Los cibercriminales no son más que antiguos delincuentes que ahora actúan detrás de un ordenador (hacktivistas, ciberespías, ciberterroristas, etc.). El anonimato les ofrece una mayor inmunidad y una rentabilidad más rápida. Sus objetivos son las infraestructuras críticas (centrales nucleares, canales de agua, etc.), la Administración Pública o las empresas privadas (sobre todo, aquellas que manejan una gran cantidad de información).
Muchas compañías y organizaciones se encuentran en una falsa sensación de seguridad, pero deben entender que incluso la empresa mejor protegida puede sufrir en algún momento una violación de su seguridad de la información. La pregunta ya no es si va a suceder, sino cuándo va a ocurrir. Se prevé que en nuestro país se gestionen unos 100.000 ciberataques este año (el doble que en 2015).
Pero, la amenaza no son solo los ciberdelincuentes. Un porcentaje muy alto de los problemas deriva de errores humanos, empleados descontentos, competencia desleal o incumplimientos legales y contractuales que, normalmente, se producen por la falta de comunicación entre los departamentos jurídico, técnico, y de calidad y procesos de las organizaciones. Otro de los inconvenientes es que no se hace una valoración de activos, es decir, no sabemos cuánto vale la información que posee nuestra compañía, por tanto, desconocemos si lo que tenemos que invertir en su protección está proporcionado.
¿Qué podemos hacer? Debemos entender la seguridad en cuatro grandes pilares: cumplimiento normativo, procesos corporativos, seguridad informática y vigilancia. La coordinación de todos ellos se puede llevar a cabo estableciendo un comité de seguridad, que analiza todos los riesgos y en el que participan las diversas áreas de la empresa que manejan información. Una buena práctica es también la creación de un plan director de seguridad, ya que nos permite conocer qué riesgos tiene la compañía y establecer un calendario para reducirlos. De esta manera, minimizamos los peligros y, a la vez, podemos dar un valor a la información que manejamos (vemos también cuánto nos ahorramos con la reducción de ese riesgo).
Lo cierto es que, para una compañía, crear este comité puede ser complicado, porque es un equipo multidisciplinar hablando de seguridad. De ahí, la necesidad de que empresas como la nuestra intervengan: participamos en el comité; trabajamos en identificar los distintos procesos de negocio; valoramos los activos de información; damos soporte a las áreas de negocio; establecemos las medidas de aplicación (y auditamos su correcta aplicación); analizamos el cumplimiento de los objetivos; y llevamos a cabo una vigilancia 24×7, desde nuestro Centro de Operaciones de Seguridad. En definitiva, la idea es ofrecer al cliente una cobertura completa, lo que nosotros llamamos “Seguridad 360°”.
Secure&IT
Director General
