Estrategia de ciberseguridad para empresas
Es esencial que las empresas establezcan una estrategia de ciberseguridad que les permita prevenir o hacer frente a unos ciberataques que crecen día a día y que cada vez son más sofisticados. Este avance imperativo no tiene por qué ser una tarea compleja.
En lo que se refiere al establecimiento de una estrategia de ciberseguridad empresarial, todavía hay muchos déficits y, a menor tamaño, los problemas se acrecientan
Estrategia de ciberseguridad, pilar de la transformación digital
Tener una estrategia de ciberseguridad empresarial debe ser uno de los pilares sobre los que se sustente cualquier proceso de transformación digital en la empresa. El incremento de los ciberataques, con el phishing o el ransomware a la cabeza, se acompaña con una su sofisticación continua que afecta tanto a usuarios como a empresas y administraciones públicas.
Los retos a los que se enfrentan países y empresas son mayúsculos y todos estos actores deberían diseñar una estrategia de ciberseguridad que impida que los ciberataques alcancen su objetivo. En este sentido, la política que sigue el Gobierno de España se incluye en el Plan Nacional de Ciberseguridad, como continuación de la Estrategia Nacional de Ciberseguridad, del año 2019. Con ella se pretende crear una plataforma nacional de notificación y seguimiento de ciberincidentes y de amenazas para intercambiar información entre organismos públicos y privados, desarrollar un sistema nacional integrado de indicadores de ciberseguridad, impulsar la ciberseguridad de pymes y autónomos, y promover un mayor nivel de cultura de ciberseguridad.
Desarrollar una estrategia de ciberseguridad empresarial
Con el desarrollo de esta estrategia, el Gobierno demuestra la importancia de la ciberseguridad para el conjunto del país y su tejido productivo. Por eso es importante que las empresas también desarrollen una estrategia de ciberseguridad que posibilite la limitación de los ciberataques.
Uno de los problemas es que, en lo que se refiere a establecimiento de una estrategia de seguridad informática, las organizaciones todavía presentan déficits importantes, hasta el punto de que la ciberseguridad empresarial puede estar en riesgo. De acuerdo con el último informe de Accenture, sólo un 5 % de las empresas tienen definida una estrategia de ciberseguridad.Si nos centramos en nuestro país, el dato mejora ya que, según el Informe de madurez de ciberseguridad en España de la consultora Minsait, un 40% tiene una estrategia de ciberseguridad definida; es decir, aunque positivo en comparación con el resto del mundo, todavía son mayoría las empresas españolas carentes de una estrategia de ciberseguridad.
Formación y auditorías de seguridad
La seguridad en la informática y en cualquier apartado en el que la tecnología esté involucrada, no sólo debe centrarse en prevenir y defenderse de los ciberataques cuando éstos se produzcan. En una estrategia de ciberseguridad, además de contar con las soluciones adecuadas, también se ha de contemplar la formación en ciberseguridad de los empleados o la realización de auditorías de ciberseguridad para conocer el estado de las ciberdefensas. No se trata de que todos los empleados de una organización sean expertos en seguridad, pero sí, que sepan identificar los riesgos.
Un apartado importante a tener en cuenta es que los usuarios son el eslabón más débil de la cadena en cualquier estrategia de ciberseguridad, por lo que establecer una cultura de la ciberseguridad en la organización es el primer paso para mitigar los riesgos.
Factores que perjudican a la estrategia de ciberseguridad
Son varios los factores que hacen que establecer una estrategia de ciberseguridad no sea sencillo. Primero, las organizaciones se pierden entre la cantidad de ofertas y empresas de ciberseguridad que existen en el mercado. Por ello, es conveniente contar con la figura de un CISO para elaborar las líneas maestras de la estrategia.
No obstante, las empresas que no pueden permitirse contratar esta figura deben iniciar la estrategia valorando qué datos son críticos para la organización y cuáles los activos de los que no puede prescindir. Con ello se consigue tener claro un enfoque para que no haya que implantar soluciones de forma masiva sin conocer antes estos datos. En este sentido, es muy importante realizar una auditoría de ciberseguridad con la que la empresa descubrirá cuáles son sus fortalezas y debilidades y podrá actuar sobre ellas, implementando las soluciones más adecuadas.
