El cibercrimen puede considerarse una actividad delictiva perfectamente organizada y que mueve millones a diario, con sus clientes, proveedores, medios de pago (muchas veces en forma de bitcoins) y con su propia plataforma de e-commerce (la Darknet o red TOR).
Las empresas no pueden obviar estos riesgos y cada vez más los discuten en los Comités de Dirección o en las reuniones del Consejo. Tal y como pone de manifiesto el informe Global CEO Outlook de KPMG, la ciberseguridad es ya una de las primeras amenazas detectadas por los primeros ejecutivos españoles y, sin embargo, solo un 28% admite que su organización está completamente preparada para hacer frente a un ataque de estas características.
Combatir el cibercrimen requiere de una planificación y una estrategia que, en todos los casos, deben respetar al menos cuatro reglas de oro, como muestra el informe Los CEOs ante la encrucijada de la ciberseguridad, elaborado por KPMG en España.
1.- Lo básico, primero. Los grandes riesgos se pueden reducir en parte aplicando medidas de seguridad básicas. Más del 75% de los ataques aprovechan fallos de seguridad elementales que podrían prevenirse con actuaciones muy sencillas, como la mera actualización de los sistemas incluyendo los últimos parches de seguridad. Según la última encuesta de KPMG en EMA en más de 60 empresas de diferentes tamaños, el 54% de las mismas reconocen haber sufrido un ciberataque en los últimos doce meses de los cuales el 44% habían comprometido la continuidad del negocio.
2.- Cuida las joyas de la corona. No se puede intentar proteger al mismo nivel todos los activos, por lo que hay que hacer un análisis de riesgo riguroso. Conviene construir una fortaleza en torno a los activos más preciados. El consejo de administración de una empresa identificó la propiedad intelectual como una de sus principales riesgos. Llegó a la conclusión de que si alguien accedía a sus documentos podría descubrir sus planes para lanzar nuevos productos o incluso llegar a copiarlos. Otro riesgo que con frecuencia se pasa por alto es el que surge de las fusiones y adquisiciones. Comprar una empresa cuyos productos no son seguros puede salir caro. En una reciente operación, el coste de subsanar las debilidades en ciberseguridad de la empresa adquirida fue el equivalente al 25% de precio de compra.
3.- Haz los deberes y conoce al enemigo. Es importante invertir en comprender quién podría atacarte, por qué y cómo para poder anticiparse a los escenarios más probables y defender los activos que tienen más probabilidades de ser atacados. La innovación va casi siempre por delante de la seguridad pero el problema es que los malos también innovan. La red oscura (Darknet) es uno de los mercados considerados más avanzados. Conecta el crimen organizado con los hackers de todo el mundo. En este entorno se comparten y desarrollan diariamente nuevas herramientas, nuevos servicios de ataques y estrategias para captar efectivo. Es necesario anticiparse a los cibercriminales y para ello es útil saber qué está ocurriendo en otras empresas, en nuestro sector y en el mercado en general.
4.- Trata los ciberriesgos como una oportunidad para examinar detenidamente el negocio. La ciberseguridad no es una cuestión que compete solo al área de TI, sino que debe abordarse en toda la organización. Toda compañía es ahora una ciberempresa. Las empresas más innovadoras han reconocido que la ciberseguridad es una experiencia más del cliente y una oportunidad de obtener ingresos, no solo un riesgo que debe gestionarse. Las estrategias para proteger la seguridad de las Tecnologías de la Información y la resiliencia de la empresa deberían actuar en consonancia con las metas más generales de la organización: desde proteger la propiedad intelectual hasta maximizar la productividad, pasando por nuevas formas de satisfacer a los clientes.
Deja un comentario