Historias reales: la ciberseguridad como valor diferencial

Fecha de publicación 02/04/2019
Autor
INCIBE (INCIBE)
Imagen de acompañamiento.

En nuestra historia real de hoy os contamos el caso de Lara, gerente de una empresa de distribución de alimentos, fundada por su abuelo en el año 1960. Lara ha tenido que transformar su negocio desde un modelo muy tradicional a otro más actualizado, convirtiéndolo en un referente en el sector.

Nuestra gerente es consciente de que las tecnologías de la información permiten agilizar la gestión y las comunicaciones para, por ejemplo, mantener una vía directa de contacto con proveedores o geolocalizar los camiones mientras están en ruta. Cierto día, otra empresa del sector sufrió un ciberataque. Se trataba en concreto de un ransomware  que le causó graves pérdidas económicas y reputacionales. Tras este incidente, Lara tuvo claro que tendría que tomar cartas en el asunto y desde ya, convertirse en una empresa cibersegura.

Antivirus y copias de seguridad, ¿son suficientes?

Desde hacía tiempo ya habían tomado ciertas medidas para hacer la empresa más segura, como instalar antivirus en todos los equipos de la empresa, incluidos los servidores internos, o realizar copias de seguridad periódicas. Pero nuestra gerente seguía pensando que no eran suficientes. Por este motivo, decidió ponerse en contacto con su proveedor de servicios tecnológicos y solicitar una serie de pruebas con el fin de comprobar si podrían resistir un ciberataque. La respuesta de su proveedor fue un rotundo NO. Para poder responder con garantías ante un ciberataque, tendrían que invertir una gran cantidad de recursos, tanto económicos como  humanos, para poder recuperarse. Un incidente de seguridad podría afectar gravemente a la continuidad del negocio.

¿Cómo mejorar la ciberseguridad de la empresa?

En primer lugar, mantuvieron reuniones con los encargados de los distintos departamentos con el fin de identificar las áreas dónde se debía mejorar. Lara era consciente de que para llevar a buen puerto este proyecto debería contar con un enfoque más organizado, por lo que decidió contratar una consultora externa.

Implantando un PDS

Esta consultora, tras realizar un análisis previo sobre la situación actual de la empresa, elaboró un informe detallado que sirvió de hoja de ruta para saber en qué punto se encontraban y sobre todo, hacia dónde deberían dirigirse en materia de ciberseguridad. A este informe detallado con los objetivos en ciberseguridad definidos se le conoce como Plan Director de Seguridad o PDS.

Este PDS servirá a Lara y a toda su empresa para mejorar la ciberseguridad ya que:

  • expone cuáles son las prioridades;
  • sigue una estructura ordenada y práctica;
  • identifica los procesos críticos de la empresa, es decir, aquellos que de verse afectados dejarían la empresa paralizada.

Siguiendo las pautas marcadas por el PDS, el equipo de Lara elaboró un inventario de activos que les permitió conocer cuáles eran las principales amenazas a las que estaban expuestos.

Varias eran las medidas que deberían abordar para conseguir que la empresa de Lara se convirtiera en un lugar más ciberseguro. Hubo que establecer objetivos a corto, medio y largo plazo ya que abordar todas las mejoras de golpe supondría un esfuerzo imposible de asumir, tanto a nivel de recursos humanos como económicos.

En primer lugar, adoptaron aquellas medidas cuya aplicación era sencilla pero que tendrían un gran impacto para la seguridad de la empresa. Posteriormente, se definieron las que debían adoptarse en función de los objetivos estratégicos de la organización, como proteger la página web.

Lara y su equipo sabían que invertir en ciberseguridad podría marcar la diferencia entre ser víctima de un incidente de seguridad o no. Además, el mundo de las tecnologías de la información evoluciona constantemente y con ello las medidas de seguridad a implantar. ¡Sigue los pasos de Lara e implanta un PDS en tu empresa!