Cuánto cuesta implantar una estrategia de ciberseguridad
El coste de establecer una estrategia de ciberseguridad ya no puede ser excusa. La nube ha abaratado las soluciones y, en la actualidad, las empresas tienen acceso a plataformas de seguridad asequibles y con garantías como Cloud & Cibersecurity by aggity, que permiten proteger y asegurar la continuidad de negocio.
Se trata de soluciones que son perfectas para todo tipo de empresas y de sectores y que les permitirá avanzar en su estrategia de ciberseguridad empresarial a un coste más que asequible y con un retorno de la inversión muy rápido. En este caso concreto, la herramienta posibilita que los departamentos de TI de cualquier organización puedan generar una estrategia de ciberseguridad informática muy sólida y establecer una hoja de ruta que permita identificar los riesgos apegados a mejores prácticas. Dentro de esa seguridad cibernética, este tipo de soluciones permiten el establecimiento de un Gobierno de la Seguridad y de continuidad de negocio que logra mejorar de manera continuada la protección tanto de la tecnología como de los procesos y de los usuarios.
Y es que, gracias a soluciones como las propuestas por aggity se pueden diseñar, implementar y gestionar todo un conjunto de preventivas y proactivas que den respuesta a incidentes y sean capaces de proteger datos, aplicaciones, tecnología y colaboradores.
Confiar en el partner adecuado
Puede parecer que implementar todo un conjunto de soluciones para implementar la estrategia de ciberseguridad informática suponga una gran inversión, además de los costes asociados a productividad o gastos en personal especializado. La realidad dista bastante de esa afirmación si se cuenta con un partner adecuado y especializado como aggity que ayudará a la organización a establecer la trayectoria adecuada identificando cuáles son los principales riesgos que existen en la infraestructura de la organización y elaborando el plan adecuado que no sólo permita hacer frente a un ciberataque, sino que logre la máxima prevención posible.
- Publicado en Ciberseguridad, Industria
Vulnerabilidades más comunes en aplicaciones web
Pérdida del control de acceso, fallos criptográficos, configuración de acceso defectuosa o errores en la identificación son algunas de las debilidades de las aplicaciones web que no han tenido en cuenta las cuestiones de seguridad en su diseño.
Todas estas vulnerabilidad tiene el mismo impacto sobre las empresas: el acceso a sus sistemas y el robo de datos.
La transformación digital en la que se hayan inmersas las empresas está asociada a la implantación de aplicaciones web. Su buen funcionamiento no sólo depende del correcto manejo de estas herramientas, también de las soluciones de seguridad que se empleen para mantenerlas a salvo de riesgos y vulnerabilidades. Las más comunes, según un documento publicado por el Instituto Nacional de Ciberseguridad (INCIBE) son:
• Pérdida del control de acceso
El control de acceso está relacionado con una política de permisos para los usuarios de una aplicación web. La vulnerabilidad Broken Access Control hace que desaparezcan estas restricciones, permitiendo al ciberdelincuente actuar sobre el sistema y tener acceso a información confidencial.
• Fallos criptográficos
Hay ciertos datos de las empresas, como las credencias de acceso o la información bancaria, que deben estar cifrados para evitar su exposición a personas ajenas a la organización.
• Inyección
Esto sucede cuando un ciberdelincuente puede enviar datos dañinos a un intérprete. Para evitarlos, hay que tener API seguras y controles de verificación en el momento de introducir los datos.
• Diseño inseguro
Al desarrollar una aplicación web es primordial incluir sus características de seguridad desde la fase del diseño. Si no es así, se exponen a que modifiquen sus datos o accedan a sus servidores.
• Configuración de seguridad defectuosa
En un entorno de aplicación web los intentos de acceso pueden buscar su entrada mediante cuentas por defecto, versiones obsoletas con vulnerabilidades sin actualizar, directorios desprotegidos, etc. Por ello, tiene que estar todo bien configurado.
• Componentes vulnerables y obsoletos
Un ciberdelincuente podrá comprometer un sistema mediante vulnerabilidades ya conocidas en componentes comunes, como la versión del sistema operativo o aplicaciones instaladas en el servidor, entre otras. Las mayores brechas de seguridad se han producido mediante la explotación de este tipo de vulnerabilidades.
• Fallos de identificación y autenticación
Esto sucede cuando en las interfaces de acceso no se controla el número de intentos de autenticación, hay una baja complejidad de las contraseñas o no se implanta un sistema multifactor.
