Ana Rueda, profesora de la Universidad Carlemany
Hoy más que nunca las empresas están expuestas a ataques de ciberseguridad que pueden derivar en pérdidas económicas y en un riesgo reputacional muy elevado. Estos ataques pueden ser externos o internos. Entre los externos más comunes están el phishing, que se produce a través de correos electrónicos, el Smishing, similar pero mediante SMS, y el Vishing, a través de llamadas telefónicas. Otros buscan infectar el software, como el Ransomware, que cifra los archivos, o el Malware, que daña, roba o secuestra información a través de virus, troyanos, spyware, etc.
A veces lo que consiguen estos ataques es denegar el servicio sobrecargando un sistema. Y a ellos se suman los intentos repetidos y sistemáticos para adivinar contraseñas.
Para contrarrestar el riesgo las empresas pueden implantar medidas como la autenticación multifactor en 2 pasos, el filtrado del correo electrónico y herramientas anti-phishing, un software que detecte y prevenga de intrusiones, el cifrado de datos, la gestión de parches y actualizaciones del software, firewalls y políticas de acceso, y el análisis del tráfico de la red para detectar patrones sospechosos.
Los ataques internos en las empresas pueden ser premeditados con la filtración de datos por parte empleados, el uso indebido de privilegios y accesos, el robo de credenciales y el acceso físico no autorizado a información sensible. Pero también se pueden producir por errores en la gestión de los datos.
Para evitar tanto unos como otros es necesario establecer un control de accesos basado en privilegios mínimos, la segregación de funciones y permisos para tareas críticas, el monitoreo de actividades de usuarios, así como realizar auditorías y revisiones regulares de acceso. También la prevención de fuga de datos (DLP), disponer de un acceso físico controlado, el registro y control de logs y realizar backups periódicos.
Es importante contar con contraseñas fuertes, realizar simulaciones de ataques, pruebas de penetración y protocolos de respuesta ante posibles incidentes. Y sobre todo contar con un código disciplinario.
La identificación de todos estos riesgos y la inversión para establecer los correspondientes controles ha pasado de ser una buena práctica, a convertirse en una obligación. Por eso los CEO deben buscar el equilibrio entre los controles internos y la subcontratación de estos servicios a expertos.