En no pocas ocasiones nos hemos referido en este blog a ciberataques y amenazas que tienen claramente como objetivos a empresas, independientemente de su tamaño. Uno de los más activos últimamente, si atendemos al número de casos que nos llegan diariamente a nuestro departamento de soporte técnico, es el ransomware que afecta tanto a estaciones de trabajo como a servidores Windows. Pero, ¿es esta una muestra representativa de las amenazas a las que están expuestas nuestras empresas?.
Amenazas y Ciberataques
Primero hay que distinguir entre los daños causados por una amenaza informática y un ciberataque. A primera vista puede parecer que hablamos de dos cosas iguales, pero hay diferencias. Cuando hablamos de amenazas informáticas, normalmente nos referimos a todo tipo de malware que busca infectar el mayor número de sistemas, sin diferenciar entre ordenadores de usuarios particulares y de empresas. En estos casos se busca el beneficio inmediato por parte del ciberdelincuente y no se discrimina entre los datos obtenidos si la finalidad del malware es el robo de información.
Después tenemos los ciberataques, que suelen tener un objetivo más definido e incluso buscar información muy concreta o atacar solo a un sector o país en especial. Al contrario de lo que mucha gente piensa, la mayoría de estos ciberataques hacen uso de técnicas conocidas (envío de ficheros adjuntos o enlaces maliciosos) y muchas veces se aprovechan de vulnerabilidades conocidas y cuyo parche de seguridad no ha sido aplicado por la víctima.
Esto no quita que haya ataques dirigidos más elaborados que utilicen exploits para aprovecharse de vulnerabilidades para las cuales aún no existe solución, pero estas amenazas no son las predominantes. Cuando se descubren ataques de este tipo se suele armar bastante revuelo y las compañías de seguridad nos dedicamos a analizarlos a fondo y averiguar cómo funcionan o qué tipo de técnicas utilizan pero, como ya hemos dicho, son solo una pequeña parte de las amenazas existentes.
Coste de un incidente
Una vez realizada esta distinción, pasemos ahora a analizar el coste que tiene para una empresa un incidente de seguridad en sus sistemas o red. Continuamente salen estudios que hablan de los elevados costes que suponen estos incidentes para las empresas de todo el mundo. ¿Cómo de veraces son estos datos? Pues como muchas otras cosas, depende de varios factores como el tamaño de la empresa, la importancia de la información que haya podido ser comprometida, el alcance que haya tenido el ataque o infección dentro de la empresa e incluso la situación geográfica de la empresa.
Si bien es cierto que muchas de las cantidades publicadas suelen tirar por lo alto y no son totalmente representativas a escala mundial, puesto que solo tienen en cuenta cierto número de empresas ubicadas en un puñado de países, no hay que tomar a la ligera estas cifras y, aunque muchas veces no sean totalmente acertadas, sí que muestran un aumento constante en el número de amenazas y ciberataques que tienen en el punto de mira a empresas de todo el mundo, sean del tamaño que sean.
Una vez hemos sufrido una infección en nuestra red corporativa o se ha visto comprometida información privada de la empresa es la hora de poner en práctica el plan de recuperación ante este tipo de incidentes. No son pocos los usuarios asustados que nos llaman preocupados porque el servidor donde almacenan toda la información de la empresa se encuentra afectado por un ransomware y pide un elevado rescate si queremos tener acceso de nuevo a la información. Esto tendría una fácil solución si tuviésemos una copia de seguridad actualizada de los datos almacenados en el ordenador afectado, pero incluso una norma de seguridad tan básica no se cumple muchas veces.
Soluciones
Mucho mejor que tratar de recuperarse de un incidente de este tipo es prevenirlos. Para ello hay que seguir una serie de puntos clave que nos ayudarán a mejorar la seguridad de nuestra empresa:
- Controlar nuestros activos, posibles riesgos y los recursos disponibles: muchas veces desconocemos la cantidad de sistemas que manejamos en nuestra empresa y esto supone un riesgo potencial para su seguridad. Si catalogamos todos nuestros sistemas podremos controlarlos y mantenerlos seguros, evitando así que alguien se aproveche de una vulnerabilidad en una máquina de la que no conocemos su existencia y consiga acceder a la red corporativa. Del mismo modo, hemos de asegurarnos de que se cumplan una serie de procedimientos que eviten riesgos innecesarios. Tareas tan básicas como mantener al día una política de actualizaciones de seguridad en todos los sistemas son muchas veces olvidadas y suponen uno de los vectores de entrada de muchas amenazas. Es importante también controlar las conexiones entrantes y salientes, definiendo muy bien quién podrá acceder a los recursos de la empresa desde el exterior y cómo.