• Fallos en el software y en la integridad de los datos
Muchas aplicaciones se actualizan de manera automática. Cuando no son verificadas los ciberdelincuentes podrían modificarlas cargando sus propias actualizaciones e incluyendo código no deseado.
• Fallos en el registro y la supervisión de la seguridad
La falta de registros sobre eventos, los denominados logs, en la aplicación o en el sistema, provoca que no se almacenen remotamente e impide que se puedan detectar las infracciones.
• Falsificación de solicitud del lado del servidor
Cuando nuestra aplicación web obtiene un recurso externo y este no valida la URL, un ciberdelincuente podría modificarla con fines malintencionados y realizar peticiones no autorizadas.
Actualmente, la ciberseguridad es el mayor riesgo empresarial y todas estas vulnerabilidades tiene el mismo impacto sobre las empresas: el acceso a sus sistemas y el robo de datos. Para prevenir estos riesgos y detectarlos, las compañías han de incluir en sus estrategias un plan de ciberseguridad que contemple el uso de soluciones adaptadas a sus requerimientos y necesidades.
Plataformas como Cloud & Cibersecurity by aggity, blindan los sistemas de las compañías garantizando la privacidad de la información y la protección de sus datos facilitando, asimismo, la seguridad y la continuidad de todos los elementos involucrados en el proceso de su transformación digital.
- Publicado en Ciberseguridad
Por qué la ciberseguridad empresarial puede estar en riesgo
El 90% de los responsables de la toma de decisiones de TI sostiene que su empresa estaría dispuesta a comprometer la ciberseguridad en favor de la transformación digital de la organización.
Mejorar la información dentro de la organización acerca de los riesgos ante un ciberataque mejoraría las medidas de prevención.
Tener en cuenta los riesgos cibernéticos a los que se exponen las compañías no forma parte de la estrategia de todas las empresas, al menos con la importancia que debería. Una reciente investigación revela que solo el 50% de los directivos de TI y el 38% de los responsables de la toma de decisiones empresariales creen que la alta dirección entiende bien a qué se exponen sus organizaciones cuando no se blindan ante este tipo de amenazas.
Algunos de los encuestados afirman que esto se debe a que la cuestión de la ciberseguridad es un tema complejo y en constante cambio, pero muchos apuntan a otras razones: el 26% cree que la alta dirección no se esfuerza lo suficiente o que, sencillamente, no quiere entenderlo (20%).
Otro de los datos preocupantes que revela un estudio realizado por la multinacional Trend Micro es que el 90% sostiene que su empresa estaría dispuesta a comprometer la ciberseguridad en favor de la transformación digital, la productividad u otros objetivos. Además, el 82% reconocer haberse sentido presionado para minimizar la gravedad de los riesgos cibernéticos ante su junta directiva.
También existe desacuerdo entre los directivos de TI y de negocio sobre quién es el responsable último de gestionar y mitigar los riesgos. El 49% de los encuestados afirma que los ciber riesgos se siguen tratando como un problema que compete a las tecnologías y no como una amenaza empresarial.
Riesgo empresarial económico
Esta fricción ya está causando problemas potencialmente graves: el 52% de los participantes en este estudio está de acuerdo en que la actitud de su organización ante el ciber riesgo es incoherente y varía de un mes a otro. Además, el 31% cree que la ciberseguridad es el mayor riesgo empresarial en la actualidad y el 66% afirma que, de todos los riesgos empresariales, es el que tiene el mayor impacto en términos de costes.
Para que la alta dirección sea consciente de lo que se juega si siguen ignorando este aspecto de su negocio, en el estudio se apunta a que tiene que darse una de las siguientes circunstancias: que se produjera una brecha en su organización, mejorar la información sobre el riesgo empresarial de las ciber-amenazas o que los clientes empiecen a exigir credenciales de seguridad más sofisticadas.
El objetivo principal de la ciberseguridad en una empresa es proteger sus sistemas informáticos, pero no únicamente. No hay que pasar por alto que los ataques de los ciberdelincuentes van dirigidos a cualquier tipo de compañía. Su objetivo es hacerse con información sensible para sus propósitos, que suelen ser económicos.
Una solución de ciberseguridad permite, por un lado, contar con medidas preventivas de protección, pero también disponer de las herramientas necesarias para reaccionar de forma adecuada en el caso de un ataque. De esta forma se evita un impacto irreversible y una parada total o parcial de la actividad.
- Publicado en Ciberseguridad