Una sola cifra basta para entender el crecimiento de los ciberataques: un informe de Kaspersky labs muestra que en el mercado italiano las víctimas de ataques dirigidos han crecido en el último año un 767% y entre ellas se encuentran la mayoría de las veces personas de alto perfil dentro de sus organizaciones.
Entre los tres vectores de ataque más utilizados están:
- Sistemas expuestos en Internet: hoy en día, prácticamente todas las organizaciones ponen a disposición servicios, aplicaciones o sistemas de información en la web. De hecho, significa exponer una superficie a un posible atacante. Esta superficie se amplía aún más en presencia de ciertas condiciones, por ejemplo cuando terceros tienen acceso privilegiado para gestionar partes de los sistemas de información para su mantenimiento o en presencia de operaciones de fusión y adquisición, es decir, sistemas de información heterogéneos con diferentes niveles y herramientas de seguridad, no integrados y con procedimientos de uso no alineados.
- Infraestructuras: hoy en día, los sistemas funcionan dentro de sistemas y centros de datos virtualizados, que deben actualizarse constantemente. Si el proceso de aplicación de parches y cambios no se gestiona adecuadamente, aumenta el riesgo de tener sistemas que no están debidamente protegidos y expuestos a nuevas vulnerabilidades con el paso del tiempo.
- Personal: las personas suelen ser los primeros vectores de ataque. Los atacantes suelen dirigirse a personas como los directores generales o los gerentes, que poseen información más valiosa de la empresa y tienen acceso a sistemas que tienen más valor.
El mundo de las vulnerabilidades está en constante evolución. Un sistema que era seguro ayer puede no serlo la próxima semana o los próximos meses. Por eso es importante vigilar constantemente su estado mediante la implantación de herramientas de control y defensa y actividades de verificación periódicas (Penetration Test).
También es importante hacer uso del Centro de Operaciones de Seguridad, para analizar los ataques en curso, apoyar las actividades de las fuerzas del orden, poner de manifiesto las anomalías de comportamiento de los usuarios y bloquear o limitar el impacto de un ataque.
Dado que es impensable que una organización disponga internamente de todas las competencias específicas en el ámbito de la seguridad, también es útil recurrir a los servicios de seguridad gestionados, es decir, recurrir a proveedores con personal cualificado para la gestión y la ejecución de los servicios.
Por último, pero no por eso menos importante, la concienciación en materia de seguridad, es decir, la formación del personal, es fundamental. Para responder a esta necesidad, el Grupo Kirey ofrece paquetes de formación estándar o personalizables a las empresas, con el fin de apoyarlas en su proyecto de seguridad, difundiendo a todos los niveles organizativos una cultura básica sobre los fundamentos de la seguridad informática y minimizando el riesgo de ataques basados en la Ingeniería Social o el Phishing.
La seguridad no debe verse como el estado final, sino como el resultado de un proceso que involucra de forma constante y coherente a los profesionales y a los informáticos. Un camino basado en la actualización constante y en el conocimiento y gestión profundos de las vulnerabilidades, que se convierte en parte integrante de los procesos empresariales y que puede desarrollarse, evolucionar y aplicarse con el tiempo, en función de las amenazas.
El desarrollo de aplicaciones debe estar estrechamente relacionado con la capacidad de verificar la seguridad del código que se va a escribir, de la aplicación que se va a distribuir a los suscriptores o que se puede utilizar en los navegadores. Todo este tipo de comprobaciones y controles deben ser nativos dentro del ciclo de desarrollo, de lo que técnicamente se llama SecDevOps. Mientras que el Desarrollo y las Operaciones representan una transición continua y coordinada de una fase a otra, la Seguridad abarca este movimiento de manera que en cualquier fase siempre se tiene en cuenta. De hecho, intervenir después de un ataque cuesta de 7 a 20 veces más que desarrollar directamente el sistema de forma segura.
En el mundo de los Fondos de Pensiones, esto es especialmente importante porque el desarrollo de los servicios suele ser a medida, por lo que también es necesario contar con soluciones de software e implementaciones personalizadas en el ámbito de la seguridad.
El Grupo Kirey es una realidad fuertemente planificada que acompaña a las empresas en su trayectoria digital, ofreciendo competencias específicas en el ámbito de la integración de sistemas, la consultoría estratégica, la innovación tecnológica, la gestión de procesos y proponiendo una amplia gama de soluciones informáticas.
El Grupo Kirey puede contar con una división dedicada que se ocupa verticalmente de la Previsión y la Jubilación, dividida en equipos de productos y servicios administrativos, para apoyar a la Caja a lo largo de su ciclo de vida: desde la fase de establecimiento hasta la administración diaria, pasando por la gestión de operaciones extraordinarias como fusiones e incorporaciones.
Dentro de toda la oferta del Grupo Kirey, se integran competencias específicas en el ámbito de la Seguridad. Los que se centran en los temas de Gestión de Amenazas, Riesgo de TI y Gobernanza, Práctica y Cumplimiento abordan mejor la respuesta a las necesidades descritas para mapear los riesgos y proporcionar a las empresas planes operativos habilitantes para hacer frente a un posible incidente de seguridad.