Inicio / Protege tu empresa / Blog / Desmantelando frases sobre la despreocupación en ciberseguridad de algunos empresarios

Desmantelando frases sobre la despreocupación en ciberseguridad de algunos empresarios

Publicado el 04/12/2013, por Jorge Chinea López
Desmantelando frases sobre la despreocupación en ciberseguridad de algunos empresarios

Cada vez son más las empresas que se preocupan por aspectos relacionados con la cibserseguridad. Bien sea por cuestiones de cumplimiento legal, por haber vivido o conocido algún incidente de seguridad que casi supone (o sin el casi) la desaparición de una empresa o como un punto de generación de confianza a sus clientes. La ciberseguridad se está convirtiendo en un punto a tener en cuenta dentro de cualquier empresa. Aun así, según un estudio realizado por el Instituto Nacional de estadística (INE) entre enero del 2009 y enero 2011, señalaba que un 12,6% de aquellas empresas que tienen conexión a Internet, indicaron que habían tenido algún problema de seguridad en los últimos doce meses.

Son muchas las «típicas» frases que suelen oírse entre aquellos empresarios que todavía no han tomado la ciberseguridad como algo realmente importante para su negocio, vamos a desmantelarlas:

« ¿Quién va a perder el tiempo en acceder a nuestra red y ordenadores? ¡Si no tenemos ninguna información interesante! »

Esta frase es muy repetida principalmente en el ámbito de las pequeñas y medianas empresas (pymes), que consideran que por el hecho de no ser grandes compañías no son «interesantes» para los ciberdelincuentes. Esta afirmación es rotundamente falsa, por dos motivos: por un lado porque el simple hecho de tener una pequeña infraestructura tecnológica son «especialmente apetecibles» para ser comprometida y que formen parte de alguna botnet Por otro lado, en muchas ocasiones, la información es uno de los principales activos de estas empresas (clientes, contabilidad, etc.) que tienen un gran valor tanto para la empresa como para sus competidores o ciberdelincuentes que buscan información para venderla, hecho por el cual en muchas ocasiones se producen «robos» de información.

« Nuestra empresa está protegida perfectamente, tenemos antivirus en todos los equipos»

En muchas empresas, principalmente en pymes , consideran que por el hecho de tener un antivirus es más que suficiente para tener su red protegida. Incluso aún teniendo un cortafuegos instalado junto con el antivirus, existen otras medidas de seguridad fundamentales. Estas medidas van a más allá de la instalación de diferentes herramientas de seguridad: políticas de contraseñas, políticas de privacidad de la información, etc. Todo dependerá de la gestión y análisis de riesgos que hagamos de los activos de nuestra empresa.

«¿Nuestras medidas de seguridad? de eso se encarga la empresa que tenemos contratada que nos ha instalado los ordenadores y la red»

Los controles técnicos de seguridad son importantes, pero igual de importantes son la definición de controles de gestión y legales. La definición de políticas de seguridad, validar el cumplimiento normativo en materia de seguridad tecnológica (LOPD, LSSI, etc.), formar y concienciar a los empleados en ciberseguridad, etc. son puntos tan importantes como las medidas técnicas, de hecho por norma general todas están relacionadas.

«Hace unos años implantamos medidas de seguridad, y ahí siguen»

En algunas empresas que hicieron bien sus deberes en materia de seguridad, se olvidaron de una cosa importante: la actualización y seguimiento de todos los controles y medidas. En un entorno tecnológico tan cambiante y dinámico, tiene que existir una revisión continua de los procesos y las medidas de seguridad que se han implantado para adaptarlas y adecuarlas al entorno.

«Nuestra relación con muchos de nuestros proveedores es confiable, no necesitamos plasmarlo en un papel»

Seguro que la relación con muchos de los proveedores con los que trabaja es confiable. Pero garantizar la protección de la información de su empresa, e incluso en algunos casos el cumplimiento legal, a través de contratos que recojan aspectos relacionados con la confidencialidad de la información, o incluso acuerdos específicos, hará que esa confianza e intercambio de información que realice con ellos sea mucho mejor.

«Por supuesto que cumplimos la LOPD, registramos el fichero en la AGPD»

Existe la falsa creencia en algunas empresas que por el hecho de registrar en la Agencia de Protección de Datos (AGPD) los archivos de información que gestionan es suficiente. Pero en realidad, no debemos de quedarnos solo en este paso, sino que hay que aplicar diferentes medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad de estos datos de clientes, empleados y proveedores. Además no sólo se cumple con la legislación, sino que también se genera una mayor confianza con la información que gestionamos con nuestros principales actores.

«Nuestros empleados son responsables con la información que manejan»

Seguramente que sus empleados son de total confianza y responsables con la información que manejan. Pero la mayor parte de los problemas de ciberseguridad que se producen en una empresa suelen provenir «desde dentro». Bien sea por usuarios malintencionados o por desconocimiento. Se han dado casos de bases de datos de clientes sustraídas de forma premeditada ante un despido para posteriormente usarlas en empresas de la competencia. O descargar algún video o presentación de humor que contenía algún «virus» / «malware». Por este motivo, como señalábamos anteriormente, debemos establecer acuerdos de confidencialidad con nuestros empleados y establecer estrategias de formación y concienciación de seguridad de la información.

 

Si en alguna ocasión has oído o ha estado en tu boca alguna de estas frases, es importante pasar a la acción. Cuenta con profesionales y analiza los activos, la información y los procesos de tu empresa ¿qué valor tienen para ti? Ten en cuenta que cualquier incidente de seguridad podría afectar no sólo a los procesos de tu empresa, llegando a paralizar su actividad e incluso a hacerla desparecer, sino a dañar algo que cuesta mucho construir: la imagen de tu empresa.

Hay una frase que se atribuye a una de las personas más importante en el mundo de la ciberseguridad, Bruce Schneier, que debes tener siempre presente en la seguridad de la información de tu empresa: «la seguridad de la información es un asunto de personas, procesos y tecnología».