ningún privilegio, o un empleado de una ubicación concreta. Por ejemplo, de un empleado del área de soporte técnico.
El experto Alejandro Guash, diferencia esta preocupación en pequeñas o grandes empresas: “las pequeñas y medianas empresas menos, pero las grandes cada vez están más concienciadas. Muchas empresas, independientemente del tamaño, y dependiendo del sector consideran que esto no va con ellos. Quizá no sean objeto de un ataque APT (Amenaza Persistente avanzada), pero sí que puede entrar un ransomware (los discos duros PC’s están encriptados a menos que pagues un rescate), que pueden ocasionar graves pérdidas. Hoy en día pocas empresas no dependen de la informática”.
Otra variable importante en la seguridad informática para empresas es el ciberdelito. Omar Jesús Orta ahonda en el tema: “el ciberdelito se ha convertido en uno de los negocios más rentables del mundo. Ya mueve más dinero que las drogas. Prueba de ello es que el 95% de los ciberataques están motivados directamente por dinero y la información empresarial. Es decir, información de usuarios, cuentas bancarias, planes estratégicos, etc. tiene un coste muy alto en este mercado. Lo preocupante es que no sólo son objetivo las grandes empresas. Los ciberdelincuentes miran toda la cadena de suministro de estas buscando el eslabón más débil para atacar. De allí a que las pymes sean el mayor objetivo de ciberataques en España”.
“En medio de este escenario, en el que gracias a la transformación digital se amplía la superficie de ataque y donde el crimen organizado ha encontrado en los ciberataques un negocio rentable, se encuentran las empresas. En medio de una “tormenta perfecta” que debe preocuparles y sobre la cual tendrán que tomar acciones para prevenir pérdidas de clientes, impacto en la marca o incluso pérdidas económicas”.
Peligros en materia de ciberseguridad para empresas
Todos somos conscientes de los ordenadores y móviles son fácilmente hackeables. Nos enfrentamos constantemente al robo de información personal. En el caso de las empresas, ¿a qué peligros se enfrentan en materia de ciberseguridad?
“Las empresas se enfrentan a riesgos importantes que ponen en peligro la salud financiera de estas por el robo de información confidencial a través de técnicas de ataque dirigido. Por ejemplo, el phishing, es uno de los vectores más típicos para obtener información de usuarios. Y, a partir de allí, obtener acceso a sistemas corporativos con el objetivo de acceder a información confidencial de las empresas. Malware móvil, los dispositivos móviles con información corporativa son ya el estándar en las empresas. Este vector de ataque permite acceder al dispositivo móvil de la víctima y obtener información corporativa. También es usual ver ataques contra la “inocencia” de los usuarios y obtener acceso a los sistemas corporativos. Para ello, los ciberdelincuentes suelen hacer uso de maniobras de ingeniería social”, explica Omar Jesús Orta, experto en transformación digital.
Además, añade: “por otro lado, cuándo las empresas buscan los nuevos canales digitales como medio para acercarse a sus clientes, solemos ver ataques contra la marca/imagen corporativa. Para ello, los ciberdelincuentes suelen utilizar la difamación a través de bulos en internet o redes sociales. Ataques contra sus clientes finales para desprestigiar la marca, etc., que intentan desprestigiar a las empresas ante sus clientes y generar pérdidas de estos.”
Robo de activos digitales
Por su parte, Alejandro Guasch continúa en esta línea destacando que “las empresas se enfrentan a que le pueden ser robados sus activos digitales para venderlos a la competencia. Y, así, esta beneficiarse de los elementos diferenciales y poder disponer de una ventaja competitiva. Esa fuga de información puede venir de personal interno. De hecho, la mayoría de veces es así. También se pueden ver dañadas por un ataque de ransomware, tal y como hemos comentado anteriormente. Entrada de malware que puede utilizar el cómputo de los ordenadores para minar criptomonedas».
«Es obvio que las empresas cuando no cuentan con esta seguridad deben hacerse cargo e invertir en esta infraestructura. Sin embargo, cuando ya se sienten seguras continúan enfrentándose a estos problemas. Tal y como dice Omar: “otro de los peligros está cuando las empresas se sienten seguras, porque cuentan con mecanismos avanzados de defensa, pero no miran sus proveedores. Por eso, los ciberdelincuentes están mirando toda la cadena de suministro buscando el eslabón más débil donde atacar y luego ir ganando acceso”.
Cumplimiento normativo
“Otro punto por considerar se presenta en cierta forma como un riesgo para el negocio es a su vez la solución a otros problemas. Hablo del cumplimiento normativo. No contar con controles suficientes en materia de ciberseguridad puede desencadenar en amonestaciones importantes y multas considerables para el negocio”, concluye Omar.
“Primero por establecer unas políticas de seguridad y seguir una hoja de ruta fruto de un análisis de riesgos. Esto nos dará el orden de por dónde empezar y dependerá de cada empresa”, establece Alejandro. Añade: “en todos los casos un buen gobierno de la seguridad y concienciación de los trabajadores son elementos comunes básicos en materia de ciberseguridad”.
Retos, fraude y riesgos, la ciberseguridad 2.0
La falta de educación en materia de ciberseguridad
La educación en materia de ciberseguridad es un punto en común entre los dos expertos invitados. Omar, continúa: “creo que las empresas deben empezar por educar y concienciarse en materia de ciberseguridad. Empezando por sus directivos y luego el resto de los empleados. A través de un plan de concienciación dirigido a generar un entorno de resiliencia y construir una primera barrera de defensa contra los ciberdelincuentes.
“Y antes de empezar a invertir se debería definir un modelo estratégico de ciberseguridad. Es decir, un Plan Director que permita identificar los controles necesarios a desarrollar y realizar así una inversión sana en materia de ciberseguridad. Monitorizar todos los medios o “things” (redes IT, OT e IoT). Adecuar sus procesos a los marcos normativos aplicables”.
Consejos para mejorar la seguridad informática para empresas
Ahora nos enfrentamos al reto de conseguir mejorar la seguridad informática para empresas. Uno de los puntos clave para Alejandro Guasch es la concienciación de los trabajadores: “tiene más efecto de protección en materia de la ciberseguridad que complejos elementos de seguridad”.
Otro de sus consejos es: “si se compran equipos de seguridad tienen que ir acompañados de personal muy cualificado para adaptarlos a la red y que sean eficaces. Con lo cual, se tienen que tener en cuenta todos estos gastos, a la vez que las licencias que estos equipos precisan. En este sector, unos 3 años de coste de licencias pueden equivaler al coste inicial del/os equipo/s”.
“Por otro lado, y ya lo he comentado anteriormente, es muy importante seguir el resultado de un análisis de riesgo. Tratarlo como cualquier otro proyecto y no dejarse “seducir” por los productos que los comerciales y pre-ventas de las empresas de seguridad nos enseñan”.
Por último, Omar, aconseja a las empresas: “entender que la ciberseguridad no puede resolverse sólo desde dentro. Se debe buscar un partner especializado que le genere confianza y lo acompañe en el desarrollo de su modelo estratégico de ciberseguridad. También preocuparse por su imagen en los nuevos canales digitales y por toda su cadena de suministro y concienciar a todo el personal (foco en los directivos)”.
¿Te ha parecido útil este artículo sobre cómo hacer una auditoría de ciberseguridad? Déjanos tus comentarios y ¡comparte!
Y si quieres convertirte en un experto en seguridad informática para empresas, fórmate con nuestro Master en Ciberseguridad. Aprenderás, entre otras cosas, a combatir los principales riesgos digitales para la continuidad y e crecimiento de las empresas. ¡Te esperamos!