ncs-blog-hipolito-romero

Hipólito Romero

Gerente desarrollo de negocio de NCS

Impacto y costes en el negocio ante problemas de Ciberseguridad

¿Qué entendemos por Ciberseguridad? ¿Cuál es su misión?

La Ciberseguridad comprendería todo aquel grupo de actividades dentro de las organizaciones cuyo objetivo primordial es proteger la información digital de las empresas. Su misión: protección de los datos, principalmente aquellos calificados como sensibles pues hacen referencia al estado financiero de la empresa, clientes, empleados y proveedores.

Como concepto, la ciberseguridad quedaría comprendida en el marco general de la protección de la información. Sin embargo, su campo es más amplio, ya que también tiene que proteger el hardware, el software, redes y, en general, la infraestructura tecnológica de la empresa.

ncs-blog-mayo2018-cyberseguridad-secc-inner2

La ciberseguridad tiene como foco principal la protección de la información digital, pero es responsable global de la seguridad tecnológica.

Pero además, Ciberseguridad gestiona un axioma, atributo eterno de la seguridad: las actividades que hacen referencia a la protección no comprenden solamente la incorporación de sistemas especializados y/o software dedicado. La Ciberseguridad tiene mucho (y algo más) que ver con las actividades de las personas, sus hábitos, sus actitudes y aptitudes, su conocimiento y cumplimiento de normativas, concienciación del riesgo… Es fundamental el comportamiento de las personas.

¿Qué sucede cuando el binomio sistemas-personas comente errores de ciberseguridad?

Un error o fallo de los sistemas tiene consecuencias de amplio espectro. Hoy día, el origen mayoritario de las intromisiones se debe a que nuestros sistemas/datos son objeto de continuos ataques digitales. Es evidente que, cuantas menos capas defensivas tenemos, más vulnerables serán nuestros datos y mayor será el impacto de la fuga de información sensible. Por resaltar algunas, estas podrían ser las principales consecuencias ….

Evidentemente, la fuga / pérdida de datos

Los "atacantes" buscan monetizar su actividad. Esto es, el objetivo final es conseguir un beneficio económico a partir de los datos sustraídos a la empresa. El ataque cibernético busca robar información muy sensible de la empresa de la que se pueda obtener rentabilidad económica: datos de clientes, datos de proveedores, investigaciones científicas , datos de auditorías, contraseñas, cuentas bancarias, informes financieros, direcciones….

Las empresas del Ibex 35 han sufrido la mayor parte de los incidentes en forma de infecciones de equipos

El impacto económico de un ciberataque se agrava especialmente cuando el objetivo es la PYME

La Ciberseguridad tiene mucho que ver con las actividades de las personas, sus hábitos, sus actitudes y aptitudes

Pérdida de reputación

Con un alto coste económico al final del camino. Clientes existentes o potenciales clientes, proveedores, socios, accionistas, organismos oficiales... comenzarán a preguntarse si la empresa cuenta con la capacidad suficiente para proteger su información y si, por tanto, existen procesos internos suficientemente efectivos.

Desembolsos económicos directos

En el caso concreto de los clientes, puede iniciarse un proceso de "migración" hacia otros proveedores del servicio que ofrezcan mayores garantías de seguridad: el impacto económico es directo.

Pero también supondrán pérdidas si hay fugas de proveedores, pues la ruptura en el ofrecimiento de servicios a nuestros clientes está garantizada en el medio plazo.

Accionistas que deciden vender sus participaciones, pues se devaluaría el valor de mercado de la empresa.

Intervención de organismos oficiales, que deberán auditar el cumplimiento normativo, con sanciones que, desde la aplicación desde ya del nuevo RGPD de Mayo del 2018, son de importe más que sustancial.

Los últimos casos sonados de ataques cibernéticos se han traducido en una "solicitud de rescate" en toda regla si la empresa afectada desea recuperar o volver a tener acceso a la información perdida o secuestrada (ejemplo son los casos de ransomware del 2017).

Y hemos de añadir aquellos otros necesarios para limpiar infraestructuras contaminadas, reparación de sistemas, inclusión de nuevas medidas, lavado de imagen, …

Esto se agrava especialmente si el ataque lo ha sufrido la PYME, pues en algunos casos los desembolsos necesarios para la recuperación tienen un peso relativo muy alto en la composición financiera de la organización.

ncs-blog-conectando-negocio-tecnologia4

 

Desembolsos económicos indirectos

Tras un ciberataque, es posible que la empresa tenga que replantearse ciertos aspectos operativos de su negocio con el fin de tranquilizar a sus clientes y evitar en lo posible que la gravedad de la situación se repita.

