Casi 16 mil ciberataques a empresas canarias en un año: ¿sabes cómo protegerte?

Compártelo »
Desde el 'hacking ético' a la responsabilidad compartida, descubre las claves para la ciberseguridad de tu negocio con nuestro experto.

Aunque los comentarios al respecto entre empresarios de todos los sectores no han parado de resonar a lo largo del último año, hace un mes los medios de comunicación confirmaban la noticia: ciberataques masivos han quebrantado, en los últimos meses, la seguridad de empresas e instituciones tan relevantes como Telefónica, Iberdrola, Endesa, el Banco Santander, Ticketmaster, la DGT o incluso varios clubes de fútbol profesional españoles.

Tal y como te contábamos el pasado mes, en nuestro última entrada sobre Ciberseguridad, al menos una de cada tres empresas canarias han padecido este tipo de ataques y, concretamente, en el último año se estima que los delitos informáticos superaron los 15.800 casos en las Islas.

Y la pregunta lógica a estas abrumadoras cifras es:

¿Qué podemos hacer para protegernos de los ciberdelincuentes?

Para contestarte a todo ello, esta semana hemos hablado con nuestro partner tecnológico en ciberseguridad:  Su respuesta es clara:

«Las empresas deben tomar las riendas del control tecnológico. Hay tres factores esenciales para que la ciberseguridad, tanto personal, como empresarial, funcione: contar con un análisis global de las vulnerabilidades de la infraestructura digital de la empresa, aplicar medidas eficaces de protección en las aplicaciones y en protocolos de actuación y, fundamentalmente, contar con formación precisa y continua para todo el personal».

Rodrigo Melián.
Experto en Ciberseguridad
– Partner tecnológico de Grupo Copicanarias

El ‘Hacking Ético’ como medio de Análisis de Vulnerabilidades en la ciberseguridad empresarial

En este contexto, el análisis de detección de vulnerabilidades en la ciberseguridad empresarial se presenta como el primer paso esencial para garantizar la seguridad en la gestión de datos y la seguridad informática.

Y para ello, una de las principales vías de conocimiento es, tal y como explica Melián, «imitar las acciones que realizaría un ciberdelincuente para atacar nuestros sistemas, pero sin llegar a ejecutar acciones que puedan producir algún tipo de daño».

Se trata de lo que se conoce como ‘Hacking Ético’.

Este tipo de análisis para la detección de riesgos y vulnerabilidades consiste en la intervención de un equipo de profesionales y expertos en ciberseguridad que, como nuestro aliado Rodrigo Melián, debe estar formados y certificados como ‘Hackers Éticos’.

Contando con los conocimientos y medios necesarios para ello, este tipo de analista en ciberseguridad entrará en tu red tecnológica empresarial e imitará los pasos que daría un verdadero cracker para acceder a los datos de tu compañía y, literalmente, ¡robarte! Eso sí, a diferencia de los malos, el analista solo analiza, sin romper ni causar daños.

En este proceso, el experto en ciberseguridad, será capaz de:

  1. Trazar el mapa de tu infraestructura tecnológica.
  2. Localizar las principales vulnerabilidades técnicas de tus sistemas.
  3. Identificar los activos críticos y los riesgos presentes o previsibles asociados a ellos.

Identificación de las amenazas

En este punto, Melián nos detalla cuáles suelen ser las principales amenazas y vulnerabilidades que, de forma general, se logran localizar a través del análisis profundo de las brechas de seguridad de tu negocio.

Riesgos que el experto clasifica en tres categorías principales:

1.- La vulnerabilidad de los equipos

El primer paso para contar con un sistema robusto capaz de prevenir ataques tecnológicos, pasa por mantener perfectamente revisados, actualizados y securizados todos los equipos que componen el parque tecnológico de tu negocio.

Errores habituales como tener softwares y sistemas operativos desactualizados en los equipos, no contar con antivirus y cortafuegos verificados y al día, mantener instalados certificados de seguridad caducados y/o la falta de actualización en servidores de transferencia de archivos, abren de par en par las puertas de tu negocio a la ciberdelincuencia.

Estas puertas abiertas permiten la llegada y el anidado en los sistemas de tu negocio de malwares y virus informáticos, capaces de infectar los equipos y redes, dañar tus archivos y programas e, incluso, dar acceso a los ciberdelincuentes a la información más sensible de tu empresa y de tus clientes.

Los ransomware son un tipo de malware que puede, potencialmente, instalarse a vivir en tus sistemas y provocar un descalabro importante a tu empresa, ya que es capaz de cifrar los archivos y datos para que no puedas acceder a ellos.

La exigencia del pago de un rescate para recuperarlos será la siguiente acción del criminal detrás de ellos.

2.- La vulnerabilidad en la red

El segundo de los grandes riesgos peligrosamente habituales para la ciberseguridad empresarial se encuentra en la red de comunicaciones del negocio. Esto es, en los correos electrónicos, sistema de servidores y teléfonos de la empresa.

En este sentido, existen dos formas principales de ataque que cualquier empresa puede sufrir si no cuenta con las medidas de protección adecuadas:

  • Ataques DDoS: se trata de un tipo de ataque cibernético dirigido a los servidores de la empresa que, a través de solicitudes masivas de conexión a los mismos, son capaces de saturar los sistemas y aplicaciones en red del negocio y lograr inhabilitarlos.
  • Ataques de Ingeniería Social que persiguen, fundamentalmente, aprovechar cualquier tipo de «error humano» para, sin paliativos: ¡robarte! Este tipo de ataques se clasifican en tres tipos:
    • Phishing (seguro que te suena): a través de correos electrónicos fraudulentos tratan de engañar a los empleados de cualquier negocio para acceder a información sensible y confidencial, como las credenciales de acceso a tus aplicaciones, cuentas bancarias… Normalmente, utilizan enlaces maliciosos que, de forma inmediata, o a través de formularios maliciosos, logran romper tus sistemas de seguridad y, sí, ¡robarte!
    • Smishing: quizás te suene menos pero es muy similar al anterior, con la salvedad de que la vía de acceso al empleado es el SMS. El objetivo, por supuesto, ¡robarte!
    • Vishing: en este caso se trata de llamadas telefónicas que contactan con los empleados del negocio con argumentos engañosos que buscan hacerse con datos, contraseñas, números de cuenta y/o tarjetas para, por supuesto, ¡robarte!