- Define tus procedimientos: para controlar el punto anterior se han de definir una serie de procedimientos o políticas que nos ayuden a catalogar y manejar nuestros activos y recursos. Un ejemplo clásico es el control de acceso a la información por parte de los empleados. Muchas empresas suelen definir diferentes niveles de acceso y controles para que según qué tipo de información no sea accesible desde el exterior. Es importante recordar que el control de la información no es algo opcional, sea cual sea el tamaño de nuestra empresa. No solo por los controles que nos imponga la legislación vigente, sino también porque, a la hora de cerrar acuerdos o contratos, estos aspectos son también muy importantes y no es extraño ver que nos pidan cumplir con estos requisitos.
- Implementar controles para asegurar el cumplimiento de las políticas: hemos de asegurarnos de la aplicación de las políticas mencionadas en el punto anterior mediante una serie de controles. Si, como hemos dicho, queremos controlar el acceso a la información por parte de los empleados, deberemos implementar un mecanismo de autenticación que nos permita verificar la identidad de los empleados autorizados. Estos controles han de ser probados a conciencia para asegurarnos de que no nos dejamos nada por revisar. Además se han de ir renovando constantemente según veamos que se incrementan o cambian los activos y sistemas a controlar.
- Educar a todo el personal de la empresa: aunque no lo parezca, esta es la tarea más complicada. Todos los que utilicen los recursos de la empresa o tengan acceso a su información deben estar informados de las políticas y procedimientos que se aplican y de cómo reaccionar ante un incidente de seguridad para comunicarlo a través de los canales adecuados. Esto implica desde los empleados en pruebas hasta la dirección de la empresa y cubre el uso de todos los dispositivos que almacena o dispongan de acceso a información privada, incluyendo estaciones de trabajo, servidores, portátiles, móviles, tablets, discos extraíbles, etc.
- Auditorías, pruebas y más pruebas: una vez implementado todo lo anterior es muy recomendable que una empresa externa especializada nos audite las políticas y procedimientos aplicados para revisar que se adecuan a nuestras necesidades y a cumplir la legislación vigente. A día de hoy existen muchas empresas capacitadas para realizar esta tarea pero hemos de tener en cuenta que una buena auditoría tiene sus costes en dinero y tiempo, y que se han de realizar periódicamente. De nada sirve realizar una auditoría cuando terminamos de implementar nuestras políticas si, al cabo de un tiempo, no se revisa que se cumplan todas las políticas y aparecen nuevos problemas.
Conclusiones
Como vemos, hay mucho trabajo que hacer en una empresa si queremos asegurarnos de que tenemos nuestra información a salvo. No todo consiste en implementar soluciones de seguridad, sino que estas han de ser complementadas con una serie de políticas y buenas prácticas. Existen además una serie de normas y estándares que se pueden seguir para implementar todos estos controles, de las cuales destacamos las de la familia ISO 27000 (27001 y 27002) por su amplia implementación y por ser considerada un estándar de facto en la industria.
Así pues, respondiendo a la pregunta que planteamos en el título de este artículo, el coste de un ciberataque o de sufrir una infección en nuestra red corporativa es muy difícil de determinar porque intervienen muchos factores. Hemos visto que se pueden implementar una serie de políticas que nos ayudarán mucho a evitar este tipo de incidentes y que esta implementación también tiene un coste.
Si bien un incidente aislado puede parecernos poco costoso en principio, hemos de tener en cuenta que las empresas que no se protejan estarán expuestas a este tipo de ataques constantemente y que los costes se irán incrementando, llegando incluso a provocar su cierre si la información robada es lo suficientemente importante como para poner en duda la confianza que tienen depositada en nosotros nuestros clientes.
Es por eso que recomendamos empezar a aplicar esta serie de normas cuanto antes puesto que más vale prevenir que curar.