Hay ejemplos de empresas que ya han dejado de recoger información no crucial para el negocio pero que son datos de alta sensibilidad (DNI, datos no necesarios de tarjetas de crédito, direcciones postales, fechas de nacimiento,...). Este ejemplo tiene un coste importante en la modificación de sistemas, principalmente aplicaciones informáticas que deben adaptarse a un nuevo modelo.

Estado del arte: ciberseguridad y la empresa hoy en día

Preocupación … mucho se ha avanzado en los últimos años, principalmente desde 2014, pero mucho más queda por avanzar. Algunos datos para la reflexión:

  • Solo el 40% de las empresas y, en general, solo grandes compañías, están cubiertas en mayor o menor medida frente a algún tipo de ciberriesgo.
  • La PYME está muy desprotegida y no hay conciencia clara del riesgo real de las consecuencias de un ciberataque y, por tanto, se presta poca atención a temas que mejoren la protección. Los datos de las PYMES son cada vez más valiosos para los cibercriminales.
  • Se estima que el 43% de los mismos lo han sufrido las pymes, ya que cuentan con bajos presupuestos destinados a ciberseguridad y, por el contrario, la sensibilidad de los datos que almacenan son del mismo nivel que los que guardan grandes compañías.
  • En el caso concreto del Phishing, lo sufrieron el 75% de las PYMES, en comparación con el 35% de las grandes empresas.
  • Sólo en España, el coste medio de un ciberataque rondó los 75.000 euros en 2017, lo que supone unos 14.000 millones para las empresas del país, según cifras del Instituto Nacional de Ciberseguridad (Fuente INCIBE).
  • A diario son atacados entre 100.000 y 120.000 equipos solo en España. Un ciberataque puede interrumpir el negocio y destruir la reputación de la empresa.
  • En España pasamos de recibir 18.000 ataques en 2014 a más de 120.000 en 2017 (Fuente INCIBE). Esta cuantía crece exponencialmente porque no es solo que los ataques vayan a más empresas, sino también porque las empresas están cada vez más expuestas digitalmente.
  • La gran empresa, aunque más protegida, no se libra. Las empresas del Ibex 35 han sufrido la mayor parte de los incidentes en forma de infecciones de equipos por parte de malware (software malicioso). En este sentido, sólo 6 empresas del Ibex no se vieron afectadas por malware en el último año (Fuente INCIBE).
  • Al margen del tamaño de la empresa, hay sectores que son especialmente castigados principalmente por el tipo de información que almacenan:

    - La banca está muy expuesta a ataques debido a la cantidad y tipo de información que almacenan. Hoy por hoy, es el sector financiero quien más presupuesto destina a ciberseguridad.

    - En general, todas las empresas relacionadas con el sector turístico son objetivo de ciberataques, ya que son empresas que guardan datos sensibles (personales y económicos) de sus clientes. Muchos de los operadores turísticos pertenecen al ámbito de la pyme.

    - La industria de la salud también es «especialmente sensible» a los «hackeos» porque, maneja «información confidencial de sus pacientes que, por ley, es considerada crítica.

    - Las compañías audiovisuales cuentan con un valioso contenido, no estrenado, que puede ser robado y fácilmente vendido con amplios beneficios para el atacante, así como con grandes pérdidas para el atacado.

La mejor prevención radica en la formación y lo importante es que exista una política de empresa en materia de seguridad

No hay fiabilidad 100%. Los ataques pueden venir por distintos caminos. Unos los conocemos y pueden ser previstos y bloqueados, pero otros no

La mejor prevención radica en la formación y lo importante es que exista una política de empresa en materia de seguridad

Algunos ejemplos reales

  • Marzo del 2017 la CIA sufría la filtración de un archivo de datos con más de 8.000 documentos presuntamente robados a manos de Wikileaks, con contenido relacionado con operaciones de espionaje y herramientas de hackeo como vulnerabilidades de iOS, errores de Windows y la posibilidad de convertir Smart Tv en dispositivos de vigilancia.
  • Mayo del 2017, Ransomware WannaCry con ataques a Telefónica, el Servicio Sanitario Británico, Renualt, el sistema bancario ruso o el sistema ferroviario alemán.
  • Equifax confirmó un acceso ilegal a sus bases de datos, entre los meses de mayo y julio, que pudo haber expuesto la información de aproximadamente 143 millones de personas sobre números del Seguro Social, fechas de nacimiento, direcciones y, en algunos casos, números del carné de conducir de las personas afectadas.

