4 decisiones estratégicas para defender a tu organización de un ciberataque
No podemos imaginar lo vulnerables que podemos llegar a ser a consecuencia de nuestros dispositivos digitales. Que entre un virus en tu organización y secuestre todos los datos sin posibilidad de recuperarlos si no desembolsas una importante cantidad de dinero o recibir un mail de la compañía eléctrica a tu nombre con un link a través del cual recogen toda la información de tu portátil son sólo dos de las formas más comunes que tienen los ciberataques. Ser víctima de una amenaza digital es sólo cuestión de tiempo.
Durante la última de las Tech Talks centrada en los retos de las empresas en ciberseguridad, Nicolás Castellano, director del área de Auditorías de Andubay, organizador de ‘No CON Name’ (NCN), primer congreso de hacking y seguridad informática en España, y miembro del consejo de expertos del Máster en Ciberseguridad de IL3-UB, simuló dos ataques –clonar una web y enviar un mail para recabar datos del usuario y entrar en un smartphone parte de una red segura para capturar sus credenciales y utilizarlas maliciosamente– y confirmó que para que las empresas puedan defenderse ante este tipo de situaciones es de vital importancia que cuenten con profesionales que conozcan cómo se diseñan y se lanzan este tipo de ataques.
Sus reflexiones están en línea de lo comentado por Marc Segarra López, Enterprise Security Architect en BS Information System, en este post, que explica que la escasez de profesionales de la seguridad de la información en el interior de las organizaciones provoca una vulnerabilidad en las tres líneas de defensa que ha de implementar una compañía
- La primera línea de defensa es responsable de las actividades del día a día, monitorizando y protegiendo los activos de información.
- La segunda línea de defensa es responsable del buen gobierno de esas tareas, así como de asegurar que los activos de información cuenten con una adecuada monitorización, reporte y seguimiento
- La tercera línea de defensa es responsable de garantizar el cumplimiento.
Durante la Tech Talk se detallaron, además, otras cuatro recomendaciones para no tener que lamentar las consecuencias de una intromisión no deseada en los sistemas:
- Formar al personal no informático para que no “pique” ante las amenazas. Gran parte del diseño de un ataque se centra en medidas de ingeniería social, esto es, ofrecer al usuario ganchos creíbles para conseguir que clique y así robarle la información.
- Establecer medidas de doble autenticación para hacer más complejo el robo de credenciales digitales.
- Utilizar seguridad indesign, tanto para nuestras plataformas corporativas (página web, app, intranet…) como de los dispositivos con los que trabajamos. Ya en un nivel superior, el diseño de una infraestructura de seguridad para el sistema (cortafuegos, zonas desmilitarizadas…) es siempre una buena inversión.
- Que profesionales especializados, con conocimientos de las herramientas tecnológicas pero también del negocio, realicen ataques simulados como los ejecutados durante la Tech Talk para defender aquellos puntos más vulnerables.
Según el Instituto Nacional de Ciberseguridad, en 2014, último año con datos consolidados, España registró casi 70.000 ciberataques que causaron pérdidas económicas valoradas en más de 14.000 millones. Con estas cifras España se convierte en el tercer país más vulnerable del mundo, y por tanto, uno de los mercados con mayor oportunidades para desarrollar una carrera profesional en el campo de la seguridad digital: la consultora Markets & Markets afirma que el sector seguirá creciendo como mínimo hasta 2020, con una media interanual del 9,8%.