hackerRecursos Humanos RRHH Press. En 2013 se produjeron en España más de 54.000 ciberataques a empresas, en los que las pymes fueron sus principales víctimas, ya que presentan un menor grado de concienciación hacia este problema y menos escasos recursos técnicos para enfrentarse a este tipo de amenazas.

Así lo han asegurado expertos de la firma de servicios profesionales de KPMG y de la Guardia Civil, reunidos en una jornada organizada conjuntamente con la Asociación para el Desarrollo de la Empresa Familiar de Madrid (ADEFAM).

En esta jornada se ha puesto también de manifiesto que más del 75% de las empresas tienen filtraciones no intencionadas en sus sistemas de información y el 20% utilizan software desactualizado y con vulnerabilidades de seguridad.

Según Beatriz Blanco, gerente en el área de Servicios de Protección de la Información y Continuidad del Negocio de KPMG en España, las pymes se han convertido en blanco de estos ataques porque sus sistemas son en general más fáciles de flanquear y sirven de entrenamiento a las bandas organizadas para enfrentarse después a empresas más potentes.

Además, de la magnitud alcanzada por este amenaza, resulta elocuente el hecho de que los ciberataques hayan pasado a figurar en el mapa de riesgos que elabora anualmente el Fórum Económico Mundial con una relevancia alta, o que países como Estados Unidos lo consideren el primer riesgo, por delante incluso del terrorismo. En el caso de España, esta realidad impulsó, el pasado mes de febrero, la creación del Consejo de Ciberseguridad Nacional.

Múltiples perjuicios

Los ciberataques acarrean para las empresas múltiples perjuicios, que van desde la pérdida de reputación hasta la posibilidad de padecer importantes quebrantos económicos e, incluso, en casos extremos, ver comprometida la propia vialidad futura del negocio, sobre todo cuando se trata de la fuga de información sensible, que afecta al propio núcleo de la actividad.

En opinión de Beatriz Blanco, los principales riesgos relacionados con la ciberseguridad derivan de la acción delictiva de grupos organizados, de comportamientos no intencionados de los empleados, de fallos técnicos y de una gestión inadecuada de los activos tecnológicos.

Para Blanco, es muy importante que las empresas se preparen a conciencia frente a este tipo de amenazas aplicando un protocolo de actuación que incluya la evaluación y análisis de los riesgos, la aplicación de los mecanismos de control de acceso y actualización de sistemas y la detección temprana de este tipo de incidencias mediante una función sistemática y profesional de monitorización de los sistemas para detectar la presencia de intrusos.

Además, Blanco cree necesaria una concienciación mayor de los directivos y de los empleados para comprender que la seguridad informática no es sólo una cuestión que afecta a los responsables de sistemas IT, sino a todas las áreas de la compañía.

Los “malos” hacen análisis de riesgos

Durante la jornada, el Capitán Ramón González Gallego, asignado al Grupo de Delitos Telemáticos de la Guardia Civil, aseguró que la creciente proliferación de los delitos cibernéticos se debe a que “los malos también hacen análisis de riesgos, y han llegado a la conclusión de que el grado de exposición en Internet es menor que en la calle y obtienen un mayor beneficio”.

Para el experto de la Guardia Civil, los principales tipos de ciberataques de los que son objeto las empresas provienen de malas prácticas de los propios trabajadores, de actuaciones desleales o vengativas de los empleados, y de grupos criminales organizados que persiguen colapsar los servidores de una empresa como táctica para perpetrar otro tipo de delitos.

Según González Gallego, el hacking contra aplicaciones y programas constituye el riesgo más peligroso para las empresas. Para conocer el potencial de las mafias organizadas, en alguna ocasión se ha llegado a pagar tres millones de dólares por vulnerabilidades ‘zero days’ en los sistemas.

Consejos de seguridad

Entre los consejos que González Gallego ofreció a las empresas para gestionar de forma preventiva este tipo de situaciones, destacan ejercer un control de los dispositivos informáticos, así como de las conexiones a Internet y de las personas y usuarios de los sistemas, proceder a realizar una constante actualización del software, llevar a cabo regularmente auditorías de seguridad y análisis del riesgo y adoptar una mentalidad proactiva para rodearse de asesores especializados.

Así mismo, recomendó denunciar siempre este tipo de casos ante la Policía o la Guardia Civil, “pues solo así las autoridades y la sociedad en general podrán tomar conciencia de lo que este problema representa y podrán adoptarse soluciones”.

Al finalizar la jornada se realizó un ejercicio práctico para valorar la situación de las empresas asistentes en materia de Seguridad de la Información, comprobando que éstas, en términos generales, se encuentran en un estado inicial, que puede ser mejorado adoptando una serie de medidas, tanto técnicas como organizativas.

RRHHpress

 

Utilizamos cookies propias y de terceros para posibilitar y mejorar su experiencia de navegación por nuestra web. Si continua navegando, consideramos que acepta su uso.