La gestión prudente de los ciberataques es un motor esencial para el buen desarrollo de una empresa que, incluso en caso de emergencia, debe restablecer el servicio ante los daños y garantizar la disponibilidad de los servicios más críticos sin interrupción.
La gestión prudente de los ciberataques es un motor esencial para el buen desarrollo de una empresa que, incluso en caso de emergencia, debe ser capaz de restablecer el servicio en caso de daños (Disaster Recovery) y garantizar la disponibilidad de sus servicios más críticos sin interrupciones (Business Continuity).
Este modus operandi protege a la organización de posibles costes imprevistos y daños a su imagen. Por lo tanto, se convierte en una importante ventaja competitiva que las empresas deben aprender a utilizar cuanto antes, revisando sus procesos y métodos operativos, para asegurar el sistema informático.
De hecho, a menudo se comete el error de pensar que los atentados pueden tener como único objetivo la acción demostrativa, el espionaje o el ataque a las infraestructuras críticas de un país. En realidad, las organizaciones criminales han encontrado múltiples formas de hacer negocio y generar beneficios, golpeando a diferentes tipos de empresas, incluidas las PYMES; estas últimas están más indefensas, ya que la información más buscada y vendida en el mercado negro con fines fraudulentos, son los datos personales, las credenciales de acceso, las direcciones de correo electrónico y la propiedad intelectual. Todo ello cuando el atacante no se conforma con bloquear el acceso a los datos cifrándolos y exigiendo un rescate para liberarlos.
El alcance de la Ciberseguridad es horizontal: desde la defensa nacional hasta la seguridad en el mundo financiero, desde la protección de las actividades privadas hasta la garantía de continuidad en el funcionamiento de las actividades productivas. Así lo demuestran también los últimos ciberataques, que han tenido como objetivo indiscriminado la Administración Pública y las empresas privadas y públicas.
No sólo hablamos de la tecnología, sino también de los procesos, la organización, los usuarios internos y externos, los proveedores: son varios los puntos en los que el ecosistema podría ser más débil y estar más sujeto a un ataque. El atacante ya no es el joven hacker que actúa solo, sino que es cada vez más una organización real con una capacidad de inversión considerable que compra herramientas y sistemas para buscar vulnerabilidades y explotarlas de forma automatizada.
La superficie de ataque: dónde se concentra el riesgo actualmente
Una sola cifra basta para entender el crecimiento de los ciberataques: un informe de Kaspersky labs muestra que en el mercado italiano las víctimas de ataques dirigidos han crecido en el último año un 767% y entre ellas se encuentran la mayoría de las veces personas de alto perfil dentro de sus organizaciones.
Entre los tres vectores de ataque más utilizados están:
- Sistemas expuestos en Internet: hoy en día, prácticamente todas las organizaciones ponen a disposición servicios, aplicaciones o sistemas de información en la web. De hecho, significa exponer una superficie a un posible atacante. Esta superficie se amplía aún más en presencia de ciertas condiciones, por ejemplo cuando terceros tienen acceso privilegiado para gestionar partes de los sistemas de información para su mantenimiento o en presencia de operaciones de fusión y adquisición, es decir, sistemas de información heterogéneos con diferentes niveles y herramientas de seguridad, no integrados y con procedimientos de uso no alineados.
- Infraestructuras: hoy en día, los sistemas funcionan dentro de sistemas y centros de datos virtualizados, que deben actualizarse constantemente. Si el proceso de aplicación de parches y cambios no se gestiona adecuadamente, aumenta el riesgo de tener sistemas que no están debidamente protegidos y expuestos a nuevas vulnerabilidades con el paso del tiempo.
- Personal: las personas suelen ser los primeros vectores de ataque. Los atacantes suelen dirigirse a personas como los directores generales o los gerentes, que poseen información más valiosa de la empresa y tienen acceso a sistemas que tienen más valor.
Cómo reducir el riesgo: algunas contramedidas a tomar
El mundo de las vulnerabilidades está en constante evolución. Un sistema que era seguro ayer puede no serlo la próxima semana o los próximos meses. Por eso es importante vigilar constantemente su estado mediante la implantación de herramientas de control y defensa y actividades de verificación periódicas (Penetration Test).
También es importante hacer uso del Centro de Operaciones de Seguridad, para analizar los ataques en curso, apoyar las actividades de las fuerzas del orden, poner de manifiesto las anomalías de comportamiento de los usuarios y bloquear o limitar el impacto de un ataque.
Dado que es impensable que una organización disponga internamente de todas las competencias específicas en el ámbito de la seguridad, también es útil recurrir a los servicios de seguridad gestionados, es decir, recurrir a proveedores con personal cualificado para la gestión y la ejecución de los servicios.
Por último, pero no por eso menos importante, la concienciación en materia de seguridad, es decir, la formación del personal, es fundamental. Para responder a esta necesidad, el Grupo Kirey ofrece paquetes de formación estándar o personalizables a las empresas, con el fin de apoyarlas en su proyecto de seguridad, difundiendo a todos los niveles organizativos una cultura básica sobre los fundamentos de la seguridad informática y minimizando el riesgo de ataques basados en la Ingeniería Social o el Phishing.
El modelo ganador en el desarrollo de aplicaciones
La seguridad no debe verse como el estado final, sino como el resultado de un proceso que involucra de forma constante y coherente a los profesionales y a los informáticos. Un camino basado en la actualización constante y en el conocimiento y gestión profundos de las vulnerabilidades, que se convierte en parte integrante de los procesos empresariales y que puede desarrollarse, evolucionar y aplicarse con el tiempo, en función de las amenazas.
El desarrollo de aplicaciones debe estar estrechamente relacionado con la capacidad de verificar la seguridad del código que se va a escribir, de la aplicación que se va a distribuir a los suscriptores o que se puede utilizar en los navegadores. Todo este tipo de comprobaciones y controles deben ser nativos dentro del ciclo de desarrollo, de lo que técnicamente se llama SecDevOps. Mientras que el Desarrollo y las Operaciones representan una transición continua y coordinada de una fase a otra, la Seguridad abarca este movimiento de manera que en cualquier fase siempre se tiene en cuenta. De hecho, intervenir después de un ataque cuesta de 7 a 20 veces más que desarrollar directamente el sistema de forma segura.
En el mundo de los Fondos de Pensiones, esto es especialmente importante porque el desarrollo de los servicios suele ser a medida, por lo que también es necesario contar con soluciones de software e implementaciones personalizadas en el ámbito de la seguridad.
El Grupo Kirey y el mundo del bienestar
El Grupo Kirey es una realidad fuertemente planificada que acompaña a las empresas en su trayectoria digital, ofreciendo competencias específicas en el ámbito de la integración de sistemas, la consultoría estratégica, la innovación tecnológica, la gestión de procesos y proponiendo una amplia gama de soluciones informáticas.
El Grupo Kirey puede contar con una división dedicada que se ocupa verticalmente de la Previsión y la Jubilación, dividida en equipos de productos y servicios administrativos, para apoyar a la Caja a lo largo de su ciclo de vida: desde la fase de establecimiento hasta la administración diaria, pasando por la gestión de operaciones extraordinarias como fusiones e incorporaciones.
Dentro de toda la oferta del Grupo Kirey, se integran competencias específicas en el ámbito de la Seguridad. Los que se centran en los temas de Gestión de Amenazas, Riesgo de TI y Gobernanza, Práctica y Cumplimiento abordan mejor la respuesta a las necesidades descritas para mapear los riesgos y proporcionar a las empresas planes operativos habilitantes para hacer frente a un posible incidente de seguridad.