Tradicionalmente, la ciberseguridad en las empresas se ha visto como algo necesario para evitar problemas, más como un gasto que como una inversión para asegurar la continuidad del negocio. Hasta hace no mucho se trataba de un enfoque perimetral, protegemos lo que hay dentro de las oficinas contra el atacante externo.
Pero las cosas han cambiado y por eso hemos querido ponernos en contacto con seis expertos para que nos expliquen las claves para que las empresas no teman los ciberataques. Directivos de Fortinet, GData, Panda, Stormshield, Eset, Trend Micro y Getronics nos han respondido a las cuestiones que les hemos planteado sobre la seguridad en las empresas hoy en día.
La seguridad y el tamaño de la empresa
¿Importa el tamaño de la empresa para el diseño de la seguridad?
José Luis Laguna, director técnico de Fortinet Iberia, nos cuenta que en el pasado las grandes empresas eran las que disponían de recursos propios para encargarse de la seguridad, pero, con el transcurso de los años, tanto las grandes empresas como las pequeñas confían su seguridad a proveedores de servicios que proporcionan un modelo más viable, económicamente hablando. Además, hoy en día, se diseñan los dispositivos de seguridad en función de su rendimiento, no de su funcionalidad, haciendo que sean asequibles para todo tipo de firmas. Para acercar la seguridad de la gran empresa a la pequeña, también se suman los servicios en la nube. [hde_related]
La complejidad de las grandes empresas añade una dificultad extra, tal y como nos comenta Ángel Victoria, country manager de GData en España. Una empresa de gran tamaño puede tener diferentes ubicaciones, redes o más heterogeneidad en sus sistemas operativos, por lo que la superficie atacable puede ser mayor.
Para Alberto Tejero, director comercial de Panda Security en Iberia, la clave está en la dependencia de internet del negocio. Hasta hace muy poco, las empresas financieras y los gobiernos eran los principales objetivos de los ciberataques. Hoy en día, el desarrollo de los negocios de las empresas de cualquier tamaño y sector depende en mayor o menor medida de internet y, en consecuencia, la amenaza se ha convertido en universal.
Lo importante no es el tamaño de la empresa, sino, más bien, los activos a proteger, tal y como afirma Borja Pérez, country manager de Stormshield Iberia. Una postura compartida también por Josep Albors, responsable de concienciación de Eset España, para el que lo importante es la cantidad y criticidad de la información que se tiene que proteger. Eva Cuadrado, responsable del Centro de Competencia de Ciberseguridad de Getronics España, y Gustavo Lara, responsable de Seguridad de Getronics España, señalan que no todas las empresas pueden tener las mismas medidas de seguridad. Algo que también depende del sector, añade José de la Cruz, director técnico de Trend Micro Iberia.
¿Cuáles son las medidas de seguridad imprescindibles?
Desde Eset parten de la premisa de que es un error pensar que no somos un objetivo. Al igual que en Fortinet, coinciden en que lo ideal es tratar de reducir la superficie de exposición protegiendo el punto final, tener conocimiento de lo que ocurre en nuestra red, utilizar herramientas de seguridad inteligentes, tratar de automatizar el mayor número de tareas posibles y concienciar a los empleados.
[infogram id=»ciberseguridad-1h9j6q8nex356gz?live»]
Desde GData ponen el acento en la actualización y parcheado de equipos, algo en lo que también coinciden con los expertos de Panda, que añaden la necesidad de utilizar contraseñas robustas y, siempre que sea posible, la verificación en dos pasos para identificarnos en los sistemas y aplicaciones. Un sistema multicapa con varias soluciones que se combinen entre sí es una de las opciones de Trend Micro, así como tener visibilidad de todo lo que está ocurriendo en nuestros sistemas.
Las copias de seguridad regulares y tener un plan de contingencia, unido a un equipo humano con conocimientos de ciberseguridad, son claves para Stormshield. Hay que estar preparados, ya que, como aseguran desde Getronics, la seguridad al 100% no existe.
¿Qué pueden aprender las pymes de las grandes empresas?
Partiendo de la premisa de que no hace falta ser una gran empresa para ser objetivo de un ciberataque, cualquier sistema puede sufrir uno. No solo en las pymes, incluso también un particular, tal y como indican desde Fortinet. José de la Cruz, de Trend Micro, cree que aunque no se tengan muchos recursos, es cuestión de cómo se apliquen estos, con independencia del tamaño.
