Es innegable que estamos viviendo en un mundo tecnológicamente más evolucionado que hace una década. Las innovaciones tecnológicas en todos los campos son cosa de todos los días. La velocidad promedio de banda ancha se ha incrementado aproximadamente cinco veces en este periodo, haciendo posible que las empresas y los individuos hagan mucho más en línea como lo demuestra el aumento significativo de los servicios que se realizan en la nube. Hoy en día, la mayoría de las empresas ven como actividades cotidianas compartir documentos en línea, enviar correos electrónicos a diferentes dispositivos y el acceso a bases de datos desde cualquier lugar. Muchas de estas no toman conciencia de la necesidad de implementar medidas de ciberseguridad. Incluso si la ciberseguridad comienza con medidas de sentido común, muchas empresas consideran que la ciberseguridad es una medida reservada a las más grandes instituciones.
Aumento de los delitos cibernéticos
Pero este aumento en el uso de la tecnología trajo consigo un aumento proporcional en el delito cibernético. Se estima que el costo global del delito cibernético para 2017 fue alrededor de 540 mil millones de euros y que para 2021 los expertos sugieren que la cifra llegara a 5,4 billones de euros por año. El año pasado, el 54% de las empresas tuvieron su red o datos comprometidos (aproximadamente el 40% de las empresas españolas han sido víctimas de estos ataques) y su costo promedio de recuperación bordeo los 4,5 millones de euros.
Las consecuencias de la falta de medidas de ciberseguridad
Algunas empresas que se vieron afectadas por este tipo de ataques fueron Facebook donde 540 millones de registros de usuarios fueron expuestos en la nube de Amazon; Equifax experimentó una violación de datos que afectó a 147 millones de clientes y sus costos de recuperación del pirateo fueron 390 millones de euros, el Servicio Nacional de Salud (NHS) del Reino Unido, estuvo temporalmente en jaque por un ransomware relativamente rudimentario, lo que resultó en operaciones canceladas y costos de limpieza considerables que se pudieron evitar con un protocolo de seguridad informática básico. Se habla de que el 60% de las empresas pequeñas cierran poco después de verse afectadas por un importante Ciberataque. Con toda esta información, es imposible que alguna empresa actualmente piense que nunca va a poder ser afectada por este tipo de ataques, más ahora que los criminales cibernéticos poseen una serie de conocimientos y herramientas que les permite vulnerar cualquier medio de seguridad. Por este motivo, todas las empresas deben adoptar en su cultura corporativa un plan de acción sólido para prevenir y combatir cualquier amenaza de este tipo. Según
Deloitte, importante consultora que se especializa en este tipo de situaciones, este plan de acción debe ser construido en base a cuatro fases:
Prevención: La base de la ciberseguridad
Se debe construir un entorno preventivo que dificulte el acceso de los hackers mediante medidas organizativas como desarrollar buenas prácticas para la gestión de fuga de información y una política para los ciclos de vida de los datos. Es vital también generar una clasificación adecuada de la información además de establecer los roles y niveles de acceso a ella. La empresa puede implementar planes de formación en materia de ciberseguridad y seguridad de la información, con la finalidad de sensibilizar al usuario e instruirlo en el protocolo de acción en caso de este tipo de ataques. El instituto nacional de ciberseguridad (
incibe) proporciona un kit de concienciación para empresas. Finalmente, la contratación de ciberseguros para proteger a las entidades frente a los incidentes derivados de los riesgos cibernéticos, uso inadecuado de las infraestructuras tecnológicas y las actividades que se desarrollan en dicho entorno es una medida importante para minimizar los daños que podrían ocasionar estos ataques. En cuestión de medidas legales se debe solicitar la aceptación de la política de seguridad por parte de los empleados y la inclusión de cláusulas contractuales relativas a la custodia, conservación y utilización de la información. La empresa debe establecer además una política de confidencialidad y de acceso a medios tecnológicos, que determine el alcance de uso de los dispositivos puestos a disposición del empleado y las facultades del empresario para el control de la actividad de los empleados, así como las consecuencias del incumplimiento de esta.
Detección
Una buena gestión en la fase de detección de la amenaza informática reduce significativamente el impacto del ataque. Por eso se recomienda diseñar un protocolo interno de gestión del incidente de ciberseguridad y la creación de un equipo responsable compuesto por personas con capacidad de mando para decidir, gestionar y coordinar la situación de manera estratégica, evitando consecuencias adicionales. Otra medida es el registro de la incidencia en el Documento de Seguridad que la empresa debe desarrollar y mantener actualizado, de tal forma que quede constancia del tipo de incidencia, momento en que se ha producido, la persona que realiza la notificación tanto como a la persona a quien se le notifica, los efectos que genera la incidencia y las medidas correctoras que se han aplicado.
Recuperación
Después de detectado el ataque se debe llevar a cabo un plan para la recuperación de toda la información comprometida y dejar el sistema tal y como estaba antes del incidente. Para ello se deben realizar medidas técnicas de recuperación de la información como: backups de los sistemas, copias de seguridad de los datos etc. Otra medida a desarrollar en esta fase es la elaboración de planes de continuidad del negocio que abarquen situaciones excepcionales que pueden producirse por ataques informáticos y contemplen situaciones como robo de información, bloqueo del sistema e incluso de borrado de datos. Se recomienda además realizar un informe por un perito externo para recoger todas las pruebas que faciliten una posterior investigación.
Respuesta
Después del ataque de ciberseguridad, según el Reglamento General de Protección de Datos, se debe poner en conocimiento a los diferentes afectados que posiblemente puede estar comprometida información de carácter privado. Para esto las empresas deben realizar una estratégica de comunicación efectiva buscando minimizar los daños ocasionados por este incidente. La empresa debe notificar a sus clientes la información sustraída, el daño ocasionado y las medidas que se están realizando para evitar futuros ataques. Además, debe proveer medios de contacto (teléfonos, mails, foros) donde el cliente pueda resolver todas sus dudas y recibir mayor información en caso lo requiera. Frente a la organización interna, se debe proporcionar a los empleados la información necesaria para que ellos puedan hacer frente al cliente y así también se sientan parte importante de la organización. Otro paso importante es informar a los medios y poner la información relevante en portales y plataformas informativas para que el proceso mantenga cierta transparencia. Finalmente se debe notificar en un plazo máximo de 72 horas a la
Agencia Española de Protección de Datos poniéndola en conocimiento acerca de la naturaleza del ataque, consecuencias de este y medidas adoptadas, así como realizar la denuncia a las autoridades pertinentes para el inicio de la investigación.
Un ciberataque es una preocupación constante para toda empresa, independientemente del tamaño de la misma. Es responsabilidad de cada una estar prepara para hacerle frente y no permitir que limite su crecimiento.