En nuestras previsiones para 2019 anunciamos que este año sería más peligroso, especialmente por la sofisticación y agresividad de los ataques. Las empresas y organizaciones son conscientes de ello. Sin ir más lejos, la encuesta global a directivos del Foro Económico Mundial revela que los ciberataques son una de las principales preocupaciones para las empresas europeas (también en Asia Oriental, Pacífico y América del Norte los ciberataques son el principal riesgo). A esto hay que añadir que, en muchos casos, sigue habiendo una falta de formación y concienciación que implica riesgos, no solo externos, sino dentro de las propias compañías.
Los ciberataques son considerados el principal riesgo en mercados que representan el 50 por ciento del PIB mundial. Por tanto, empresas y gobiernos van a necesitar fortalecer la ciberseguridad para mantener la confianza en este mundo totalmente conectado. La seguridad avanzada es una necesidad vital para hacer frente a la ciberdelincuencia.
Incidentes como el de British Airways (sufrió el robo de los datos personales y la información bancaria de 400.000 usuarios), Ticketmaster (también quedaron expuestos los datos personales y bancarios de 40.000 usuarios) o Under Armour (afectó a unos 150 millones de cuentas de usuario), ponen la ciberseguridad en el candelero y revelan que las necesidades no son solo tecnológicas, sino también de concienciación y formación de empleados o de cumplimiento normativo.
La encuesta global a directivos del Foro Económico Mundial revela que los ciberataques son una de las principales preocupaciones para las empresas europeas (también en Asia Oriental, Pacífico y América del Norte los ciberataques son el principal riesgo)
Los entornos más atacados
Los objetivos más habituales suelen ser las infraestructuras críticas, las Administraciones Públicas o las empresas; en especial, la industria, las compañías de distribución, la banca, las aseguradoras, la sanidad y los servicios. En este contexto, ¿qué pretenden los ciberdelincuentes? Sobre todo, robar datos para su venta o con fines de ciberespionaje, u obtener una fuente fácil de ingresos para financiar otras actividades delictivas.
En el caso de la industria, las ciberamenazas han aumentado considerablemente en los últimos años. Los entornos industriales están cada vez más conectados; eso los hace más vulnerables y los convierte en objetivo de los ciberdelincuentes. En este sector, las pérdidas por ciberdelitos se han duplicado en los últimos dos años y las ciberamenazas no dejan de aumentar: ataques dirigidos y de código malicioso, robos de información, pérdida de disponibilidad de los sistemas o alteración de los procesos son algunos ejemplos de los problemas a los que se va a enfrentar la Industria 4.0.
Los ciberataques son considerados el principal riesgo en mercados que representan el 50 por ciento del PIB mundial.
Los ciberdelincuentes han puesto sus miras en este ámbito. Por eso, es importante que los responsables de las compañías tomen conciencia y apuesten por la ciberseguridad industrial como una inversión. Desde Secure&IT podemos ayudarte a conocer el estado de tu instalación, detectar los riesgos y asesorarte en las soluciones: auditorías de seguridad en redes industriales, diseño de estrategias de ciberseguridad en estos entornos, Sistema de Gestión de Ciberseguridad Industrial, Ley de Protección de Infraestructuras Críticas, el estándar ISA99/IEC62443, continuidad de negocio y formación…
Crimen organizado
La Estrategia Nacional contra el Crimen Organizado y la Delincuencia Grave 2019-2023 es el marco de referencia para las Fuerzas y Cuerpos de Seguridad del Estado y organismos públicos para prevenir y luchar contra los fenómenos de delincuencia que causan importantes daños a la sociedad. En este documento, la ciberdelincuencia se encuentra enmarcada dentro del crimen organizado y es considerada delincuencia grave.
La Estrategia habla de algunos ejes de actuación para dar respuesta al problema, y entre ellos se encuentran la «ciberinteligencia como prevención y anticipación de ciberamenazas» y la formación. Estos son dos aspectos que nos preocupan mucho en Secure&IT. De hecho, hemos puesto en marcha nuevos servicios relacionados con ellos: Secure&Guard, que une la ciberinteligencia de ciberamenazas y la gestión de vulnerabilidades, y nos permite anticiparnos a los ciberataques y detectar a tiempo fallos de seguridad y posibles vectores de ataque; y Secure&Academy, nuestro centro de formación en ciberseguridad. Desde aquí podemos ayudar a las empresas a implantar un plan formativo y de concienciación, y a los profesionales a alcanzar las capacitaciones y habilidades que necesitan. Contamos con un equipo altamente cualificado, expertos en Derecho TIC, peritos judiciales, informáticos, expertos en Sistemas de Gestión, análisis defensivo y ofensivo en ciberseguridad, que imparten formación y concienciación de manera presencial, in company o de forma online a través de nuestra plataforma de e-learning, que verá la luz muy pronto.
Más allá de los ciberdelincuentes
Estamos hablando de ciberdelincuencia, pero los responsables de empresas y organizaciones deben ser conscientes de que las ciberamenazas van más allá de los ciberdelincuentes: empleados descontentos, errores humanos, falta de medidas técnicas, formación insuficiente, incumplimiento legal o competencia desleal son factores a tener muy en cuenta, ya que ocasionan pérdidas a las compañías, por lo que, intencionalmente o no, lo debemos denominar ciberataque. Y su impacto puede ser catastrófico: genera desconfianza, desprestigio, pérdida de datos, fuga de clientes, sanciones por incumplimiento de las normativas e, incluso, dificultad para entrar en ciertos mercados.
El trabajo no es solo reactivo, sino, sobre todo, de prevención y concienciación para que las compañías conozcan la importancia de una correcta gestión de la seguridad de la información. A través de lo que Secure&IT denomina «Seguridad 360°» es posible ofrecer una cobertura completa al cliente. ¿Cómo? Ayudando a las organizaciones a establecer un Sistema de Gestión de Seguridad de la Información basado en cuatro pilares fundamentales: la protección de datos y el cumplimiento normativo; los procesos corporativos de seguridad; la seguridad informática y la seguridad gestionada a través de su Centro de Operaciones de Seguridad (SOC).