domingo, 22 de mayo de 2016

Los empleados, la principal puerta de entrada de los ciberataques


Además de la inversión en sistemas técnicos de protección, la concienciación de la plantilla es una pieza clave para mantener la ciberseguridad de las compañías.

"El eslabón más débil en este momento son los empleados de las compañías". Así explica José María Rosell, CEO de S2 Grupo, compañía 100% española especializada en ciberseguridad, cuál es el talón de Aquiles de las empresas a la hora de protegerse de los ciberataques. Rosell se reafirma en la necesidad de "crear una conciencia colectiva de la magnitud del problema", a pesar de que las empresas están cada vez más protegidas técnicamente.

La peor amenaza, a su juicio, es esta falta de conciencia y el pensamiento generalizado de que uno mismo "no es importante", ya que la importancia no depende de la persona sino de sus circunstancias y la relación que tenga con la empresa en cuestión. "Los ciberataques no se gestan atacando al centro del objetivo, sino accediendo a su entorno de una forma estudiada y sofisticada", aclara.

La inversión en seguridad de una compañía debería ser proporcional a la importancia del sector al que pertenece, que determina su grado de exposición. Todos aquellos que manejan información sensible y gestionan infraestructuras esenciales son susceptibles de recibir ciberataques: la Administración Central del Estado, energía, banca, transporte... Otras empresas muy expuestas son aquellas que trabajan con patentes o I+D, y es que "es más fácil robar que investigar".

Del último estudio publicado por S2 Grupo se desprende que sólo el 20% de los ataques requiere conocimientos profundos de hacking y el 84% se explotan de forma remota, es decir, los atacantes no necesitan estar físicamente cerca de la industria que quieren hackear. ¿De dónde vienen, entonces, estos ataques? "Fundamentalmente de grupos organizados que buscan beneficio económico o de los propios Estados", señala Rosell.

En este punto, hay que diferenciar entre el cibercrimen y el espionaje industrial. El primero abarca actividades como la trata o el tráfico de drogas y puede combatirse con acuerdos entre Estados para el intercambio de información; mientras que el segundo enmarca el espionaje "de toda la vida", difícil de combatir porque los Estados se espían entre ellos y "priman sus propios intereses".

ESPAÑA Y LEGISLACIÓN

España es el tercer país del mundo que más ciberataques recibe, sólo por detrás de Estados Unidos y Reino Unido. De este dato conviene hacer una doble lectura: "por una parte, partimos de la base de que todas las empresas son atacadas y, por tanto, significa que detectamos esos ataques. Por otra, significa que es un país con mucho que robar. ¿Que si es fácil? No lo creo", dice Rosell.

La Unión Europea está muy preparada en materia de estratégica y seguridad. Se han llevado a cabo diferentes normativas, como la Directiva de Infraestructuras Críticas o el Network Information Service (NIS), que, a su vez, se han traducido en leyes y reales decretos aprobados en España. "En materia legislativa, España ha hecho sus deberes pero falta aplicar esas medidas", afirma Rosell.

TRANSFORMACIÓN DIGITAL

El lugar que ocupa la seguridad en la transición de las compañías al modelo digital es primordial. "No puede haber transformación digital sostenible sin ciberseguridad, las empresas tienen que incluir la seguridad como factor de diseño e invertir en ella", señala Rosell. De no ser así, las compañías se enfrentarían a un "escenario catastrófico " que podría revertir la situación y hacer retroceder el desarrollo.

Uno de los sectores que está a la vanguardia de la transformación digital es el de la banca. "Es uno de los que mejor preparado está en términos de seguridad, por la propia idiosincrasia del negocio". Las entidades financieras han apostado fuerte por la transformación digital, con "una gran inversión y muchas salvaguardas" que aseguren que la información que manejan, totalmente confidencial, esté a salvo.

"SI NO QUIERES QUE ALGO SE SEPA, NO LO SUBAS"

Las redes sociales y las compañías tecnológicas también presentan "lagunas" en materia de seguridad. Recientemente, Facebook ha pagado 10.000 euros a un niño que hackeó Instagram, propiedad de Zuckerberg desde 2012. "Las redes sociales no tienen la seguridad como factor de diseño, lo que priman es la usabilidad", afirma Rosell. Además, el usuario pierde el control de todo lo que publica en las redes, así como de la información que aloja en la nube. "Todo lo que se sube se geoposiciona, es muy fácil acceder a los datos personales y a las pistas sobre el usuario que permiten crear un perfil físico del mismo. Si no quieres que algo se sepa, no lo subas", sentencia Rosell.

PAULA G. GARCÍA 

No hay comentarios:

Publicar un comentario