• Empresa
  • Ciberamenaces, cuando el enemigo está en casa

Ciberamenaces, cuando el enemigo está en casa

El 70% de los empleados tiene acceso a información privilegiada de la empresa que no le corresponde; si no se los forma y conciencia puede ser la vía de entrada más fácil para los ciberatacs

A menudo la amenaza cibernética es más cerca del que nos pensamos
A menudo la amenaza cibernética es más cerca del que nos pensamos
Pau Garcia Fuster
21 de Enero de 2015
"El punto más débil de la empresa siempre ha sido el phisingal usuario y los trabajadores", asegura César Martín Lara, socio del área de gestión de riesgos tecnológicos de Deloitte . "Es el punto más sencillo de entrada por una mera cuestión de conocimiento tecnológico". De hecho, "el 70% de los empleados tiene acceso a información privilegiada de la empresa que no le correspondería", recuerda Jaume Abeja, coordinador del Máster en Ciberseguretat de La Salle Campus Barcelona.

Un trabajador poco formato en el campo de la ciberseguretat y con acceso a información privilegiada de la empresa se convierte, pues, en la víctima preferida por los instigadores de ataques informáticos. "Los ataques siempre se producen por un motivo, y la mayoría a veces es económico", dice César Martín Lara. Y para obtener un beneficio económico "donde hay el mayor conocimiento del negocio es dentro de la empresa. Los empleados son los que mejor lo conocen ytienen más acceso, están en riesgo", asegura.

O todavía peor, también hay casos, más a menudo del que se piensa, de ataques desde dentro mismo de la empresa, por ejemplo en forma de filtraciones de información al exterior. Un trabajador descontento puede ser un auténtico caballo de Troya. Por César Martín Lara, "un buen protocolo de seguridad también ayudará a detectar estos casos con el consecuente ahorro en costes derivados del ataque y facilitando el despido procedente".

En el marco de la 60a edición de La Salle Breakfast, los dos expertos en ciberseguretat han reflexionado alrededor de la situación actual que viven las empresas en su seguridad informática. "Tenemos que formar los trabajadores sobre medidas de concienciación y uso responsable", recomienda el socio de Deloitte. En un entorno donde cada vez es más sencillo infectar con un softwaremaligno tan sólo navegante por el web equivocado, Martín Lara afirma que "hay que combinar formación al empleado y sistemas de protección ".

Los que atacan, siempre por delante
"Los ciberdelinqüents cada vez están más preparados", asegura Jaume Abeja. Un ejemplo son los 390.000 nuevos programas maliciosos que se detectan cada día. De hecho, los ataques cibernéticos ya forman parte de las cinco amenazas más importantes por la humanidad según el Foro Económico Mundial. En la red hay una batalla constante entre atacantes y protectores de la seguridad informática de empresas y particulares. Una cursa desigual según César Martín Lara.

"La diferencia entre los que atacan y defienden no es en el nivel de expertise; perola cursa siempre tienen aventaje los que atacan", asegura. A pesar de quehaya gente muy buena trabajando en la protección y la defensa, el directivo de Deloitte afirma que "no hay igualdad de condiciones, los atacantes tienen ventajas como tener todo el tiempo del mundo para planificar un ataque, mientras que la defensa siempre tiene que estar pendiente para recibir en cualquier momento".

Martín Lara también señala la disposición de todas las posibilidades de ensayo y error, así como un mapa ilimitado de posibles vías de entrada como otros factores clave de la ventaja de los atacantes. "Y además tienen a su disposición el universo global de empresas", recuerda.

Una lucha constante
Uno de los casos más sonados de ataque informático a una empresa es el que sufrió Sonyhace unos meses, produciendo un daño estimado de 200 millones de dólares a la compañía, además del impacto en sus acciones a la bolsa. Sony vio como le robaban información de la compañía y de los clientes, que después fue publicada en varios foros. Por César Martín Lara "este caso es la punta del iceberg, nos enteramos de uno de cada 1.000 ataques a empresas".

Y es que las ciberamenaces no conceden ninguna tregua, es una lucha constante. "Casi todos los ataques se afrontan internamente y no se publican", asegura Martín Lara. El problema en el caso de Sony fue que "el ataque estaba dirigido expresamente a ellos y esto aumenta su efectividad. El peor que puedes recibir es un ataque planificado y sofisticado en contra tuyo", asegura el dirigente de Deloitte.

La ciberseguretat, sobre la mesa del director general
"La ciberseguretat se ha convertido en un problema de la dirección general de la empresa, ya no lo es tan sólo del equipo informático", asegura Martín Lara. Y lo es porque los ataques "cada vez generan más impacto en el negocio, y sobre todo porque generan graves daños reputacionals a las compañías", analiza.

Es por eso que poco a poco los directivos de las compañías van tomando conciencia del impacto que tienen estos problemas en el negocio. "No todas las empresas tienen el mismo nivel de riesgo o de impacto, pero todas tratan datos de clientes y de negocio, siempre es peligroso", advierte.

"Todos los negocios tendrían que hacer un análisis de riesgo de las amenazas que lo pueden afectar, y así preparar una defensa a medida", recomienda el experto. A la vez, pero, deja claro que "por muchas medidas de seguridad que pongas nunca estarás 100% protegido". Eso sí, cuántas más dificultades pongas al atacante, menos opciones tendrá de hacerte daño.

"La clave es la capacidad de respuesta y reacción , si tienes los mecanismos adecuados para solucionar el incidente o recuperar la información , el impacto en el negocio es muy menor", dice César Martín Lara.

La seguridad a las nubes
Un recurso cada vez más utilizado por las empresas a la hora de almacenar información es el cloud(nube). Por el socio de Deloitte, el primer punto a tener en cuenta en el cloud es "analizar como de importante es la información quedesaré. No es el mismo tener presentaciones comerciales que un sistema financiero".

En función de esto el nivel de protección es mayor o menor, pero Martín Lara señala varias cuestiones básicas como disfrutar de un control de autentificació robusto, el xifratge de la información cuando sea necesario, o disponer de copias de seguridad y pruebas de restauración de estas copias.

Finalmente, sobre la necesidad o no de encriptación, Martín Lara asegura que "hay que buscar el equilibrio entre el que es necesario encriptar y el que puede ser público". Ahora bien, deja claro que "la encriptación es básica para garantizar la seguridad de la información entre dos partes".