Malware, virus, phishing o troyano son palabras que en algún momento hemos oído asociadas a los ciberataques. Pero solo quedarse en la etapa de escuchar del tema sería una suerte, porque ser afectado por alguno de ellos es una complicación que le puede tocar a cualquiera, incluyendo una empresa, sin importar su tamaño, sea una pyme o una multinacional.
Y es que estos ataques maliciosos pueden producirse en cualquier lugar y a diferentes niveles de la sociedad. Uno de los ejemplos recientes es lo sucedido con el malware Pegasus – software espía creado por una empresa israelí-, que afectó a los teléfonos móviles de políticos españoles, incluyendo al propio presidente del gobierno de dicho país.
Si esto mismo ocurre con una empresa o incluso, llega a generarse un ataque que paraliza su funcionamiento o bloquea el acceso a la información interna, es claro que el resultado podría ser catastrófico en términos económicos y para la continuidad del trabajo.
Para estar más preparados frente a estas amenazas, Fabián Rodríguez, CEO y fundador de Camel Secure, comparte algunos aspectos que ayudarán a mejorar la seguridad en las empresas:
¿Qué es una vulnerabilidad?
Es una falla en un sistema que permite que alguien externo pueda explotarla e ingresar o generar algún daño en la infraestructura donde se encuentra ese problema. Por ejemplo, falla de software o hardware, entre otros.
¿Qué tipo de ataques son más comunes?
El phishing, denegación de servicio y malware (malicious software o software malicioso). El primero es suplantación de identidad, por ejemplo, cuando te llega un email que dice ser del banco pidiendo tu contraseña de acceso, con un sitio web que se ve idéntico al original del banco, pero con otra URL detrás.
¿Qué áreas de las empresas son las más sensibles?
Donde se encuentren personas interactuando con la tecnología, esto debido a las fallas que puede cometer al utilizar un sistema, cuando existe intervención humana se pierde el control.
¿Cuáles son los riesgos a los que se enfrentan?
Una compañía cualquiera se enfrenta a problemas desde fugas de información hasta pérdida de dinero o indisponibilidad de un proceso operativo. Por ejemplo, detener el flujo de agua en una central hidroeléctrica producto de un ataque.
¿Y estos riesgos son similares para una pyme o una multinacional?
Los riesgos son los mismos, solo que el impacto va a depender del tamaño de la compañía.
¿Cada cuánto tiempo deben las empresas hacer análisis de vulnerabilidades?
Hay varias normas que regulan las buenas prácticas de la ejecución de un escaneo para identificar vulnerabilidades, pero lo que hay que tener siempre en cuenta es que a cada software o infraestructura tecnológica hay que estar cargándole sus actualizaciones regularmente.
En general las actualizaciones son por fallas de seguridad. Por ejemplo, una normativa como PCI DDS (Payment Card Industry Data Security Standard) regula a las instituciones que realizan transacciones electrónicas con tarjeta de crédito. Esta normativa dice que si uno escanea debilidades de infraestructura que están asociadas a un proceso PCI, deben ser analizadas cuatro veces al año, ser catalogadas entre críticas, medias y bajas y tienen SLA (Service Level Agreement o Acuerdo de nivel de servicio en español) específicos.
¿Y en este sentido qué se recomienda?
Se considera el tamaño de la empresa, pero en general se relaciona a la cantidad de infraestructura que tenga. El tiempo que invierten en análisis y gestión de vulnerabilidades es muy variable y puede ir desde una semana hasta meses de ejecución. Según la misma normativa PCI, una empresa debe tener un área dedicada a resolver estos temas. Por ejemplo, una empresa con 500 servidores, debería contar al menos con 2 personas dedicadas tiempo completo a gestionar deficiencias.
¿En qué consiste el análisis?
El proceso comienza con un scan (o análisis) de vulnerabilidades a la infraestructura comprometida. Luego se clasifica por tecnología y criticidad para posteriormente ser asignada a los responsables de resolución y mitigación, dependiendo del SLA comprometido.
¿Qué tipo de perfil profesional deben tener las personas a cargo de la ciberseguridad en una empresa?
Debe ser un especialista en ciberseguridad. En general las empresas confunden que cualquier técnico puede cumplir este rol, pero debe ser un especialista en la materia. Según varios estudios, desde el próximo año faltará un 50% de este tipo de profesionales para atender los problemas de esta área en el mundo. Estos perfiles son costosos y escasos, pero sin duda son un aporte significativo al desarrollo y funcionamiento de cualquier empresa.