La sociedad y en consecuencia las empresas, están hiperconectadas, con un uso intensivo de las tecnologías de la información, desubicando las relaciones sociales, extendiendo los lugares de relación hasta el interior de las casas y de las cosas (IoT - the Internet of Things). También se están abriendo nuevos usos de las tecnologías de la información y las comunicaciones (TIC, por sus siglas en inglés); por ejemplo, en el campo de la salud con los marcapasos accesibles o en el del transporte, con los vehículos autónomos.
Adicionalmente, cada elemento TIC que incorporamos es más la integración de diferentes productos (de diversas empresas) que un único producto con un único responsable de su garantía y corrección de fallos. A este complejo panorama se suma la externalización de trabajos y en muchos casos el acceso remoto a elementos que requieren mantenimiento. Todos estos usos y circunstancias aumentan la exposición a los ataques desde internet.
El uso de las tecnologías de la información conlleva la presencia de riesgos, riesgos tecnológicos que van desde errores a ataques delictivos.
Las noticias en la prensa nos recuerdan que los incidentes y brechas de seguridad son cada vez más frecuentes.
LAS EMPRESAS Y SU ENFOQUE DE LA GESTIÓN DE LOS CIBERRIESGOS
Frente a esta realidad y a la necesidad de gestionar los riesgos derivados del uso intensivo de las tecnologías TIC, no todas las empresas están abordando la seguridad; ciberseguridad, en este caso. No solo falta una estrategia en esta materia, sino incluso un mínimo de sensibilidad, presupuesto y recursos que le permitan garantizar su supervivencia en los próximos años. Todas ellas, empresas pequeñas, medianas o grandes deben darse cuenta de la necesidad de contratar servicios de seguridad, o bien de la construir internamente esos mismos servicios, con la finalidad de gestionar exitosamente sus riesgos.
Las grandes empresas han aprendido a convivir con avisos de seguridad, ataques y regulaciones exigentes. Los avisos extraordinarios de graves vulnerabilidades en relación a productos y aplicaciones que están utilizando son tan frecuentes que han dejado de ser extraordinarios; en este año se están comunicando entorno a una vulnerabilidad grave cada quince días, aunque hay semanas que se producen dos o tres avisos: el próximo ataque se está gestando en este momento y así cada día. Este tipo de empresas, por su tamaño, por su liderazgo, por el impacto en sus operaciones y por el posible daño a su imagen, disponen de una organización de seguridad, con recursos y presupuestos que, si bien por lo general aún son insuficientes, les permiten mantener una defensa activa frente a las ciberamenazas.
Salvo raras excepciones, las pequeñas y medianas empresas no están adecuándose al ritmo que las amenazas y las regulaciones requieren, pues en la mayoría de los casos sus prioridades son otras y la ciberseguridad no está entre ellas.
El tamaño de la empresa a priori no determina el grado de exigencia con el que debe afrontar la Ciberseguridad, pero sí la posibilidad de abordarla internamente.
Decimos que el tamaño de la empresa no determina el tamaño de la responsabilidad frente a la ciberseguridad pues, por ejemplo, hay infraestructuras críticas que son operadas por pequeñas empresas. Igualmente, la gran mayoría de los 4.811.456 ficheros registrados en la agencia de protección de datos corresponden a las mismas. Esa responsabilidad debe estar presente y se debe desarrollar no sólo por convencimiento empresarial, sino para satisfacer la exigencia legal.
Pero si el tamaño de la empresa no debe determinar abordar la seguridad, sí es un fuerte condicionante para disponer o no de una organización de seguridad.
Según el INE, en España, en torno a 1.823.000 empresas no tienen asalariados, un 1.400.000 tienen menos de 20 asalariados y sólo 68.000 empresas más de veinte asalariados, lo que dificulta que puedan disponer aunque sólo sea de una persona, con conocimiento y responsabilidad en seguridad. Es por ello que la contratación a terceros de servicios que incluyen “toda la seguridad” o la contratación por empresas de mediano tamaño de servicios especializados a tiempo parcial como puede ser el de responsable de seguridad (CISO, por sus siglas en inglés) serán cada vez más frecuentes, al igual que actualmente es habitual contratar asesoramiento legal o gestoría fiscal.
CIBERSEGURIDAD
¿Qué es la Ciberseguridad?, ¿Representa un nuevo concepto o es lo mismo que la seguridad informática?
La seguridad aplicada a la tecnología a lo largo de su historia ha sido denominada primero como seguridad informática, más tarde seguridad de la información y ahora Ciberseguridad.
Este cambio de denominación responde a la evolución de la percepción de dónde reside el valor para la empresa. Veamos en cada uno de los casos dónde se sitúa el foco:
Seguridad informática. Lo importante: los sistemas informáticos.
Seguridad de la información. La información (es ella quién tiene el verdadero valor para la empresa y no tanto la informática que la trata).
Ciberseguridad. Además de la información, ahora hay dos nuevos focos: las personas y el mantenimiento de las operaciones.
IMPACTO Y CIBERATACANTES
Las infraestructuras críticas proveen servicios esenciales a la sociedad, así que los ataques cibernéticos a esas infraestructuras tienen un gran potencial lesivo sobre las operaciones y la vida de las personas.El impacto de un ataque puede ir mucho más allá del económico ya sea este como causa directa del ataque (por ejemplo, por robo de información), por alterar la operación (costes operativos), como consecuencia de sanciones o por daños a terceros, alcanzando al bienestar, calidad de vida, salud de las personas o integridad de las mismas. Esto último, la posibilidad de causar heridos o víctimas mortales, es sin duda un salto cualitativo en el grado de impacto que un ciberataque puede causar.
