Es complicado imaginar la vida empresarial actual sin el uso de dispositivos electrónicos y su conexión a internet. El uso de las tecnologías de la Información y Comunicación se ha convertido en un asunto crucial para la mayoría de sistemas organizativos empresariales.
Para las empresas es imprescindible el uso de esta tecnología: la comunicación por correo electrónico dentro de la empresa, la automatización en la nube, el negocio entre clientes (e-business) o la posibilidad de promocionar los productos y servicios a gran escala por internet, entre otros, son formas de asegurarte capacidad competitiva. Por ello, se dice que hay una dependencia entre las empresas y la tecnología.
Pero hay que contar con algo, y es que, al igual que avanza exponencialmente la generación de nuevas tecnologías y aplicaciones para hacer de la vida empresarial un lugar más cómodo, también progresan los riesgos y amenazas a estos dispositivos y aplicaciones. Esto genera muchas dificultades para las empresas, viéndose obligadas a invertir en ciberseguridad. Y es que la seguridad en este entorno se ha convertido, hoy más que nunca, en una cuestión de supervivencia.
Desde hace ya unos años, los delitos informáticos están aumentando, y los ciberdelincuentes han ido mejorando sus técnicas, complejizándolas, para sortear hasta las estructuras de seguridad más impenetrables. Esto supone una vulnerabilidad a cubrir en las empresas, que entran en una carrera para mejorar todos sus sistemas y dispositivos.
Siempre hay que tener en cuenta que invertir en ciberseguridad nunca es un gasto, invertir en este ámbito es siempre un valor seguro.
La necesariamente rápida adaptación de las empresas en un entorno tecnológico en constante transformación, ha de llevar consigo una serie de pautas y protocolos en aspectos técnicos, organizativos, legales, físicos y de concienciación. Las medidas preventivas son las que más pueden ayudar a la hora de enfrentarnos a un intento de ataque. En las siguientes líneas se redactan las medidas que deben llevar a cabo las empresas para obtener más seguridad.
Medidas a llevar a cabo por las empresas para su seguridad
Cuando hablamos de cuestiones organizativas, hay que definir una política de seguridad, mediante normativas y procedimientos que establezcan las pautas a llevar a cabo en la empresa. Dependiendo de las características de esta, se deberán encontrar los riesgos que la afectan y los planes de acción adecuados para ella. A partir de ahí, se ha de generar unos métodos internos y a disposición de los empleados, para que se sigan procedimientos técnicos seguros.
Invertir en cuestiones técnicas, cómo llevar a cabo un control de accesos, es importantísimo. Al igual que utilizamos una llave para entrar en nuestra casa, en el mundo virtual también tenemos que tener las medidas de seguridad necesarias. Hay que determinar algunas cuestiones cómo quién tiene acceso a qué, establecer permisos sobre determinadas informaciones, generar procedimientos para solicitar accesos extraordinarios a la información, etc.
Utilizar el mecanismo de mínimo privilegio es una táctica por la que a cada persona se le asigna el mínimo necesario de información para llevar a cabo su trabajo, y si necesita más, hay que solicitarlo.
Crear copias de seguridad es completamente indispensable. Mediante almacenamiento en la nube, o copias de seguridad fuera de la organización, se obtiene una prevención contra la pérdida de información.
Además, se necesita tener una protección antimalware en todos los equipos y dispositivos corporativos, que esté especializado en gran variedad de ataques. Asimismo, para tener más seguridad, tanto las aplicaciones cómo los sistemas operativos tienen que estar actualizados y parcheados. Implementar medidas para asegurar la red corporativa y la Wifi nos puede ayudar a que nuestra empresa sea más cibersegura.
Por último, invertir en la formación y concienciación de todos los empleados es primordial. En el caso de la ciberseguridad en una compañía, los eslabones más débiles son generalmente las personas. Por esa razón, es necesario desarrollar una estrategia específica para que el personal forme parte activa, no solo en la ejecución de las medidas de seguridad implantadas, sino que se convierta en un agente de seguridad en sus labores diarias.
Se ha de realizar acciones de formación en seguridad para empleados: tanto el personal técnico cómo el resto del personal; y enseñarles políticas, normativas y procedimientos de seguridad en su día a día. Además, siempre se ha de supervisar las buenas prácticas y realizar acciones de sensibilización y concienciación periódicas.
A todo esto, se suma una transformación organizativa en la mayoría de las empresas, motivada por la consecuencia del Covid-19 y sus repercusiones directas en el sistema laboral, donde está primando el teletrabajo y las relaciones con otras empresas o negocios a distancia. Tener el control en todas estas cuestiones es necesario para prevenir cualquier tipo de ataque.
