Que la ciberseguridad está de moda es sabido por todos, en los últimos tiempos han ocupado portadas de telediarios y periódicos, grandes ataques informáticos como el ransonware Wannacry, el malware Tritón o las vulnerabilidades Meldown o Spectre,  entre otros.

 

Incluso se está hablando en los últimos tiempos de formar una ciberreserva con profesionales voluntarios del sector, para que puedan combatir y defender si se produjera un ataque informático que ponga en peligro una infraestructura crítica del país o a una empresa estratégica.

 

Desde Áudea día tras día nos encontramos con diferentes frases o excusas para no invertir en ciberseguridad y que en estas líneas vamos a intentar desmontar:

 

  • ¡Es que mi pagina web esta en un hosting!

Efectivamente no la tienes alojada dentro de tu infraestructura, pero… ¿Se sabe si la misma está securizada? ¿Se sabe de qué forma se están guardando tus datos? ¿Se realizan auditorías de seguridad periódicas a la web?

 

  • ¡Es que mi página web no posee datos críticos!

Efectivamente si no tiene datos, es un riesgo menos que se corre, pero… ¿Se sabe que existen otro tipos de ataques que por ejemplo pueden dañar la imagen de la empresa? ¿Se sabe que puede ser que la misma puede ser utilizada como un sistema que automáticamente realice actos delictivos?

 

  • ¡Es que solo la gente de la empresa conoce la dirección web!

Efectivamente, quizá solo conocen la dirección del CRM las propias personas de la empresa, de la intranet, del portal de empleados o de cualquier aplicación interna, pero… ¿está verdaderamente seguro de que estando pública en Internet no es posible que se encuentre fácilmente? ¿De verdad que piensas que alguien que quiera hacer un ataque contra la organización no la conoce?

 

  • ¡Mis empleados están muy concienciados con la seguridad!

Efectivamente, todos conocen las reglas básicas de seguridad de la información, pero… ¿se está seguro de que ninguno de ellos pincharía en un enlace en una prueba de phishing? ¿O que ninguno de ellos cogería un USB infectado que alguien “casualmente” dejó olvidado? ¿O que no van a revelar información confidencial a una posible llamada telefónica amigable?

 

  • ¡Podemos decir que nosotros fuimos de las pocas empresas a las que no afectó Wannacry!

Efectivamente, tuvisteis la suerte de no ser una de las compañías, algunas incluso con grandes departamento de seguridad, pero… ¿Se está totalmente seguro de que no fue fruto del azar? ¿Se piensa realmente que en ese momento estaban la totalidad de los sistemas que posees en su última actualización de seguridad? ¿Se cree firmemente que ningún empleado hubiera abierto un mail malicioso con un malware similar?

 

  • ¡Tengo un antivirus que detiene todos los ataques!

Efectivamente, es una gran protección y posiblemente detecte multitud de ellos, pero… ¿Se está seguro de que si un atacante intenta explotar una vulnerabilidad en un servicio lo va a detectar? ¿Se piensa que con la sofisticación que existe en los últimos ataques va a detectar un ataque dirigido a la propia organización?

 

  • ¡No me interesa auditar este sistema/aplicación ya que no tiene acceso exterior!

Efectivamente, las posibilidades de realizar un ataque sobre la misma se reducen en gran medida por no estar público, pero… ¿se está seguro de que nadie puede llegar a ese componente en el caso un ataque? ¿Piensas que en el caso de una posible infección masiva no se propagará inmediatamente por la zona interna y por ende en ese sistema/aplicación?

 

  • ¡Tengo un sistema de monitorización que detecta todos los ataques!

Efectivamente, tienes el mejor de los sistemas y te detecta los ataques en tiempo real e incluso en alguna circunstancia los detiene, pero… ¿no es mejor tener securizada la infraestructura para que esos ataques no se lleguen a producir nunca? ¿Qué es mejor detectar un ataque o que no haya ninguna posibilidad de realizarlo por la securización de la infraestructura?

 

  • ¡Este año no hay presupuesto!

Efectivamente, las cosas no están todo lo bien que querríamos y no hay presupuesto para estas cuestiones y más cuando muchas veces el aspecto técnico no es el mercado del negocio, pero… ¿Se han echado los cálculos de los costes que puede tener para la empresa un posible ataque? ¿Se ha valorado realizar poco a poco un presupuesto acorde a las necesidades aunque este sea mínimo o incremental?

 

Y un largo etcétera de frases para no realizar ninguna inversión en ciberseguridad pero que como hemos ido viendo en realidad son excusas que se van poniendo las empresas que con el paso del tiempo nos van dando la razón, lo que de verdad hay que plantearse después de todo esto es ¿Y si invierto en Ciberseguridad?

 

Por ello, desde Áudea queremos hacer un llamamiento desde este blog a todas aquellas empresas que se han sentido identificadas con alguna de estas frases o situaciones para que puedan ver que con poca inversión se puede empezar a implementar servicios de Ciberseguridad en las organizaciones.

 

 

Fernando Saavedra

Cybersecurity Manager

Áudea Seguridad de la Información