25 Mar 21
La palabra ciberseguridad está de moda. La habrás visto mucho en prensa, sobre todo a raíz de ataques a empresas e instituciones. Son cada vez más frecuentes. Los vemos contra instituciones, administraciones públicas, empresas de todos los tamaños y hasta contra hospitales. Sus consecuencias pueden ser devastadoras para cualquier organización.
De forma sencilla, en Transparent Edge definimos la ciberseguridad como la protección de la infraestructura computacional y todo lo vinculado a ella, con especial atención a la información contenida en los ordenadores y la que circula a través de las redes de ordenadores y teniendo en cuenta el papel que juegan las personas en ese esquema.
La ciberseguridad es el conjunto de medidas y estrategias que se implementan en los dispositivos electrónicos para proteger la información y los datos que contienen.
El objetivo de la ciberseguridad es crear una “capa protectora” para evitar que actores ajenos a nuestra empresa entren sin permiso a robar o hacer mal uso de nuestra información.
Las medidas de ciberseguridad de infraestructuras críticas, empresas, gobiernos y demás organizaciones quedan rápidamente obsoletas por ciberdelitos cada vez más sofisticados y frecuentes, cuyas consecuencias son pérdidas económicas, tensiones geopolíticas o inestabilidad social.
Según el último Dossier de Indicadores sobre Ciberseguridad y Confianza Digital en España y Europa (mayo 2020) del Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI), solo un 34,5 % de las empresas españolas contaban con documentación sobre seguridad TIC y solo el 30 % definieron o revisaron su política de seguridad TIC en los dos años previos al estudio. Las pymes, mayoría en el tejido empresarial español, van además más retrasadas que las grandes empresas. Solo un 29 % había definido su política de seguridad TIC en los dos años anteriores (frente al 65 % de las grandes) y solo el 32 % tenía documentación sobre seguridad TIC (un 72 % en las grandes).
El Dossier del ONTSI indica además que entre las empresas españolas que poseen documentación sobre seguridad TIC, la menos frecuente es la formación a los empleados (59,6%). Gran carencia porque si la concienciación no es una parte importante de la inversión en ciberseguridad, es posible que el resto de los esfuerzos económicos no sirvan de nada.
Pongamos que una organización (empresa, institución, administración pública, etc.) invierte en levantar técnicamente un sistema de seguridad excelente. Esto quiere decir, entre otras cosas, que se han analizado y subsanado las vulnerabilidades y fallos técnicos y que se cuenta con un buen procedimiento de actualización de los que vayan surgiendo. No hay sistema seguro al 100 %, pero pongamos que en este del que hablamos es muy difícil entrar. La situación ideal de toda organización, ¿verdad? Pues no. En el proceso ha quedado olvidada una pieza elemental: tú, es decir, los trabajadores. Si los ciberdelincuentes logran que abras el email que te van a mandar y que pinches en el enlace que aparece en él, estarán dentro de la organización en cuestión de segundos.
“Pero a mí eso no me pasa”. Lo pensamos todos porque nos imaginamos que ese email con el que nos van a tratar de engañar será como los que recibimos en ocasiones en nuestro correo personal: traducciones incomprensibles llenas de errores ortográficos y gramaticales y procedentes de una cuenta con un nombre que prácticamente grita que se trata de una estafa.
Esos emails existen, claro, pero el que te va a mandar una organización de ciberdelincuencia para entrar en tu empresa no tiene nada que ver. Es probable que pienses que es de tu jefe, de tu compañero de enfrente o hasta de un familiar. Y seguramente pinches en el enlace porque su nombre o descripción tendrá relación con tu trabajo diario o con alguna de las actividades extralaborales que has hecho con una persona cuya identidad están suplantando. Es solo un ejemplo porque los tipos de narrativa para estas acciones son distintos, pero todos tienen algo en común: la verosimilitud.
Muchos ataques tienen lugar gracias a fallos técnicos, pero también muchos se evitarían simplemente con formación, que nos permite discernir las amenazas de ciberseguridad a las que podemos vernos expuestos. Y es que, el eslabón más débil de la ciberseguridad somos nosotros, de ahí que la concienciación sea uno de los vectores más importantes del trabajo en este área. Para proteger a una organización es necesario analizar fallos y vulnerabilidades y buscar, proponer e implementar soluciones técnicas. Pero, además, es imprescindible que los integrantes de esa organización reciban formación y sepan cómo pueden ser utilizados para burlar unos sistemas de protección muy trabajados. Las dos piezas son indispensables.
En Transparent Edge facilitamos ambas. Practicamos el hacking ético en la búsqueda de vulnerabilidades y fallos en los sistemas de las organizaciones. Entre otras cosas, realizamos auditorías de seguridad, pruebas de penetración (pentesting) y simulamos ataques (red team), todo para proponer las soluciones y la mejor protección para los sistemas informáticos y las infraestructuras críticas de las organizaciones. Pero también impartimos cursos específicos y prácticos en Seguridad de la Información, respondiendo a las necesidades concretas de cada organización después de analizarlas.