Beneficios de la ciberseguridad en las empresas
Si se llevan a cabo estas propuestas generales y otras que necesite específicamente la empresa, se podrá llegar a tener unos beneficios y garantías de seguridad que se extrapolan a otros ámbitos. ¿En que nos puede beneficiar?
Productividad
Los dispositivos y softwares ocupan un lugar importante en la productividad de una empresa, y mantenerlos a salvo nos puede conceder ganancias considerables y una ventaja real.
Son muchas las formas en las que la ciberseguridad nos puede conferir un valor seguro. Por un lado, al crear una estructura de seguridad que ordene los datos, ayuda a que los procesos operativos sean más eficientes y fáciles de realizar.
Por otro lado, la posibilidad de recuperar los datos después de un ataque, es clave para no parar el rendimiento de la organización. En muchas ocasiones, esta tarea tan complicada, y a veces imposible, lleva detrás unos gastos en la contratación de personal especializado y sobre todo en las horas extra de trabajo.
Al igual, tener de antemano un plan de contingencia frente a los incidentes, suplirá costes de productividad. Si se tiene facilidad en cuanto a la recuperación de los ciberataques y se dispone de los procedimientos de recuperación y respuesta convenientes, se reducirán los tiempos improductivos.
Que no podamos acceder a ciertos servicios de la empresa, repercute directamente a la productividad, en casos donde no se puede realizar alguna actividad durante tiempo por culpa de un fallo en la seguridad de la empresa, las pérdidas de producción pueden ser grandísimas.
En el caso del ataque al SEPE, este organismo no pudo prestar servicios durante varios días, y durante todo ese período, la mayor parte de la plantilla tuvo que hacer su trabajo de forma manual, dedicando aproximadamente 19.000 horas extraordinarias para recuperar el ritmo de funcionamiento habitual completamente.
Imagen de marca
Apostar por la ciberseguridad en nuestra empresa es un valor diferencial. Si somos capaces de reforzar diariamente la ciberseguridad y de transmitirlo de forma fiable, daremos una imagen de marca más atractiva.
Las empresas se comunican con sus clientes, proveedores, asesores, etc. por la red, y por ello, disponer de medidas de seguridad, permite que las partes puedan interactuar de forma segura, creando una relación de más confiabilidad. Y es que, son los clientes los que hacen posible que la cantidad de trabajo prosiga, y por ello, no podemos avanzar sin su confianza.
Contar con diferentes softwares punteros, un equipo de profesionales y material tecnológico es un valor añadido a cualquier empresa. Actualmente, no se puede prestar un producto o servicio con alta calidad sin prestar atención a la ciberseguridad. Ahora más que nunca, los clientes reclaman que los procesos de contratación, elaboración o adquisición del producto o servicio se realice de la forma más segura y sin presentar riesgos.
Una fuga de datos, una brecha de seguridad o cualquier ataque, puede producir que los posibles clientes se fijen en otras empresas para contratar un servicio o producto. Por ello, tener precauciones para que esto no pase es completamente necesario y fidelizar a los clientes.
Cada vez son más las noticias en diferentes medios, sobre brechas de seguridad y otros ataques que han hecho daño en la reputación de muchas empresas. La imagen de vulnerabilidad que se da en estos casos, en ocasiones ha llevado a la pérdida de contratos millonarios, a que los clientes utilicen otras empresas para contratar los servicios o a que se tenga que cerrar una planta o toda la organización.
Competitividad
El potencial incalculable de los nuevos servicios digitales, cambia la experiencia de los clientes, y proveedores de la empresa, que cada vez se tiene que amparar en datos y herramientas tecnológicas en constante transformación.
En este momento es complicado ofrecer una alta calidad en un servicio sin atender la ciberseguridad de la organización. Para aumentar la competitividad empresarial, es muy común recurrir a la certificación de las normativas de la Organización Internacional de la Estandarización (ISO), una organización independiente que planifica y establece estándares universales.
La normativa ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Información de Privacidad, buscando cómo objetivos la confidencialidad, integridad y la disponibilidad de la información.
Obtener un certificado ISO, puede ser de ayuda para aumentar la competitividad de la empresa. Este proceso tiene que aplicarlo y calificarlo otra empresa.
La inversión en ciberseguridad es un factor diferenciador para la empresa, ya que genera confianza en clientes, proveedores.
Cumplimiento de Reglamentos
Cada vez son más la cantidad de datos que integran las organizaciones, y una de las causas que motivan a invertir en ciberseguridad son las leyes de Protección de Datos que amparan a muchos países.
Estas normativas hacen posible que, si se llegan a infringir las normativas estipuladas, se tenga el riesgo de sufrir sanciones o parar sus actividades empresariales.
Desde el entorno de España, se deben tener en cuenta sobre todo 2 normativas:
La primera de ellas es el Reglamento General de Protección de Datos (RGPD), un conjunto de normativas desarrollado por el Parlamento Europeo y el Consejo de la Unión Europea, que tiene una implantación en los países de la UE obligatoria.
