El ciberataque sufrido la semana pasada por el proveedor de telecomunicaciones británico TalkTalk ha puesto de manifiesto una vez más la importancia fundamental de la ciberseguridad.
TalkTalk se une a una lista cada vez más larga de empresas que han sufrido importantes violaciones de datos, como Ashley Madison, eBay, AOL, Target, Home Depot, Sony, Anthem y JPMorgan Chase.
Google y McAfee calculan que cada día se producen 2.000 ciberataques en todo el mundo, que cuestan a la economía mundial unos 300.000 millones de libras (460.000 millones de dólares) al año.
Sin embargo, más de dos tercios de las empresas afirman sentirse insuficientemente protegidas frente a unos piratas informáticos cada vez más sofisticados que buscan extorsionar mediante el chantaje o robar datos para venderlos en el mercado negro.
¿Qué deberían hacer las empresas para mejorar su seguridad? Technology of Business ha pedido la opinión de expertos en ciberseguridad.
Proteja sus datos, no sólo el perímetro
Muchos expertos advierten que las ideas que tenemos sobre la ciberseguridad de las empresas están desfasadas.
Olvídese de la idea de la puerta y el puente levadizo, ahora hay cientos de entradas potenciales al castillo porque las empresas están conectadas con los clientes, proveedores y empleados a través de Internet. No sólo eso, sino que es como si todos los que entran y salen del castillo tuvieran también una llave para abrir todas las puertas.
Las infracciones son inevitables, es la cruda advertencia, así que hay que proteger los datos que importan.
La conclusión es que los directores de informática tienen que aceptar que su empresa va a sufrir una brecha y cambiar su estrategia de seguridad de la «prevención de la brecha» a la «aceptación de la brecha»», afirma Jason Hart, director de tecnología de Gemalto, especialista en seguridad digital.
Conozca sus datos
Pero muchas empresas ni siquiera saben qué datos tienen almacenados en sus sistemas, y mucho menos lo importantes que son, tal es la complejidad de sus sistemas informáticos heredados y la reciente proliferación de datos digitales procedentes de dispositivos móviles y del «Internet de las cosas».
Según un estudio reciente de la empresa de gestión de la información Veritas, el 59% de los datos de los sistemas informáticos del Reino Unido son «datos oscuros» no clasificados.
Despertar a la amenaza interna
Es demasiado fácil concentrarse en los ataques procedentes del exterior e ignorar los riesgos que plantean -a sabiendas o no- las personas que están dentro de su organización.
Además, los ataques internos pueden ser más difíciles de detectar y tratar. «En realidad, se tarda unos 70 días en reparar un ciberataque interno», afirma Grieveson.
Los empleados que hacen clic en archivos adjuntos de correo electrónico que creen que son de fuentes de confianza son «la amenaza número uno para las organizaciones», dice Gary Steele, jefe de Proofpoint, un especialista en correo electrónico seguro.
«Una empresa puede gastar millones en inversiones en soluciones de seguridad, pero basta con que un empleado haga clic en un enlace para que la empresa se vea comprometida», afirma.
Los piratas informáticos se están volviendo muy hábiles a la hora de utilizar información personal obtenida de las redes sociales y otras fuentes -la llamada ingeniería social- para convencer a los empleados de que los correos electrónicos proceden de personas conocidas. Los expertos aconsejan educar al personal sobre esta amenaza.
Cuando se trata de empleados a sueldo de bandas criminales, las herramientas de análisis predictivo pueden tratar de detectar anomalías en su comportamiento en una red corporativa, pero estas herramientas pueden ser costosas y largas de gestionar.
Aumentar la vigilancia
Las empresas pueden conseguir mucho simplemente supervisando sus sistemas de forma más eficaz, afirma Gavin Millard, director técnico de Tenable Network Security.
Esto incluye la «aplicación de parches a los fallos fácilmente explotables, un sólido filtrado de las comunicaciones entrantes y salientes, una defensa actualizada contra el malware, el cifrado de la información sensible y una buena política de contraseñas», resume.
Como mínimo, las empresas deben asegurarse de que los certificados de seguridad de la red y el software antivirus y de cortafuegos están actualizados.
«Desde el punto de vista tecnológico, invertir en controles de supervisión para detectar cuando se produce un ataque es probablemente lo más importante», afirma Javvad Malik, de AlienVault. «Desde una perspectiva no tecnológica, la formación en seguridad del personal puede ser de gran ayuda».
Enfrentarse a los móviles
Si el personal utiliza sus propios dispositivos móviles para trabajar, las empresas deberían, como mínimo, restringir el acceso a los datos y sistemas críticos, dicen los profesionales de TI.
En el mejor de los casos, las empresas deberían cambiar a un sistema de control centralizado que permita a los departamentos de TI borrar los dispositivos a distancia en caso de pérdida o robo.
Dedicar más dinero y tiempo a la ciberseguridad
Las empresas de ciberseguridad con productos y servicios para vender dirían esto, ¿no? Pero incluso la directora ejecutiva de TalkTalk, Dido Harding, admitió que iba a «gastar más dinero y más tiempo en ciberseguridad porque es el riesgo número uno».
Las grandes empresas que tienen que proteger los datos sensibles de los consumidores están nombrando cada vez más directores de seguridad, a menudo en puestos de dirección, en un reconocimiento de que la ciberseguridad tiene que incorporarse a todos los procesos empresariales.