En este sentido, en GData creen que las pequeñas empresas y el autónomo deberían empezar a considerar la ciberseguridad como una inversión y una medida de productividad, y no como un gasto. También hacer de la seguridad algo transversal, de lo que no solo se ocupe el departamento de IT, es algo en lo que inciden desde Strormshield.
[hde_summary] El empleado debe convertirse en una capa de seguridad más. Pero es necesario ayudar a dicho empleado, no solo con formación, sino muchas veces recurriendo a herramientas que permiten atajar un ataque. [/hde_summary]
Con todo ello se muestran de acuerdo desde Panda y Getronics, para los que la concienciación de los empleados en materia de ciberseguridad y buenas prácticas es el principio de la seguridad en la pyme. Todos los expertos en seguridad convienen en disponer de un plan de recuperación en caso de necesidad. Tal y como comenta Josep Albors de Eset, para una pyme dicho plan puede representar únicamente hacer copias de seguridad periódicamente y asegurarse de que se restauran de forma correcta.
¿Cómo convertir al empleado en garante de la seguridad?
Como hemos visto, todos los expertos se han mostrado preocupados por la formación y concienciación de los usuarios finales. Tal y como indica Ángel Victoria, de GData, el empleado debe convertirse en una capa de seguridad más. Pero es necesario ayudar a dicho empleado, no solo con formación, sino muchas veces recurriendo a herramientas que permitan atajar un ataque, incluso antes de que llegue a producirse. Las soluciones de ciberseguridad avanzada monitorizan los sistemas de la organización en tiempo real, detectando y deteniendo cualquier comportamiento sospechoso que podría resultar dañino, indica Alberto Tejero, de Panda Security.
Pero no hay que quedarse en la concienciación, comentan desde Getronics, también es necesario dar soporte a los empleados en el caso de que la amenaza se materialice, intentando buscar una solución que reduzca al mínimo el impacto de esta.
En esta línea, Trend Micro apunta al crecimiento de los ataques BEC (Business Email Compromise), puesto que la mayor parte del ransomware que se está distribuyendo se hace por correo electrónico que llega a los empleados. La solución Smart Protection Network de Trend Micro bloqueó más de 66.400 millones de amenazas en 2017, de las que más del 85% fueron emails con contenido malicioso y el 94% del ransonware bloqueado llegó por dicho medio.
¿Está diseñada la seguridad para el trabajador?
Lo cierto es que todos los expertos de seguridad coinciden en este tema. Una solución de seguridad compleja de manejar no es efectiva. Por eso en Fortinet buscan desarrollar herramientas sencillas de implementar y utilizar, que aporten visibilidad de lo que está ocurriendo en la red de las empresas y que a la vez establezcan medidas automáticas de protección. Si un producto de seguridad no es fácilmente gestionable, no será eficaz.
Desde GData tratan de reducir al máximo el factor humano, pero es evidente que sigue ahí. Una política eficaz lo contempla como parte de la ecuación y concluye que, sin duda, es necesario que esté mínimamente formado en la materia. Los cibercriminales se aprovechan de usuarios, corporativos o particulares ingenuos, de clic fácil. En Trend Micro apuestan por reducir la intervención del usuario aprovechando los automatismos y la innovación basada en inteligencia artificial y machine learning.
A pesar de todo, la decisión final en muchos casos está en manos del empleado, tal y como indican en Getronics. Las medidas de seguridad que se implantan en una empresa intentan automatizar la protección lo máximo posible. Pero es cierto que el usuario final es el que decide si seguir un enlace o no o si introducir sus credenciales en una página aparentemente segura, por ejemplo. Por eso es muy importante formar a todos los empleados en materia de ciberseguridad. De hecho, desde Eset creen que lo ideal sería que todos los sistemas de seguridad fueran totalmente transparentes al usuario. Aunque la realidad es que la seguridad siempre ha estado reñida con la usabilidad.
Finalmente, a modo de conclusión, estos seis expertos subrayan la importancia de que desde las empresas se reconozca que la amenaza se ha convertido en universal. No importa su tamaño, sino la información a proteger, porque todas, independientemente del sector en el que realicen su actividad, pueden ser objetivo de los ciberdelincuentes, así que en la mano de sus directivos está cómo protegerlas.
