• SER PROACTIVOS PARA UNA MAYOR PROTECCIÓN FRENTE A LOS CIBERATAQUES
Artículos:

SER PROACTIVOS PARA UNA MAYOR PROTECCIÓN FRENTE A LOS CIBERATAQUES

06-07-2017


El ataque global coordinado de mayo de 2017, Wannacry, saca a la luz la necesidad urgente de revisar las estrategias de ciberseguridad de las organizaciones.

En este documento elaborado por nuestra firma se pone de manifiesto que la ciberseguridad se ha convertido en una cuestión de cumplimiento legal. Cuando la red de una empresa se rompe, la regulación actual, como es el Reglamento Europeo de Protección de Datos, establece que puede tener consecuencias que potencialmente sean sancionadas. 

Según datos del Instituto Nacional de Seguridad (Incibe), España es el tercer país del mundo que más ataques informáticos recibe. En 2016 se detectaron 115.000 incidentes, de los que 480 afectaron a hospitales y aeropuertos, entre otras organizaciones e instalaciones públicas. La escalada en el número y gravedad de los ataques es exponencial y, las cifras, alarmantes.

Un estudio de la Universidad de Oxford que analizaba empresas de Estados Unidos y de Europa estimó en 1,5 millones de dólares el coste de un ataque a una empresa de más de 5.000 empleados. Para las empresas de tamaño medio, esta estimación es de unos 36.000 dólares, al margen de la pérdida de oportunidades de negocio. 

Las organizaciones deben valorar si prefieren prepararse antes de que ocurra un ciberataque o si prefieren pagar las consecuencias para reparar los daños después de que haya ocurrido dicho ataque. Si hasta hace poco el objetivo había sido siempre proteger el perímetro, actualmente prima la anticipación y la observación de los riesgos con el fin de prevenir los ataques. Ya no es posible vivir de espaldas a los riesgos confiando en un escudo más o menos seguro; ahora es preciso prevenir y prepararse antes de que el ataque tenga lugar.

Jason Jottschalk, socio y experto en ciberseguridad en BDO UK ha explicado: “Realizar una due dilligence en materia de ciberseguridad es muy complejo. ¿Cómo se puede medir el grado de preparación o resistencia de una empresa a la hora de recibir ataques?  ¿Con una ISO estándar? Resulta desmoralizador cuantificar parámetros que midan la probabilidad de un ciberataque y el grado de preparación de las organizaciones. Las empresas no están preparadas para medir la ciber resiliencia”.

Las organizaciones necesitan demostrar a sus accionistas que realmente están atendiendo con empeño los asuntos relacionados con la ciberseguridad y  deben alcanzar un grado de preparación que las permita responder ante incidentes, por lo que ya están moficando su tradicional modelo de seguridad hacia un enfoque orientado al crimen online, hacia la ciberdefensa.

Según el informe, el modelo de prevención y reacción de las empresas frente a amenazas de ciberseguridad debe basarse en los siguientes tres pilares:

  • Seguridad: No se puede proteger todo por igual. Ser seguro implica enfocarse en proteger los recursos más sensibles al riesgo. Es necesario focalizarse en los activos críticos de la empresa.
  • Vigilancia: Es fundamental realizar una supervisión proactiva de las amenazas basada en la búsqueda de patrones de comportamiento, en la recopilación de información y en la actualización de los escenarios de riesgos.
  • Resiliencia: Es esencial prepararse frente a todo tipo de ataques y mantener actualizados nuestros procedimientos de actuación y recuperación.

Evaluando el impacto de ataques más representativos en la última década, los estados y gobiernos de todo el mundo están estudiando la posibilidad de que las empresas estén obligadas a reportar los ataques que sufran y a tomar medidas concretas de respuesta.