Pensemos por un momento cómo era una empresa hace 25 años, cómo era hace 10, cómo es ahora y como creemos que será en un futuro no muy lejano.
Hace 25 años había algunos ordenadores sobre las mesas, el experto en ciberseguridad era una profesión que sonaba a película futurista, la conexión a internet era pesada y lenta y servía para enviar los primeros correos electrónicos y ver alguna que otra rudimentaria web, y todos los ordenadores se conectaban entre sí, compartiendo alguna información y archivos.
Hace 10 años había ordenadores y conexiones a internet mucho más veloces, los datos estaban en un servidor instalado en la propia empresa y e irrumpían en el mercado los primeros smartphones modernos (el iPhone 3G y los primeros Android, como el T1, o las Blackberry Bold).
Hoy el panorama ha cambiado enormemente y sigue cambiando a grandísima velocidad: la nube permite un acceso a todos los datos, documentos, email, calendario… hasta llamadas de teléfono o video-conferencias desde cualquier lugar en cualquier momento. A esto hay que sumar smartphones, tabletas, sistemas de video-vigilancia online, automatización de procesos tecnológicos dentro de la incipiente revolución del ‘Internet Of Things’, sin olvidar otros dispositivos menores conectados a la red. Y si miramos lo que los expertos prevén que pasará en 5 o 10 años, nos podemos encontrar con un panorama en donde absolutamente todo esté conectado a la red en el ámbito doméstico y en el ámbito profesional.
Pero cada nuevo dispositivo que conectamos a la red, supone un punto débil a través del cual dejamos al descubierto nuestra red. En los últimos años se ha vivido un aumento espectacular en las denuncias de ciberataques en empresas de todo el mundo. El caso más famoso se dio en junio de 2017, cuando millones de ordenadores de todo el mundo, la mayoría en grandes empresas, quedaron secuestrados durante días a causa de un ataque del ransom-virus WannaCry. Este virus encriptó los datos contenidos en los ordenadores y sólo se podía recuperar el control previo pago de un rescate.
La ciberseguridad o seguridad informática, es la práctica de defender todos los datos y usuarios de sistemas, redes y dispositivos informáticos y eléctricos de ataques con objetivos maliciosos.
¿Cuáles son esos objetivos maliciosos? Principalmente las amenazas contra las que deben luchar los expertos en ciberseguridad son tres:
En nuestra empresa no tendremos (o no deberíamos) que luchar en una ciberguerra o un ataque ciberterrorista, pero sí que podemos enfrentarnos al ataque de un virus o al robo de información sensible.
Esta profesión está al alza dado el aumento en los últimos años de los ataques que han sufrido principalmente las empresas. Se hace necesario desarrollar un plan de medidas específicas que permitan, eventualmente, garantizar el grado de protección más elevado posible contra hipotéticos ataques.
Un profesional de la seguridad informática llevará a cabo este plan centrándose en las necesidades de la empresa.
La auditoría en ciberseguridad tiene como objetivo dar a conocer los riesgos a los que se expone nuestra empresa y su infraestructura informática (TIC), así como recoger todas las medidas recomendadas, según la prioridad, que deberían ponerse en marcha.
Puede parecer obvio, pero según una encuesta realizada por la consultora norte-americana Proviti, todavía hoy el 35% de las empresas españolas no ha realizado ninguna auditoría en ciberseguridad. ¿Por qué? En muchos casos es por la falta de recursos propios y por la inversión que debe realizarse. Pero cambiemos el punto de vista: si mañana nuestra empresa fuese objetivo de un ciberataque como el de WannaCry, en que todos los ordenadores quedaran encriptados ¿qué inversión sería necesaria para recuperar el control? Posiblemente el impacto sobre la cuenta de resultados sería demoledor, además de que se necesitarían muchos días, cuando no semanas, para recuperar la total normalidad.
La auditoría en ciberseguridad debe contemplar la realización de pruebas, tales como:
Estos son algunos de los test que llevará a cabo el experto en ciberseguridad de nuestra empresa.
Cada empresa es única y sus necesidades también lo son. Del mismo modo en que se debe encontrar la solución de almacenamiento de datos óptimo, telefonía u hospedaje web más adecuado, debemos confiar en el experto en seguridad informática para proyectar y desarrollar el plan de medidas de seguridad más eficaz posible.
Lo único que no podemos permitirnos es no hacer nada, porque en un mundo cada vez más conectado, la ciberseguridad es uno de los pilares más importantes de las empresas que quieren afrontar el próximo cambio tecnológico, el Internet Of Things, con plenas garantías.