Prevención

Tras la visión del panorama, no queda más remedio que analizar y preguntarnos qué podemos hacer para disminuir las probabilidades y, si ocurre, la intensidad del daño de un ciberataque en nuestros sistemas.

Previo a sintetizar la extensa enumeración de medidas que pueden adoptar las empresas, especialmente la PYME, destacar de nuevo la ampliación normativa sobre Protección de Datos que entra en vigor este mes de Mayo de 2018, y donde claramente destaca la importancia que los organismos oficiales (a nivel UE en este caso) conceden a la necesidad de dotar de medidas suficientes que protejan la información confidencial de sus sistemas. Las cuantías económicas así lo reflejan:

La identificación y diseño de procesos suele englobarse en una consultoría de negocio que deberá, además, tener como objetivos principales la simplificación de los procesos actuales, la unificación y armonización de procesos que puedan parecer, a priori, independientes entre sí.

Sanciones máximas de 600.000 a 20 millones de euros (o el 4% de la facturación) y obligación de las empresas a comunicar cualquier fallo de seguridad que haya sufrido (y por tanto, obligatoriedad a haberlo detectado).

Tratando ya de sintetizar normas de prevención, destacamos:

Soluciones de protección.

  • No hay fiabilidad 100%. Los ataques pueden venir por distintos caminos. Unos los conocemos y pueden ser previstos y bloqueados, pero otros no. Alguien comentaba que hay dos tipos de empresas: las que han sufrido un ciberataque y las que lo sufrirán.
  • Por ello, sin dilatar más, deben blindarse los sistemas que contienen datos de alta sensibilidad, tanto con sistemas hardware (accesibilidad) como medidas software (encriptación de la información, uso de seudónimos, … ).
  • La gestión de vulnerabilidades debe ser un proceso continuo para actuar de forma proactiva ante la aparición de problemas.

Formación continua a empleados

  • La mejor prevención radica en la formación y lo importante es que exista una política de empresa en materia de seguridad. Los ataques no solo van dirigidos a las empresas con ente, sino también a los empleados. Los delincuentes saben que, a falta de empleados formados, estos no gestionarán adecuadamente, por ejemplo, la recepción de un e-mail con contenido malicioso que permita al atacante acceder a credenciales de acceso, a ficheros y, consecuentemente, a la sustracción / encriptación de información valiosa.

Mantener el software al día.

  • Un problema generalizado en la PYME. Es de primordial importancia contar con versiones oficiales del software, pues de esta forma el fabricante garantizará la continua puesta al día de parches de seguridad de sus sistemas, tanto aplicaciones como Sistemas Operativos. Sin este requisito, crecerán las vulnerabilidades de nuestros sistemas y, tarde o temprano, seremos objeto de ataques..

La importancia de las contraseñas

  • Parte de normativa corporativa, parte de formación. Tal y como se accede hoy a la información, debemos hacer conscientes al personal de la importancia de contar con contraseñas fuertes (normas de un buen "password") así como de implantar plazos de renovación no dilatados (sería aconsejable no más allá de 2 meses). Tampoco está de más acostumbrarse a la implantación de sistemas de Doble autenticación.

Copias de seguridad

  • Las grandes corporaciones cuentas con sistemas de replicación de la información en tiempo real y en diferentes centros de datos situados en lugares geográficos dispersos. También invierten en costosos sistemas de Disaster-Recovery y sistemas de Continuidad del Negocio que las permitirá seguir operando en casos de ciberataques de gran calado.
  • Sin embargo, la PYME … en muchos casos, no existen sistemas de back-up o, si existen, se realizan en equipos personales o en equipos dedicados pero con baja capacidad de resistencia, o con plazos de tiempo dilatados que no permitirían una recuperación eficiente desde el punto de vista operativo.
  • Pero, para dar una alegría en este negro panorama, hoy día muchos de los sistemas tienden a ejecutarse en la Nube (SaaS) con proveedores ya preparados en lo referente a la replicación y distribución de la información. Y SaaS es una tendencia que ayudará también a la seguridad de la PYME en el medio plazo.
ncs-blog-hipolito-romero-bio

Hipólito Romero

Profesional en el sector de las tecnologías con más de 20 años de experiencia. Su experiencia se extiende desde la consultoría de negocio hasta la gestión de grandes cuentas, principalmente en el sector de banca y seguros. Actualmente es Gerente desarrollo de negocio de NCS.

Otras entregas de esta serie