La progresiva digitalización de todos los ámbitos lleva a extremar precauciones y a invertir en ciberseguridad, y es tarea de todos los sectores implicados. Pero todavía es necesario seguir trabajando para implementar modelos seguros que hagan de los ambientes laborales sitios en los que la seguridad no sea algo negociable. Hemos hablado con Javier Castro Bravo, director asociado y líder del área de ciberseguridad en Stratesys sobre los retos que debe afrontar el mundo empresarial en el ámbito de la seguridad.
Seguridad y empresa, un combo indisoluble
¿Cuáles son los retos a los que se enfrenta una empresa totalmente digitalizada?
Las amenazas de seguridad en el mundo digital evolucionan constantemente y se están haciendo cada vez más peligrosas para las empresas. Estamos viendo como el riesgo de fuga de información y de ciberataque aumenta año tras año (o mejor dicho, día tras día) y esto supone un reto para las empresas, que necesitan mantenerse actualizadas, adaptarse a los cambios y estar preparadas para «resistir» de forma continua frente a todas estas amenazas.
Lamentablemente, vemos todas las semanas ciberataques de ransomware que dejan totalmente inoperativas a las empresas afectadas. Sus sistemas quedan bloqueados por el ataque y los atacantes piden un rescate para liberarlos, algo que las compañías NUNCA deberían plantearse pagar. El problema radica en que si las empresas no se han preparado con antelación. Si no han invertido tiempo y recursos, económicos y personales, para implementar procesos de seguridad, como la gestión continua de vulnerabilidades, seguridad en identidades y accesos (IAM), proteger las cuentas privilegiadas (PAM), prevención de fuga de información (DLP), definir y entrenar los planes de continuidad de negocio y resiliencia operativa, etc… antes o después van a encontrarse en esta situación y no estarán preparadas ni para detectar el ataque a tiempo ni para recuperarse de forma eficaz, minimizando el impacto sobre la operativa del negocio y sobre la pérdida de datos, y sin tener que plantearse pagar ningún tipo de rescate)
Por último, uno de los retos a los que se enfrentan los responsables de seguridad en las empresas es la concienciación tanto del personal como del negocio. La seguridad de la información no es responsabilidad única del responsable o del equipo de seguridad, sino que es una responsabilidad corporativa y que necesita el apoyo del negocio (con recursos, apoyo de la dirección, etc.) y la involucración de todo el personal.
La ciberseguridad en el ámbito empresarial en nuestro país, ¿Está a buena altura o debemos seguir formándonos en ese sentido?
Por norma general, la inversión en ciberseguridad en los últimos años ha aumentado mucho por parte de las empresas. En España hay muchas compañías con presupuestos y recursos dedicados para ciberseguridad desde hace años, lo que les ha permitido alcanzar un nivel de madurez aceptable y mantenerlo en el tiempo. Sin embargo, también nos encontramos con la otra cara de la moneda, hay empresas, quizás no tan grandes o con menor presupuesto, que aún no cuentan con un responsable de seguridad en sus plantillas (CISO) o que no tienen un equipo o un plan de seguridad con los recursos necesarios.
También vemos que la madurez depende de sectores, el sector de la Banca y Seguros es uno de los más maduros desde el punto de vista de ciberseguridad, probablemente impulsado por la regulación que les aplica y, por supuesto, por el tipo de negocio que obliga a estas compañías a reforzarse y trabajar sus medidas de seguridad para proteger sus sistemas y la información de sus clientes. También la regulación española y europea de protección de datos han ayudado mucho a impulsar la seguridad en las organizaciones que tratan datos personales como parte de su negocio. Sin embargo, lo difícil (a la par que necesario) no es alcanzar un nivel de madurez aceptable, sino mantenerlo en el tiempo.
En resumen, hay de todo. Hay compañías que se han centrado tanto en la operativa diaria del negocio que no han sabido adaptarse a los nuevos retos del mundo digital y su nivel de madurez en ciberseguridad se ha quedado atrás. Ahora tienen un reto por delante para definir su estrategia y ponerse al día.
¿Cómo puede ayudar Stratesys a las empresas a la hora de cumplir lo estándares de ciberseguridad?
En el área de Ciberseguridad de Stratesys contamos con un equipo de personas ampliamente cualificadas y experimentadas y podemos ayudar a las empresas en varios ámbitos, por ejemplo:
Para empresas que están iniciando su andadura en este ámbito, o que como parte de su transformación digital necesitan definir o adaptar su estrategia en ciberseguridad, podemos ayudarles a hacer una evaluación de sus capacidades actuales y definir un plan director que les ayude a sentar las bases y establecer medidas en los siguientes ámbitos fundamentales de ciberseguridad:
- Identificar sus activos y los riesgos que los amenazan;
- Protegerlos para prevenir incidentes en la medida de lo posible;
- Detectar amenazas e incidentes de seguridad de forma temprana;
- Estar preparados para responder ante ellas de forma efectiva y recuperarse en caso de ataque minimizando el impacto sobre el negocio.
Para empresas que ya cuentan con cierta madurez en ciberseguridad, podemos ayudarles a ponerse a prueba con ejercicios de «seguridad ofensiva». Consiste en realizar auditorías técnicas de ciberseguridad sobre sus aplicaciones o infraestructura, en las que nuestros expertos certificados en hacking ético tratan de acceder a los sistemas de las compañías, de forma controlada, con el objetivo de notificar los posibles caminos de ataque y agujeros de seguridad que detectemos para que puedan ser solventados antes de que ningún atacante con malas intenciones los trate de explotar. En este sentido, es muy recomendable realizar este tipo de ejercicios de forma continua, con el objetivo de poner a prueba las medidas de ciberseguridad de la organización y entrenar a los equipos de defensa constantemente.
Notiveraz