La creciente presencia de la tecnología en nuestro entorno es un hecho indiscutible, tanto en el sector público, privado, como a nivel particular. Todo está cada vez más conectado. Lo que abre oportunidades de crecimiento también da paso a navegar en los sistemas informáticos de una entidad. Hoy en día, la seguridad informática se ha convertido en una de las principales preocupaciones de las empresas. Cada diez segundos un ciberdelincuente trata de acceder a los sistemas informáticos de una empresa.
Hablamos sobre ciberseguridad con los directores del título de Experto Universitario en Ciberseguridad Empresarial de la Universitat de València, los profesores de la Facultat d’Economia, Cristina Aybar y Virgilio Pérez. «Estos ataques crecen a un ritmo del 350% cada año y el 70% del valor de una empresa puede ser afectado tras un ataque informático. Por ello, la ciberseguridad es ahora más importante que nunca».
La pandemia nos ha cambiado en todos los sentidos. En sentido laboral, hemos tenido que adaptar nuestros puestos de trabajo presenciales a puestos de teletrabajo. ¿Qué ha supuesto este hecho durante 2020 en ciberataques a las empresas?
En el último año se ha producido un peligroso aumento de organizaciones y empresas que han sufrido ataques de malware. El confinamiento debido al coronavirus ha provocado que muchas empresas hayan apostado por el teletrabajo para proteger la salud de sus trabajadores. Y los cibercriminales se han adaptado: han pasado de buscar formas de invadir servidores corporativos a adentrarse en los ordenadores de los empleados, muchas veces personales y, por lo tanto, menos seguros. Además, cuando los trabajadores se encuentran en casa tienden a consultar menos al equipo técnico informático. Como resultado, toman decisiones en ocasiones peligrosas, como responder a e-mails que en realidad son falsos y que tienen como objetivo robar información privada (phishing), o instalar programas que prometen agilizar el trabajo, pero que en realidad ocultan malware.
¿Se ha notado un aumento de ciberataques?
El reciente Análisis de la Seguridad de la Nube 2021, de la compañía de ciberseguridad Wandera, concluye que en 2020 un 52% de las organizaciones se han enfrentado al menos a un incidente de malware a través de un dispositivo remoto. En comparación, en 2019 era un 37% de organizaciones afectadas, lo que supone un notable aumento de ciberataques durante el último año.
Con la publicación del Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, las empresas españolas están obligadas a designar un CISO (responsable de la seguridad de la información)
Las empresas, ¿demandan cada vez más un perfil de expertos en ciberseguridad?
En los últimos años, los robos de dinero e información empresarial se han trasladado al mundo online, lo que implica que cada vez haya más interés entre las empresas por los perfiles especializados en ciberseguridad. Pero, no solo eso. Con la publicación del Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, las empresas españolas están obligadas a designar un CISO (responsable de la seguridad de la información) en el plazo de tres meses desde la entrada en vigor de dicha norma. Así la ciberseguridad se está convirtiendo en uno de los principales ejes de la estrategia corporativa.
El sector empresarial español está en proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en ciberseguridad, pero aún queda mucho trabajo por hacer.
¿Consideran que, cada vez más, las empresas prestan atención a la importancia de contar con profesionales en ciberseguridad que dificulten esos ataques a la entidad?
Según un reciente estudio de la consultora PwC (reconocida como una de las firmas de consultoría de las Big Four), el nivel de cultura de ciberseguridad en las compañías en España es de 2,8 puntos sobre 5, el presupuesto medio destinado a concienciar y formar en ciberseguridad supone solo un 9% del total destinado a seguridad de la información y solo el 11% de las compañías miden la concienciación de los empleados en este ámbito. Esto significa que el sector empresarial español está en proceso de tomar conciencia de la necesidad de establecer un plan de cultura, capacitación y concienciación en ciberseguridad, pero aún queda mucho trabajo por hacer.
Los ataques no se pueden evitar, pero sí se puede reducir el impacto ocasionado. Formación, concienciación y prevención en materia de ciberseguridad son algunas de las medidas básicas que debe tenerse presente en cualquier organización.
Cada diez segundos se producen delitos informáticos para intentar acceder a los sistemas de una empresa. ¿Se pueden evitar estos ataques que parecen impensables en entidades grandes?
Es posible que hayan escuchado alguna vez una frase que dice “Hay dos tipos de empresas: las que saben que han sido atacadas y las que no”. Y no hay distinción entre empresa grande o pequeña, o entre pública o privada. No está en manos de las empresas, por tanto, el hecho de recibir un ciberataque. Pero lo que sí está en sus manos es cuánto de difícil se le pueden poner las cosas a los atacantes. Según Ruth Sala, abogada penalista en delitos informáticos, se estima que la formación en ciberseguridad, que deriva en prevención y concienciación, reduce en un 50% los ataques provocados mediante las técnicas de Ingeniería Social, utilizadas habitualmente por los ciberdelincuentes, y que consisten en ganarse la confianza del usuario y conseguir así que haga algo bajo su manipulación y engaño.
¿Un ataque como el que ha sufrido el SEPE en marzo de 2021, se podría haber evitado?
Lamentablemente los ataques no se pueden evitar, pero sí se puede reducir el impacto ocasionado. Formación, concienciación y prevención en materia de ciberseguridad, así como disponer de los sistemas informáticos adecuados, son algunas de las medidas básicas que debe tenerse presente en cualquier organización.
