Estimados amigos del blog,
Los que nos dedicamos al mundo de la seguridad siempre tenemos que lidiar con los clientes y atender a sus necesidades. Muchas veces es difícil demostrar el daño que podría ocasionar una intrusión o un incidente de seguridad a un empresario que no está muy concienciado en la seguridad informática.
Cada empresa es un mundo. El principal activo de algunas es un e-commerce para vender productos, otras, en cambio, no tienen web. Sí, hay empresas que no tienen web.
¿Cómo cuantificas el valor de un defacement a una empresa que tiene una web en HTML de hace 10 años con 20 visitas, de un sector en el que NO se usa la tecnología…? No puede ser lo mismo que un defacement en un comercio on-line.
Vamos a dar un pequeño repaso a ciertos ámbitos o activos de una organización que son susceptibles de poder sufrir un incidente de seguridad, y tú haz una valoración interna del coste que tendría en tu empresa. Sé sincero, aún no podemos leer la mente, aunque tengas el EndPoint instalado.
Secretos de negocios con empresas: ¿Qué pasaría si sale a la luz que estás pensando comprar una empresa?. ¿Subiría el coste de esa adquisición si la empresa a comprar conoce tus intenciones? Puede que no estés en esa situación, pero. ¿y si vas a firmar un contrato de exclusividad para distribuir un producto? o para vender a un cliente? Estos secretos tienen su coste. Quizás para empresas de Wall Street tenga más coste, pero sin duda, para una PYME también lo tiene en caso de hacerse públicas estas informaciones.
Lista de clientes: ¿Cuál es el valor de que se publique en Internet tu lista de clientes? Con sus descuentos, precios, opciones comerciales y demás. Si tu competencia se hace con esa información, jugará en una posición privilegiada a la hora de hacer de definir su estrategia de captación de clientes.
Información de Recursos Humanos: Esta es un punto muy delicado. En ámbitos empresariales de alto valor podría ser una ventaja saber que ciertas personas cobran cierto salario, para hacerles una contra-oferta laboral ajustada a la situación del trabajador, pudiendo calcular mejor ese precio. Vale, esto es algo un poco «lejano». Vamos a pensar en la LOPD. Que aparezca una lista con datos personales e información sensible de tus trabajadores sería objeto de una multa muy sustanciosa, de las que suben a medio millón de euros. Que haya anotaciones o valoraciones de empleados un poco «subjetivas» en un listado también podría ser objeto de denuncia por parte de un empleado. ¿Qué costaría todo eso?.
Información bancaria: Al igual que el apartado anterior, publicar información sensible de empleados o clientes es un delito. Imagina que se publican las cuentas y tarjetas bancarias de tus clientes. O tu contabilidad, o tu contabilidad creativa o lo que se llama «el B» o dinero negro. Imagina que algún atacante cambia en tu programa de gestión la cuenta destino de todos tus proveedores, redirigiendo tus pagos a un banco ubicado en «ilegal-landia» y que no hay manera de reclamar. ¿Cuánto dinero perderías en pagos en una semana?
Servidores, aplicaciones, escritorios: Cuando pensamos en un incidente de seguridad, solemos centrarnos en este tipo de activos. En ellos al fin y al cabo se almacena información, y cualquier información sensible que pueda ser revelada tendría un coste elevado. Vamos a centrarnos en el coste operacional de la intrusión. ¿Cuánto cuesta que un empleado esté 4 horas sin ordenador por un Ransomware? ¿Cuánto costaría tener la empresa parada porque el ERP ha caído durante dos horas?. ¿Y la web?. Seguramente estas preguntas te las hayan hecho ya los consultores que venden la virtualización y la alta disponibilidad en servidores y cabinas… Sí , sabemos que ya te has gastado mucho dinero… pero la ALTA DISPONIBILIDAD que te han vendido no te da seguridad.
Medios físicos: La seguridad física es una realidad, una necesidad. Imagina que alguien no autorizado entra en tus instalaciones y destruye algún aparato, servidor, equipo… Imagina que no es un atacante, sino un empleado descuidado (pobre señor de la limpieza que siempre se la carga). Seguro que tu empresa tiene un centro de datos completo en otra ubicación…
Accesos a terceros: Puede que no te importe que te pirateen los usuarios y las claves del banco, porque como usas una tarjeta de PIN no te pueden robar el dinero, pero: ¿le importaría a tu cliente/proveedor/colaborador que aparezcan las claves de acceso VPN a su empresa?, ¿a su portal de compras?, ¿seguimientos?. Este caso lo suelo encontrar muchas veces: auditas a una empresa, y obtienes la información para auditar a 20 más. Pero no siempre quieren 🙂
Integridad de los datos: En ocasiones, no somos conscientes de que hemos sufrido un incidente. Conozco el caso de unos grandes almacenes. Sí, esos… que luego los hackearon del todo. Pues tenían varios fallos en la web en la que se podía cambiar el precio del producto en el lado del cliente. Conozco gente que compro bicicletas de 6.000€ por 600€, además 20, y ante un juicio la empresa tuvo que enviarles las bicicletas. Como dicen los folletos: salvo error tipográfico… pues en internet.
Se me ocurren muchas más preguntas o aspectos en los que una empresa podría perder dinero, mucho dinero.
Por desgracia, las empresas aún no están concienciadas en la importancia de la seguridad informática. Mucha gente piensa que un problema de seguridad es un equipo que va lento, que le aparecen muchas barras al explorador, o que hay que formatear porque le ha entrado un virus. La seguridad informática es algo intrínseco de la sociedad de la información que hemos creado, y no podemos dejarla al olvido.
Las empresas que han sufrido ataques de Ransomware sí que suelen interesarse por medidas adicionales porque experimentan en sus empresas una sensación de (in)seguridad que conocen de la vida «real»; un secuestro que impide trabajar.
Esperamos que vuestras empresas empiecen pronto en la carrera de la seguridad informática, y que no sea a raíz de un incidente de seguridad costoso para la organización.
¡Gracias por leerme!
PD: Puedes leer otros artículos míos en este mismo blog o en mi blog personal INSEGUROS.