zataca ⭐️

La información: El activo más importante de una compañía (y está desprotegida)

Tiempo de lectura

4 minutos

Fecha

07/01/20254

Autor/a

Itziar Martínez

La ciberseguridad se ha convertido en un pilar indispensable para el funcionamiento de las empresas en un mundo cada vez más digitalizado. En este artículo, abordamos este asunto a través de una entrevista a Sylvia Fries, CEO de Data Protect Plus, una consultora en protección de datos a nivel nacional. Sylvia comparte su visión sobre la importancia de integrar la ciberseguridad como una herramienta estratégica para prevenir no solo ataques externos, sino también errores humanos que podrían comprometer la privacidad y operatividad empresarial. Según Fries, el desconocimiento y la falta de formación en ciberseguridad siguen siendo los principales retos que enfrentan las organizaciones, dejando puertas abiertas a riesgos que podrían evitarse con medidas preventivas asequibles y accesibles.

Durante la conversación, Sylvia enfatiza que la información es el activo más valioso de cualquier compañía. Plantea preguntas reflexivas como: «¿Qué harías si mañana toda la información de tu empresa estuviera encriptada?» para ilustrar el impacto devastador de un ciberataque. Además, subraya la necesidad de involucrar a equipos técnicos y líderes tecnológicos en la implementación de soluciones robustas que protejan los datos sensibles. En este artículo, exploramos las claves para una ciberseguridad efectiva, las amenazas más comunes y las estrategias que toda empresa debería adoptar para protegerse en un entorno digital en constante evolución.

¿Qué es la ciberseguridad?

La ciberseguridad, o seguridad digital es la práctica de proteger información digital, dispositivos y activos, que cuentan con información personal, cuentas, archivos, fotos e incluso el dinero. Esta práctica se fundamenta en tres pilares fundamentales, que son: La confidencialidad, la integridad y el acceso.

  • Confidencialidad: Se centra en preservar la privacidad de la información, asegurando que únicamente los usuarios autorizados puedan acceder a archivos, cuentas o sistemas. Esto implica proteger datos sensibles frente a accesos no autorizados o divulgaciones indebidas

  • Integridad: Gira en torno a garantizar que la información se mantenga exacta y confiable. Es decir, que los datos no hayan sido alterados, eliminados o manipulados sin el consentimiento del propietario. Por ejemplo, un ataque que cambia números en una hoja de cálculo podría comprometer decisiones críticas basadas en esa información

  • Acceso: Busca garantizar la disponibilidad de los datos y sistemas cuando se necesiten. Las amenazas comunes incluyen ataques de denegación de servicio, que saturan una red para inutilizarla, o el ransomware, que bloquea el acceso a los sistemas al cifrarlos, exigiendo un rescate para desbloquearlos

La ciberseguridad «es una herramienta clave para todas las empresas. Desde el 2020 hemos ido sufriendo una digitalización a una velocidad nunca vista y se queda por el camino la seguridad de datos. Mucha gente desconoce que existen herramientas que pueden prevenir la sustracción de datos no solo por ataques cibernéticos, sino por fraude humano», según Fries, quien señalada que la seguridad digital «está al alcance de todos».

Acerca de si las empresas están concienciadas de la importancia de implementar prácticas de ciberseguridad en sus compañías, Sylvia Fries ha señalado que «hay un esfuerzo desde el gobierno, a través de la Agencia Española de Protección de Datos, en lo que se refiere a la privacidad. Lamentablemente la información no llega a todos porque todavía se ve como algo abstracto. Mucha gente no toma conciencia de estas herramientas y vías de información, porque hay una política de concienciación e información acerca de esta temática».

El Instituto Nacional de Ciberseguridad (INCIBE) también concibe a la información como uno de los activos más importantes que tiene una empresa y en uno de sus artículos publicados en la web añade que «sin ella no es posible trabajar ya que si no puedes contactar con tus proveedores, no puedes acceder a la cartera de clientes o la web no es accesible, se puede tener un grave problema». Y añade: «Es importante mantener la información a buen recaudo y evitar que cualquiera que no deba pueda acceder a ella, modificarla o incluso destruirla. Otro aspecto fundamental es tener la información bien catalogada, de tal modo que sea fácil encontrarla y filtrar quién pueda tener acceso a ella».

Los retos y amenazas más comunes: El error humano

Según un informe elaborado por PwC España, el 86% de las organizaciones españolas considera que sus trabajadores carecen de una cultura de ciberseguridad acorde a la realidad y necesidades, lo que pone de manifiesto que muchas compañías no hayan puesto los medios suficiente en la concienciación y formación de sus empleados. Según el INCIBE las principales amenazas en materia de ciberseguridad de las pymes y son las siguientes:

  • Phishing o suplantación de identidad: El phishing es una estrategia utilizada por ciberdelincuentes para hacerse pasar por organizaciones legítimas y engañar a las víctimas con el objetivo de obtener datos sensibles como contraseñas, nombres de usuario o información bancaria. Este método suele emplear correos electrónicos, mensajes de texto o sitios web que simulan ser auténticos. Visita el siguiente enlace para ampliar información sobre esta amenaza.

