Antonio Gil Moyano, auditor de seguridad de la información en Softcom, es Lead Auditor y Experto en Seguridad de la Información ISO 27001:2013 y miembro de INCIBE, ISMS Forum Spain y AEI Ciberseguridad. Además de presidente y perito en la Asociación de Peritos Judiciales Tecnológicos de Andalucía (APTAN), Chief Security Envoy en ElevenPaths, asesor de ciberseguridad y  desarrollo de negocio para startups en El Cubo de Andalucía Open Future y director del Máster de Ciberseguridad en Loyola Andalucía.

A continuación, un breve resumen de la intervención de Antonio Gil en el Congreso Internacional de Seguridad Informática en los Negocios, con la conferencia  “¿Está a salvo tu negocio?”.

Breve introducción a la ciberseguridad

Para saber si un negocio está a salvo, es fundamental saber exactamente qué es y qué implica el término seguridad de la información.

La norma ISO 27001 define la seguridad de la información como la preservación de los siguientes aspectos fundamentales y que estos deben cumplir con la legislación vigente  LOPD, LSSI, etc…

  • Confidencialidad: proteger la información de la divulgación malintencionada o accidental.
  • Integridad: asegurar que la información es completa, exacta y está protegida de modificaciones no autorizadas.
  • Disponibilidad: garantizar que la información está disponible dónde y cuándo se necesite.

Análisis de la situación actual. Diagnóstico y amenazas recientes

Tras la pandemia, han incrementado el 72% de los ciberataques, viéndose también afectados los proveedores de servicios gestionados de seguridad (MSPs).

Esto se debe a la inminente imposición del teletrabajo en empresas que no estaban preparadas para ello. Dándose casos donde los empleados usan dispositivos personales, que comparten con otras personas del hogar, y que no cuentan con las medidas de seguridad necesarias para reforzar la vulnerabilidad a las que están expuestos.

“El 95% de los ataques en la nube son responsabilidad de los usuarios”

Esta situación actual que perjudica a los cibernautas origina, a su vez, mayores oportunidades de ataque para los ciberdelincuentes.

“Se calcula que el coste previsto de los ciberdelitos en el mundo será de 6 billones de dólares en 2021”

Además, se prevé que el presupuesto global invertido en ciberseguridad, desde 2018 hasta 2021, superará el 1 billón de dólares. Un claro ejemplo de ello es la inversión realizada por Microsoft, de más de 1.000 millones de dólares anuales, en la investigación y en el desarrollo de ciberseguridad.

Medidas recomendadas para la protección de datos

Algunas medidas, recogidas en el Reglamento Europeo General de Protección de Datos, que deberían considerar las empresas, ya no por cuestiones legales sino por razones técnicas, son:

  • Implantar sistemas de cifrado y de doble factor de autenticación: incluso en aquellos datos que sean de nivel básico, si el riesgo así lo exige.
  • Comunicar las brechas de seguridad que pudieran producirse: extrayendo, constantemente, y registrando la información sobre los intentos de intrusión y los accesos no autorizados.
  • Comunicar los detalles del fallo a las personas cuyos datos hayan podido verse afectados.
  • Acreditar su cumplimiento mediante un Sistema de Gestión de Seguridad de la Información.
  • Incorporar a sus plantillas la figura del Delegado de Protección de Datos (DPO) para que vele por el cumplimiento de la ley.

La ciberseguridad en el negocio digital

Retorno de la Inversión en Seguridad de la Información (ROSI)

El ROSI permite justificar, de manera cuantificable, la inversión realizada en la seguridad de la información. Es por ello que no se debe considerar como un gasto sino como una acción rentable, en la que se debe valorar distintos aspectos:

  • La identificación de los núcleos del negocio: ¿qué departamentos de la empresa son los más estratégicos para la continuidad del negocio?
  • Los costes materiales: ¿qué activos son los más críticos dentro de la empresa y cuáles serían los costes de su sustitución o reparación si estos se viesen afectados?
  • Los costes humanos: ¿qué cantidad de recursos humanos sería necesario para la atención y mitigación del incidente y el coste que este supondría?
  • Los costes legales: ¿cuáles serían las penalizaciones legales y contractuales?
  • Las pérdidas directas: ¿cuál sería el volumen de facturación no percibido, durante el tiempo que los equipos y procesos de la empresa hubiesen estado afectados por el incidente?
  • La reputación: ¿cómo se vería afectada la reputación e imagen de la empresa?, ¿cómo repercutiría esto en su volumen de facturación?

Consejos para un teletrabajo más seguro

Debido a la situación actual, en la que las empresas han tenido que ajustarse a las particularidades del teletrabajo, es fundamental que se garantice la seguridad de los dispositivos y de la información.

Por eso no se debe minusvalorar cualquier tipo de acción que pueda evitar o mitigar los riesgos:

  • Cifrar todos los dispositivos: incluido los personales ya que pueden contener el correo corporativo.
  • Instalar las actualizaciones del sistema.
  • Instalar softwares que garanticen la seguridad.
  • Utilizar diversas contraseñas: que sean seguras, combinen mayúsculas y minúsculas y contengan distintos caracteres.
  • Contar con una conexión segura VPN.
  • Identificar a todos los asistentes de las reuniones online: siendo conscientes de la vulnerabilidad de algunas plataformas.
  • Identificar aplicaciones maliciosas, prestando especial atención al medio por el que acceden.

“El phishing es principal vector de ataque para las empresas”

Sistema de Gestión de la Seguridad de la Información (SGSI)

La constante evolución de las amenazas provoca que la protección perfecta sea inalcanzable. Por lo que evitar sufrir un ciberataque no debería ser la prioridad sino el disponer de soluciones cuando esto ocurra.

Para abordar la ciberseguridad en la empresa, lo idóneo es contar con un Sistema de Gestión de la Seguridad de la Información (SGSI). La asidua supervisión del mismo es fundamental ya que, actualmente, son varios lugares donde se pueden almacenar datos (data center, nube, equipos, etc).

La facilidad de mezclar dispositivos personales con corporativos hace que sea primordial concienciar y formar al empleado sobre qué acciones son las permitidas.

Con el fin de evitar sorpresas por desconocimiento, es importante ser precisos y cerciorarse de que haya un perfecto entendimiento entre ambas partes.

Sin embargo, hay que ser conscientes de que los empleados pueden necesitar de un periodo de adaptación, principalmente aquellos con diferencias culturales.

Organizado por la Universidad de Ducens en México. Se celebró el 5 y 6 de diciembre.

Más información en https://universidadducens.edu.mx/noticias/congreso-internacional-de-seguridad-informatica-en-los-negocios