Vivimos en la época de la transformación digital. La mayoría de empresas utilizan ya la tecnología en su día a día, e incluso se están llevando a cabo programas nacionales, como el de Kit Digital, que tienen como objetivo conseguir un avance significativo en el nivel de madurez digital de las empresas en España.
El proceso de digitalización es uno de los principales cambios que están haciendo evolucionar la economía. Permiten innovar, internacionalizar, escalar, gestionar, procesar datos, implementar nuevas soluciones y, en definitiva, crecer. Pero este proceso tiene riesgos, entre los que destacan los ciberataques.
La ciberseguridad en las empresas está comenzando a ser una prioridad, pero, ¿existe de verdad un problema que nos debe poner en alerta?
¿Han aumentado los ciberataques a empresas?
Sí, los ciberataques están en crecimiento. Según Deloitte, la media anual de ciberataques en 2021 ha ascendido un 26% respecto al año anterior.
Según un artículo publicado en El País en febrero de 2022, 9 de cada 10 empresas españolas recibieron al menos un ciberataque en el año 2021. Las empresas más vulnerables fueron las de sectores como seguros, telecomunicaciones y banca. Y no es casual, porque, ¿qué quieren los ciberatacantes?
¡Los ciberatacantes quieren datos!
Pues sí, lo que buscan principalmente estos ciberataques es robar datos, la mayoría de veces para conseguir dinero de algún modo. Esto es lo que se suele hacer con los datos robados:
- Venta de datos a terceros
- Suplantación de identidad, tanto en redes sociales profesionales como en otros entornos.
- Ataques de ingeniería social usando datos robados. Es decir, manipular a alguien haciéndose pasar por otra persona para conseguir algo.
- Secuestrar la información y pedir dinero a cambio de recuperarla.
Aunque suene muy complejo, la realidad es que la mayoría de veces los ciberdelincuentes usan técnicas más bien rudimentarias, por lo que es posible hacer frente a las amenazas.
¿Está obligada la empresa a proteger esos datos?
Lo primero que hay que aclarar es que, tal como se recoge en el informe de ISMS Forum Spain y ENATIC, la mera intrusión no autorizada aprovechando las vulnerabilidades del sistema informático de un tercero es una infracción penal desde la incriminación. Es decir, que estamos hablando de un delito.
Pero eso no significa que la empresa que ha sido atacada no tenga responsabilidad. Todas las entidades que realicen tratamiento de datos de clientes, proveedores, empleados etc. están obligadas a cumplir con el RGPD y la Ley Orgánica de Protección de Datos.
Ventajas de la ciberseguridad
Dada la creciente cantidad de asaltos digitales, las empresas están sintiendo la presión por proteger los datos a toda costa. Y en el caso de las multinacionales, casi todas cuentan ya con protocolos y formaciones para evitar los ataques. Pero las medianas y pequeñas empresas no tienen tantos recursos, y por tanto suelen olvidar la importancia de proteger los datos.
Lo cierto es que contar con medidas de ciberseguridad tiene grandes ventajas, como estas:
- Buena reputación de marca. Si trasciende que nuestra seguridad es débil, superar esas crisis de reputación puede ser muy difícil (y caro).
- Evitar el paro de la actividad. Un ciberataque puede provocar que la producción pare y que haya que costear la reparación de los equipos y sistemas afectados.
- Veracidad de la información. Si una empresa recibe ataques, la veracidad de sus datos puede verse alterada.
Los ciberataques más comunes en negocios
Algunos de los ciberataques más comunes en negocios son:
- Phishing: es cuando se suplanta la identidad de una empresa o persona. Normalmente se hace a través de un mail o mensaje que parece original, pero que si nos fijamos bien es una dirección rara (por ejemplo, con letras o caracteres extraños). Generalmente en estos mails se pide que se inicie sesión a través de un enlace fraudulento o bien se solicita el cambio de cuenta bancaria.
- Malware: son aplicaciones maliciosas que se infiltran en el ordenador. Hay de muchos tipos: troyanos, spywares, gusanos, adwares…
- Ransomware: es uno de los ataques más habituales últimamente, que básicamente encripta los archivos de una empresa y exige el pago para rescatarlos.
¿Qué papel juegan los empleados en la ciberseguridad?
Todas las personas deben formar parte de la red de seguridad de la empresa contra los ciberataques. Y sí, los virus generalmente tienen su vía de entrada en las acciones de las personas, pero hay que proteger bien los puntos débiles para evitar que haya que lamentarse más adelante.
Métodos para engañar a los empleados
Hay métodos para engañar a cualquier persona. Un empleado puede recibir un email que en apariencia proviene de su jefe (fraude del CEO) o hacer clic en un enlace a un curso gratis que aparece en su bandeja de entrada. Lo más importante no es culpabilizar, sino tener una buena estrategia de defensa frente a los ataques, crear un sistema lo más seguro posible y formar a los empleados para que sean auténticos profesionales en la detección de ciberataques. Adicionalmente, si se cuenta con una buena estrategia de comunicación interna, los empleados recelarán de las peticiones sospechosas y serán informados rápidamente en caso de incidencia.
Cómo garantizar la seguridad informática en tu empresa
Todas las empresas, independientemente de su tamaño (incluidas las pymes) deben garantizar la seguridad informática. Algunas de las acciones que deben hacer son:
- Contraseñas seguras y actualizadas. Es importante solicitar periódicamente que las personas cambien sus contraseñas y elijan aquellas que sean seguras.
- Equipos y sistemas actualizados. Las actualizaciones generalmente incluyen mejoras de seguridad importantes.
- Acceso limitado a la información. No todos los empleados deben tener acceso a todo, hay que poner cortafuegos.
- Copias de seguridad. Se deben realizar de forma periódica copias de seguridad, incluso individuales.
- Protección antimalware. Los antivirus pueden ser de gran ayuda.
- Seguridad y páginas restringidas. Hay que contar con programas capaces de detectar problemas de seguridad en la red, así como tener las páginas web peligrosas restringidas en el sistema de la empresa.
- VPN para la conexión en remoto. Con el teletrabajo, las empresas deben contar con redes seguras en remoto.
Y si nada de todo ello funciona…
- Protocolo en caso de ataque. Si finalmente el ataque tiene éxito, debe existir un protocolo de contención y actuación.
No descuides la ciberseguridad telefónica
Aunque estemos centrando este post en los ataques digitales, hay que recordar que por teléfono también se suceden los ataques de seguridad y robo de datos, por lo que es importante transmitir a toda la plantilla la importancia de no dar datos nunca a no ser que esté garantizada la fiabilidad del interlocutor.