De este primero, en España surgió la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, sustituyendo a la anterior a Ley Orgánica 15/1999. Estas dos tratan de dar oficialmente una garantía a los derechos digitales, y todas las empresas que estén en estos países deben cumplirlos. Aparte de estas dos, la Ley de Protección Intelectual (LPI) protege los proyectos, desarrollos y obras derivadas de la actividad empresarial.
También se han creado organismos que salvaguardan el derecho a la protección de datos, cómo la Agencia Española de Protección de Datos (AEPD), encargada de velar por el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal en España.
Una de las noticias más sonadas sobre grandes fugas de datos de empresas es el robo de datos de la empresa Uber en 2016. Esta empresa pagó la recompensa de 100.000 dólares a los ciberdelincuentes, pero no avisó ni a usuarios ni a conductores hasta tiempo después, la mayoría de EEUU, Reino Unido, Australia y Filipinas.
Por no reportar de forma adecuada, llegó a un acuerdo con los fiscales generales de EEUU, que conllevó a la empresa a pagar 148 millones de dólares por la ocultación deliberada del robo masivo de datos. Desde los otros países afectados, también se hicieron investigaciones y sanciones. Además, este acuerdo exige desarrollar, implementar y mantener un programa de seguridad y enviar informes de seguridad a las autoridades.
Tranquilidad
Nos despertamos cada día con multitud de noticias relacionadas con ataques de ciberseguridad. Según la ONU se produce 1 ciberataque en el mundo cada 3 segundos y el número de correos maliciosos ha aumentado un 600% en el último año. Siendo el objetivo directo y más valioso de muchos cibercriminales las empresas privadas y organismos públicos.
Para muchas de las empresas, sobre todo las más grandes, la ciberseguridad se encuentra entre las inquietudes y problemas más destacados. Y es que, es una actividad que hay que insertar en cada uno de los hábitos y ámbitos de la empresa.
Esto se debe a que en un futuro nadie estará a salvo de ser ciberatacado. Tarde o temprano, todas las compañías y organizaciones, sin importar de qué tamaño sean, seguramente recibirán un ataque. Reconsiderar la ciberseguridad de la empresa y ser capaces de detectar un intento de ataque, nos puede dar la tranquilidad de ser menos vulnerables.
En las organizaciones se ha de dar una cultura empresarial relacionada con la ciberseguridad que empiece desde el nivel de dirección alto y llegue a todos y cada uno de los empleados de la empresa. Cuando hablamos de ciberseguridad, los eslabones más débiles son generalmente las personas, debiendo siempre desarrollar una estrategia específica para que el personal forme parte activa de las medidas de seguridad implantadas y se convierta en un agente de seguridad en sus labores diarias.
Invertir en infraestructuras de seguridad y personal experto en ciberseguridad nos proporciona más tranquilidad a la hora de efectuar cada uno de los procedimientos y acciones necesarias para desempeñar el trabajo.
Rentabilidad
Una exposición, nos puede traer riesgos en la estructura de los dispositivos y aplicaciones, que hacen posible el funcionamiento de la actividad tecnológica de una empresa. Y cuando esto pasa, se deben reconfigurar, instalar nuevos sistemas de seguridad en la empresa y solucionar los anteriores problemas, lo que conlleva altos costes económicos y temporales.
Gestionar los recursos y servicios digitales de forma transversal y siempre progresando en las medidas, con el objetivo de mitigar los riesgos, es una de las mejores formas sostenidas para no tener problemas en un futuro, que ocasionen pérdidas de mucho valor económico.
El informe Hiscox Cyber Readiness Report 2020, nos relata cómo el coste medio en 2020 por cada ciberataque para el conjunto de las empresas en España fue de 66.800 euros. Además, cuando hablamos de empresas de tamaño más grande, la pérdida se acerca al medio millón de euros.
No siempre se puede siempre prevenir un ataque, ya que los frentes son muchos, pero el potencial que tienen de desempeñar medidas de seguridad estrictas, pueden provocar que las pérdidas sean menores. Cada vez, las tecnologías van desarrollándose de una forma más exponencial, lo que conlleva que los ciberdelincuentes también abran nuevas rutas innovadoras para que sus ataques sean más eficientes.
Conclusiones
Cómo forma de terminar, y trazando de forma general todo lo comentado, está claro que, en el contexto tecnológico en el que se encuentran las empresas hoy en día, reconsiderar la inversión en ciberseguridad supone una ventaja competitiva.
No solo para evitar ser atacado, o reducir los costes derivados, si no, también para tener una ventaja frente a otras empresas y garantizar la confianza de los proveedores y clientes.