  • Ransomware o secuestro de información: El ransomware es un tipo de malware diseñado para cifrar los datos de un dispositivo, bloqueando el acceso del usuario a sus archivos. Los atacantes exigen posteriormente un rescate económico a cambio de la clave de descifrado que permite recuperar la información.

  • Ataques a la cadena de suministro: Los ataques a la cadena de suministro consisten en comprometer la seguridad de una empresa a través de vulnerabilidades presentes en sus socios comerciales o proveedores. Este tipo de amenazas aprovecha la confianza entre empresas para robar datos, interrumpir operaciones o causar daños más amplios.

  • Falta de formación y políticas de seguridad:  Uno de los pilares fundamentales para mejorar la ciberseguridad en las pequeñas y medianas empresas es la formación del personal. Capacitar a los empleados les permite identificar amenazas, responder ante ellas y adoptar prácticas seguras. Por otro lado, las políticas de seguridad establecen pautas claras para proteger los activos y datos corporativos, creando un marco organizado de defensa.

  • Contraseñas débiles: Las contraseñas débiles son aquellas fáciles de predecir o descifrar debido a su simplicidad, como el uso de palabras comunes, secuencias básicas como «123456» o datos personales. Estas claves, al carecer de diversidad en caracteres (letras, números y símbolos), exponen sistemas y cuentas a riesgos elevados de acceso no autorizado.

  • Actualizaciones de seguridad: Las actualizaciones de seguridad son cruciales para corregir fallos y vulnerabilidades en el software que los atacantes podrían explotar. Mantener los sistemas actualizados es una de las formas más efectivas de proteger tanto la información como las infraestructuras frente a posibles ciberamenazas.

La formación del equipo es uno de los principales retos que enfrentan las empresas en materia de ciberseguridad. Según Sylvia Fries, experta en el sector, “hay muchísimo desconocimiento” en esta área, lo que hace fundamental educar y concienciar a los empleados sobre qué deben hacer, cómo hacerlo y por qué es crucial proteger los datos. La integración de medidas de ciberseguridad resulta sencilla gracias a la posibilidad de contar con técnicos a distancia, Fries señala que “la forma idónea es que el informático o alguien con conocimiento tecnológico liderara el proceso porque entiende internamente qué hay que hacer”. Este enfoque permite identificar las vulnerabilidades, muchas de las cuales se encuentran en los ordenadores principales, que suelen ser el punto más crítico por donde circula la información sensible de las empresas.

En cuanto a las amenazas más frecuentes, Fries enfatiza que “el ser humano” es el mayor problema. Los errores cometidos por los empleados representan una de las mayores vulnerabilidades dentro de las organizaciones. Por esta razón, el lema de su consultora es “Enseñar a proteger los datos”, pues considera que la ciberseguridad y la privacidad son conceptos inseparables que requieren de un aprendizaje continuo. Sylvia advierte que un fallo en ciberseguridad, combinado con una deficiente gestión de la privacidad, puede derivar en multas tan severas que incluso podrían provocar el cierre del negocio. “Y está pasando, lamentablemente”, concluye, destacando la necesidad de abordar esta problemática con mayor rigor y profesionalidad.

¿Qué es la NIS2? Y, ¿qué empresas tienen que implantarla?

La Comisión Europea ha adoptado las primeras normas de ciberseguridad en entidades y redes críticas con el fin de elevar el nivel de seguridad digital en toda la Unión Europea (UE). Con este propósito surgió la Directiva NIS1 en 2016, pero tras quedarse obsoleta, se actualizó dando lugar a la Directiva NIS2, que modernizó el marco jurídico existente para adaptarse a las circunstancias. A partir del 18 de octubre de 2024, los Estados miembros de la UE deberán aplicar las medidas que especifica la norma NIS2, así como la supervisión y ejecución de la misma. La norma se aplica a diversos sectores que se clasifican según su criticidad. Estos son los sectores: energético, transporte, banca e infraestructuras de sectores financieros, sanitario, potable y residuales, de infraestructura digital, gestión de servicios TIC, administración pública o espacio.

Fuente: Instituto Nacional de Ciberseguridad

 

Otros sectores críticos son: servicios postales y de mensajería, gestión de residuos, productos químicos, alimentos, fabricación de dispositivos médicos, computadoras y productos electrónicos, maquinaria y equipos, vehículos de motor, remolques y semirremolques y otros equipos de transporte, proveedores digitales (mercados en línea, motores de búsqueda en línea y plataformas de servicios de redes sociales) y organizaciones de investigación.