ICM / seguridad / La ciberseguridad en manos de una auditoría

La ciberseguridad en manos de una auditoría

3 noviembre 2020 | Iñaki Calvo

Indistintamente del tamaño y del sector de tu empresa, el realizar una auditoría de seguridad de forma trimestral, semestral o incluso anual, debería ser una tarea de obligado cumplimiento. ¿Sabes cuántas empresas, diariamente, sufren ataques de ciberseguridad y no saben por qué, ni cuándo ocurren?

La evolución tecnológica

Podemos afirmar con cierta rotundidad que la tecnología nos ha facilitado la vida. De hecho, raro es el momento histórico en el que no se haya debido a una re/evolución tecnológica. La informática ha ayudado a la humanidad a avanzar como nunca.

El poner la informática al alcance de cualquier perfil de usuario, ha conseguido que la sociedad evolucione rápidamente hasta, incluso, generar cierta dependencia con la tecnología. Ahora, es difícil encontrar a un ciudadano sin un smartphone, o sin Netflix, o que no pida algún producto por Amazon, o que no acceda a sus cuentas bancarias por medio de una App.

Y lo que, sin duda, es una gran ventaja para la sociedad, se ha convertido per sé, en un gran riesgo para la misma ya que debemos saber valorar, aceptar, convivir y revisar siempre las condiciones de este riesgo.

Tecnología y ciberseguridad

Desde un particular hasta el negocio más importante, todos somos susceptibles de los riesgos que las nuevas formas de actuar con la tecnología comportan. Es necesario valorar la medida en que nuestro servicio está expuesto a un riesgo y contar con que siempre pueden aparecer nuevas amenazas. Debemos, además, pensar en nuestros usuarios, los datos que nos aportan, su custodia y protección y la forma en la que las leyes y normas nos obligan a proteger nuestros negocios, pero también a ellos.

La productividad de la tecnología y la ciberseguridad están estrechamente relacionadas. Cuanto mayor es el volumen de negocio online, mayor son los riesgos y el número de ataques sufridos. Pero, de la misma, cuantos más ataques realizados, más conciencia e inversión en seguridad.

Ataques de ciberseguridad

Permitidnos algunos datos interesantes extraídos del último informe de Google acerca de cuál es el panorama en cuanto a ciberseguridad en España:

  • 99,8% del tejido empresarial español no se considera un objetivo atractivo para un ciberataque.
  • El 60% de las pymes europeas que son víctimas de ciberataques desaparece en los seis meses siguientes al incidente, muchas veces lastradas por el coste medio del ataque, que suele rondar los 35.000 euros.
  • El 43% de esos ciberataques va dirigido específicamente a pequeñas empresas
  • En 2018 hubo un 350% más de ataques de ransomware.
  • Casi 3 millones de empresas en España están poco o nada protegidas contra hackers.
  • Tan solo un 36% de las pymes encuestadas tiene establecidos protocolos básicos de seguridad, como la verificación de dos pasos para el correo de empresa. Un 30% de las webs no dispone del protocolo https.
  • Apenas un 14% de los usuarios encuestados actualiza sus contraseñas, y solo un 21% hace regularmente copias de seguridad de sus archivos.
  • El caso español: 102.414 incidentes contra ciudadanos y empresas durante 2018
  • Según el Instituto Nacional de Ciberseguridad (INCIBE), en España en 2016, el coste medio de un ciberataque rondó los 75.000 euros, lo que supuso unos 14.000 millones de euros de pérdida para todo el tejido empresarial del país.

Son datos escalofriantes, sin duda. Pero lo peor es la inacción de la mayoría de las empresas y sus usuarios. Parece como que no tenga que ver con cada uno de nosotros (99’8% cree que no les pasará a ellos).

El coste medio de un ataque para una empresa es de 75.000€ y, dado que es un gasto difícil de realizar, en el 60% de los casos, las empresas atacadas se ven obligadas al cierre.

¿Cuál es la solución?

La solución está al alcance del 100% de las empresas: el realizar una auditoría de seguridad. 

Una auditoría de seguridad puede realizarse sobre:

  • Plataforma
  • Código/Aplicativo
  • Políticas sobre grupos/usuarios

Dependiendo del tipo de negocio y de riesgo (muy importante poder identificarlo), se requerirá el conjunto de ellos o solo una parte.

Lo más importante de todo es coger conciencia de los riesgos y tener la voluntad de realizar una auditoría de seguridad de evaluación para, al menos, tener conciencia de dónde estamos.