Cinco lecciones para fortalecer la seguridad de los directivos

 La seguridad de la información supone una función estratégica y una potencial ventaja competitiva, según el último CEO Outlook de KPMG. En paralelo han crecido los riesgos y han aumentado los ciberataques un 7 % en el primer trimestre de 2023, según Check Point Research. Por ello, priorizar la ciberseguridad es esencial por varios motivos:

1. Es imprescindible proteger la información confidencial, tanto la relativa a la estrategia de nuestra empresa como a los datos de nuestros clientes.
2. Un ataque puede tener un gran impacto sobre la reputación de la empresa y del personal directivo y, por tanto, comprometer la imagen global de la organización.
3. La regulación de protección de datos es cada vez mayor, especialmente en algunos sectores, y su seguridad es necesaria para evitar sanciones o problemas legales mayores.

Los riesgos asociados a la digitalización comprometen el negocio desde tres vías: la información de la empresa, de sus sistemas y de sus clientes. El nivel de vulnerabilidad aumenta si tenemos en cuenta que el personal directivo tiene un mayor acceso a información confidencial, lo que le convierte en un perfil más lucrativo bajo la mirada de los cibercriminales. 

La firma especializada BlackCloak advierte de que los hogares se han convertido en un nuevo foco de ataques. En el nuevo ecosistema de internet y movilidad, el riesgo va más allá del ordenador o el smartphone: se trata también de las redes wifi de los hogares, de los hoteles, de los aeropuertos, los televisores o la domótica en general. 

Soluciones clave para transformar el modelo de seguridad de la empresa

Aunque los equipos de seguridad evolucionan rápidamente para mantener las redes y sistemas libres de ataques, cada día se enfrentan a virus más avanzados y complejos. Identificar los riesgos con antelación, realizar controles exhaustivos y definir procesos será fundamental para atajar los riesgos, como explica Víctor Eduardo Deutsch. Esta idea se materializa a través de varias estrategias clave: 

• Análisis de riesgos fuera de la oficina. Si la vida digital personal del directivo puede ser una fuente de riesgos y derivar en un ataque a la empresa, los equipos de ciberseguridad deben realizar un análisis específico en ese contexto. Cualquier dispositivo personal conectado que permita el acceso a datos corporativos supone un punto potencial de entrada, por lo que es un elemento que proteger y vigilar con estrategias de evaluación y mitigación.
• Capacitación en seguridad cibernética para los directivos. Más allá del personal encargado de la ciberseguridad, la capacitación interna puede ayudar a reducir riesgos mediante la actualización regular del conocimiento en la materia del personal de dirección y sus aliados en la cadena de mando. Un informe de Karpersky revela que uno de los principales hándicaps en materia de seguridad informática es la comprensión de la terminología y los conceptos de ciberseguridad.
• Mantener los sistemas de protección actualizados (antivirus, cortafuegos, VPN…) especialmente frente a ataques de malware y ramsomware. El primero se refiere a cualquier tipo de software que roba, elimina o cambia datos sin consentimiento, mientras que el segundo es un tipo de software que cifra los archivos del ordenador y los secuestra esperando un pago a cambio para devolverlos o desbloquearlos.
• Realizar regularmente copias de seguridad para reducir el riesgo de perder datos. Ante posibles ataques, contar con este almacenamiento es básico para recuperar la información. Se recomienda que estas copias sean estancas y no estén conectadas a los equipos de la compañía para asegurar su blindaje ante brechas de seguridad.
• Cuidar los datos sensibles de la compañía. Se puede salvaguardar la confidencialidad de los datos controlando quién tiene acceso a los documentos y archivos importantes, además de la utilización de sistemas de cifrado o el uso de una red privada virtual (VPN). También se puede implementar una política de confidencialidad, con instrucciones claras sobre el manejo de datos que garanticen el cumplimiento normativo, a la par que una política de retención delimitando el tiempo de almacenamiento de los datos.

El phishing, la madre de todas las batallas

El 91 % de las empresas corren el riesgo de sufrir un ataque de phishing en 2023, según un informe de BDO. Lo convierte en la mayor amenaza de ciberseguridad para una empresa este año, con un coste de hasta 16.533 euros por minuto, acorde a los datos de la firma especializada. 

Además, según un informe de Verizon, el 82 % de las infracciones involucran a actores externos con motivación financiera y el 74 % de las infracciones involucra al elemento humano, incluidos ataques de ingeniería social, errores o mal uso. En la mayoría de los casos, se trata de ataques de phishing mediante el envío de un correo electrónico simulando ser una organización legítima (banco, institución, red social, etc.) con el objetivo de obtener información privada, realizar un cargo monetario o infectar el dispositivo mandando enlaces a páginas fraudulentas o adjuntando archivos infectados. Estos correos suelen hacer una llamada a la acción urgente, para que la persona que lo lea no tenga capacidad de reacción. Convierten así a los individuos en el punto débil de la seguridad.

Ente las señales a vigilar en un ataque de este tipo, sea por correo electrónico o SMS (smishing), están aquellos que ofrecen algo demasiado bueno para ser verdad (ganar la lotería, un premio o un objeto de alto valor…), mensajes con adjuntos y enlaces extraños o inesperados, direcciones del remitente mal escritas o con caracteres diferentes a los habituales y direcciones URL sin certificados o el encabezado "HTTPS".

Por eso, tener presentes estas señales y dotarse de una estrategia de ciberseguridad es clave para tener nuestros datos, los de nuestros clientes y la información del negocio a buen recaudo. En muchas ocasiones, de ello puede depender la continuidad del negocio.