3.- La vulnerabilidad de las personas

«O lo que es lo mismo: el factor humano» , apunta el experto.

Y nombrarlo en tercer lugar no supone que sea el menos importante ni el menos habitual. Por contra, se trata precisamente de la vulnerabilidad más peligrosa para cualquier negocio ya que, sin ella, sería verdaderamente complicado que un ciberdelincuente lograse colar malwares y virus en tus sistemas, y/o hacer que un ataque de ingeniería social tuviese éxito.

Es por ello que la principal y más efectiva medida de ciberseguridad para cualquier negocio o institución sea contar con un Plan que involucre al personal de la empresa, con la capacitación adecuada, políticas y protocolos claros y accesibles y una cultura basada en la ciberseguridad empresarial patente para todos y cada uno de los miembros de tu equipo.

La importancia de contar con un completo Plan de Ciberseguridad

Analizar los riesgos y vulnerabilidades que tu negocio registra, a través del análisis integral de tus equipos, sistemas, redes y protocolos, es, como hemos dicho, el primer paso para proteger tu empresa de los ciberdelincuentes.

El siguiente paso es, por su puesto, trazar un plan. Y este plan tendrá que incluir, por un lado, las acciones inmediatas a realizar:

  • Limpiar tus sistemas de cualquier elemento peligroso o sospechoso
  • Actualizar equipos, servidores y certificados
  • Instalar sistemas antivirus y antimalwares
  • Activar sistemas robustos de verificación de identidad, desde contraseñas seguras hasta factores de doble factor, «e incluso de triple», señala Melián.
  • Formar conveniente y profundamente al personal

Y, por otro lado, será fundamental establecer y cumplir estrictos protocolos capaces de mantener el sistema protegido ante cualquier riesgo:

  • Protocolos de actualización periódica y constate de los sistemas de ciberseguridad
  • Protocolos de vigilancia que contemplen, al menos una vez al año, la ejecución de análisis completos de ciberseguridad, capaces tanto de garantizar el cumplimiento de los protocolos establecidos, como de detectar cualquier nueva o potencial amenaza.
  • Protocolos de formación constante y de evaluaciones regulares del personal, con el fin tanto de actualizar las medidas a las circunstancias de cada momento, como de garantizar el cumplimiento y la adherencia de los equipos humanos al plan de ciberseguridad.

¿Cómo involucrar al personal?

Tal y como hemos visto, la ciberseguridad no es únicamente responsabilidad del departamento de IT de tu negocio y tampoco consiste únicamente «en instalar programas de ciberseguridad, ni en dar una charla de una o dos horas al personal», resalta Rodrigo Melián.

«Si tengo las herramientas pero no las uso es igual que si tengo los conocimientos pero no los uso: la empresa estará en peligro», afirma el consultor experto.

Involucrar de forma profunda al personal en las estrategias contra la ciberdelincuencia es vital en la tarea de protección constante del negocio.

Para ello, Melián recomienda:

  1. Formación continua en ciberseguridad: Implementando programas de capacitación regulares sobre las mejores prácticas en ciberseguridad, que incluyan simulaciones de phishing y otras amenazas comunes para mantener al personal alerta.
  2. Establecer políticas claras y accesibles que sean fácilmente accesibles para todos los empleados. Estas políticas deben cubrir el uso adecuado de la tecnología, la gestión de contraseñas y los procedimientos para reportar incidentes.
  3. Fomentar la cultura de la ciberseguridad en la empresa a través de un liderazgo visible y constante en materia de seguridad y la inclusión de la ciberseguridad en las reuniones y comunicaciones internas.
  4. Procurar la responsabilidad compartida en la seguridad empresarial, promoviendo que cada empleado sea responsable de la seguridad de su trabajo y de los datos que maneja. Esto puede incluir la implementación de políticas de “zero trust” y la segmentación de redes para limitar el acceso a información crítica.

¿Necesitas ayuda? ¡Pídela!

Como hemos visto, contar con un completo Plan de Ciberseguridad, basado en el análisis de las vulnerabilidades y con el desarrollo de protocolos claros, y eficientes, es vital hoy en día para cualquier negocio, grande o pequeño.

La identificación temprana de debilidades ahorra tiempo, dinero y, sobre todo, ¡sustos!

De este modo, «la ciberseguridad no debe computarse como gasto, sino como una inversión» nos recuerda Melián.

Y contar con los más de 20 años de experiencia de Grupo Copicanarias en los procesos de protección de sistemas tecnológicos, sumados a los más de 10 años de experiencia, con garantías certificadas, de nuestro experto socio estratégico, es una decisión con la que están altamente satisfechas las innumerables empresas que a día de hoy se benefician de nuestras soluciones y servicios de Ciberseguridad.

La inversión en análisis de vulnerabilidades y desarrollo de protocolos contra la ciberdelincuencia, no solo protege tus datos, sino también los de tus clientes, fortaleciendo la confianza y la reputación en el mercado de tu negocio.

Por todo ello, no dudes en pedirnos ayuda si la necesitas.

Descubre más sobre lo último en innovación y tecnología para Canarias
Scroll al inicio
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos.
Privacidad
Ir al contenido