Esto es así porque los agentes de amenaza no son sólo los ciber-delincuentes individuales, sino que terceros con más medios económicos, capacidades y destrezas han hecho presencia; cibermafias (redes organizadas), ciberterroristas, hacktivistas que buscan repercusiones mediáticas(de sus ideales o de terceros con los que simpatizan), ciberespías (industriales o de otro índole) o incluso los ataques país (estrategia de apoyo a su industria, desestabilización, conflicto no declarado, entre otras posibles causas). Cabe citar en este punto que el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), publicó que en el 2016 el 90% de los ciberataques clasificados como críticos, los de mayor gravedad, sufridos por organismos públicos o empresas españolas de interés estratégico, proceden de Gobiernos extranjeros.
COSTE DE UN CIBERATAQUE
Son muchos los estudios sobre los costes que soporta una empresa tras un ciberataque que haya tenido éxito, citaremos como ejemplo el que el fabricante de antimalware Kaspersky publicó en octubre de 2016. El estudio se realizó a más de 4.000 empresas de 25 países, el mismo concluía como resultado que, de media, un único incidente de ciberseguridad cuesta a las grandes empresas 770.252 €, mientras que a pequeñas y medianas empresas les cuesta 77.372 €.
Lo más alarmante para el estudio es la importancia que tiene el momento en que se descubre el ciberataque, ya que el coste de recuperación aumenta significativamente. Por ejemplo, las pymes tienden a pagar un 44% más si tienen que recuperarse de un ciberataque descubierto después de una semana o más en el sistema, en comparación con si se descubren el mismo día del ataque. Las grandes empresas pagan un 27% de recargo en las mismas circunstancias.
En la prensa vemos noticias de grandes marcas que les han robado millones de datos de usuarios y por habituales ya casi ni le prestamos atención, como es el caso que recientemente ha ocurrido con Equifax, por el contrario, solemos visualizar con intensidad el impacto y estrago que ha causado cuando leemos declaraciones como las que Reckitt Benckiser, dueño de marcas como Durex, Harpico Nurofen, realizó y en las que dice que el ciberataque de Junio del 2017 protagonizado por el virus 'Petya' le produjo unas pérdidas de 113 millones de euros o cuando el grupo danés Maersk calcula que el ciberataque que sufrió este verano le ha costado entre 171 y 256 millones de euros.
Por desgracia, los atacantes no siempre son tan escandalosos como como Petya o como Wannacry, el ransomware que un fin de semana de mayo de este año abrió los ojos de muchos empresarios en relación con lo que un ataque puede afectar a las operaciones de su negocio. En efecto, es una desgracia, pues el ataque adquiere mayor gravedad cuando el atacante ha logrado sigilosamente acceder y permanecer durante semanas, meses o años en los sistemas de la empresa. Esa situación de permanencia en el tiempo afectaría gravemente a los secretos comerciales y a la recuperación de las operaciones, ya que debe identificarse dónde ha penetrado, con qué extensión, qué datos ha filtrado, qué identidades y contraseñas conoce, qué servicios ha manipulado e incluso creado para acceder a la compañía; en definitiva, el análisis forense de los sistemas y la falta de confianza en cuál es el punto temporal seguro de recuperación (desde el que en re-instalar un entorno limpio que impida dejar puertas traseras silentes para que de nuevo el intruso tome el control),puede provocar el cese o degradación de las operaciones durante días o meses.
Por todo ello, se espera se incremente la demanda en ciberseguros que nos cubran los daños propios, así como los daños a terceros. Si bien es verdad que paradójicamente las empresas aseguradoras son cada vez más reacias a ofertar este tipo de productos. Esto es así, por el océano de incertidumbres que rodean el entorno a asegurar y los riesgos a cubrir. Por ejemplo, al día siguiente a Wannacry más de una aseguradora dio instrucciones para que no se aceptaran ciberseguros a pymes.
OBLIGACIÓN DE NOTIFICACIÓN
Más de un millón y medio de empresas, organismos públicos, cámaras oficiales, asociaciones, notarios, universidades entre otras, deben ser conscientes que a partir de mayo de 2018 será de plena aplicación el nuevo Reglamento General de Protección de datos (RGPD).
El RGPD incorpora la obligación de notificar los incidentes de seguridad que tengan impacto sobre datos de carácter personal. El RGPD contempla una sanción máxima del 4% del volumen de facturación, lo que es sin duda un acicate para reflexionar el daño que una brecha de seguridad puede causar directa e indirectamente a una empresa.
El RGPD no es la única ley que obliga a notificar (se acabó sufrir en silencio y con poca transparencia), el Esquema Nacional de Seguridad, la Ley de Infraestructuras críticas o la directiva NIS de servicios esenciales y digitales también lo exigen.
FUTURO
De aquí a los próximos años hay diversos factores que incrementarán el riesgo de que los ciberataques sean aún un problema mayor. Por ejemplo, para 2020 se calcula que se habrán instalado entre 20 y 50 mil millones de dispositivos IoT. Estos dispositivos tendrán serias carencias en materia de seguridad, al ser en su inmensa mayoría diseñados sin tener en cuenta la seguridad, sin garantías de mantenimiento en la eliminación de vulnerabilidades y delegando la responsabilidad de la administración de la protección en los usuarios. Ya a día de hoy han sido utilizados en ataques redes de dispositivos IoT controlados por atacantes.
