La importancia de una política de ciberseguridad en la empresa
La seguridad informática y las políticas de ciberseguridad son fundamentales para las empresas. Los problemas que pueden surgir obligan a estar preparados para solventar rápidamente cualquier eventualidad, especialmente en un momento en el que los ciberatacantes ya actúan de forma masiva e indiscriminada contra ellas.
Tal y como se desprende del estudio “El Estado del Ransomware 2022” de Sophos, el número de empresas que fueron víctimas de un ataque de ransomware creció cerca de un 30% entre 2020 y 2021, pasando del 44 al 71%. De hecho, en el mismo informe se explica que el 11% de las compañías confirmaron que habían llegado a pagar rescates de 1 millón de dólares, o más, por recuperar los datos secuestrados y cifrados por los delincuentes.
Como explica José Rosell, socio director de S2 Grupo, es necesario que todas las compañías cuenten con un plan de prevención y actuación en caso de ciberataque, un acto de delincuencia que puede suponer un riesgo de desaparición real para la empresa. De hecho, no tener las herramientas adecuadas o no definir un plan de respuesta ante este tipo de incidentes de ciberseguridad podría derivar en problemas a corto y medio plazo que, en los casos más graves, acaben con el cierre del propio negocio.
Índice
- ¿Por qué tener una política de ciberseguridad en la empresa? ¿Qué debemos proteger y cómo hacerlo?
- ¿Cómo impacta en la continuidad de nuestro negocio un cibertataque?
- Cumplimiento de la legislación vigente en materia de protección de datos
¿Por qué tener una política de ciberseguridad en la empresa? ¿Qué debemos proteger y cómo hacerlo?
La primera cuestión que una compañía debe definir es qué datos son básicos para que su negocio pueda continuar con normalidad. Esto permite adoptar las decisiones adecuadas en materia de prevención pero, también, en política de copias de seguridad o recuperación de sistemas en función del tipo de negocio. Un punto que nos lleva a la siguiente pregunta ¿cuánto tiempo puede estar la empresa parada?
La prevención es solo el principio. Sistemas de antivirus, cortafuegos, actualización de sistemas y programas, políticas de mínimo privilegio para los empleados o el uso de VPN para aquellos que trabajan a distancia. A todo ello se suma contar con cierto nivel de previsión para dar una respuesta adecuada porque, de lo contrario, todo lo anterior podría no ser suficiente.
En este sentido, es fundamental tener un plan de contingencia que responda ante cualquier tipo de ataque. En su diseño debe incidir en dos frentes: intentar evitar la intrusión y actuación en caso de que el ataque tenga éxito, para que el impacto en la continuidad del negocio sea mínimo.
Dicho plan, además de tener previstos diferentes escenarios de ataque, debe contemplar test y pruebas de esfuerzo. Se trata de realizar pequeños simulacros para verificar que todas las medidas que se han puesto en marcha, especialmente las copias de seguridad, funcionan adecuadamente llegado el momento.
De poco sirve tener una rueda de repuesto en un automóvil si no tiene la presión de aire adecuada. Llegado el momento de utilizarla no cumplirá con su función. Con las copias de seguridad ocurre lo mismo, hay que garantizar que contienen toda la información necesaria y se puede recuperar correctamente, además de realizarse de forma periódica.
Por último, una de las medidas básicas consiste en formar adecuadamente al personal en ciberseguridad para que sean capaces de identificar las amenazas.
¿Cómo impacta en la continuidad de nuestro negocio un cibertataque?
Para hacer posible la continuidad del negocio es indispensable tener una política de copias de seguridad que nos garantice que siempre vamos a tener una versión de la información clave de nuestra compañía a salvo en cualquier circunstancia. Un esquema de copias que defina qué información se guarda, durante cuánto tiempo y hasta cuándo se necesita poder recuperar es clave.
No basta con tener una copia, sino que necesitamos que la recuperación de la información se pueda hacer de forma rápida y ágil. Para determinados sectores, como pueden ser el industrial o el financiero o de reservas, una parada de la producción provoca pérdidas muy importantes. Un bloqueo del proceso productivo o laboral normalmente va a implicar un lucro cesante que no siempre es asumible y siempre va a conllevar unos costes. A esto hay que sumarle el potencial daño en la reputación de la empresa, especialmente si la recuperación y respuesta no ha tenido la agilidad necesaria.
También es importante pensar que un ciberincidente puede suponer una pérdida de confianza, que acaba por impactar también en la facturación a corto y medio plazo. De hecho, se puede traducir en una posible pérdida de clientes que, tras ver cómo la empresa ha sufrido un incidente y no ha sabido dar una respuesta rápida y eficiente, cambia la imagen que tenía sobre la misma.
Por ello, se invierte no solo en la recuperación de datos, sino en todos los sistemas de la empresa para que, en apenas unos minutos, pueda seguir operando casi con normalidad y con un mínimo impacto. La regla general es que a menor tiempo de recuperación, mayor inversión se necesitará.
Cumplimiento de la legislación vigente en materia de protección de datos
Además de estas cuestiones, las empresas deben tener en cuenta que tienen que cumplir con la legislación vigente en cuestión de protección de datos personales. Tanto el Reglamento General de Protección de Datos, RGPD, como la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, LOPDGDD, obligan a las empresas a proteger los datos personales, tanto de clientes como de los propios empleados.
Determinados datos personales, como los financieros, los relacionados con la salud o los biométricos, deben estar especialmente a salvo para que, aunque se produzca un ataque, nunca se tenga acceso a los mismos.
En caso de ataque, la LOPDGDD, obliga a las empresas a comunicar la brecha de seguridad en un plazo de 72 horas a la Agencia Española de Protección de Datos, AEPD, investigar el incidente, dar una respuesta rápida para solucionar el mismo y avisar a los propietarios de los datos del grado de exposición que han sufrido durante el ataque.
Independientemente de dichas actuaciones, la AEPD puede sancionar a la compañía si cree que no se ha actuado con la diligencia oportuna en función de la gravedad del incidente sufrido. Las multas pueden llegar hasta los 20 millones de euros o un 4% de su facturación anual en los casos más graves.