La gestión de riesgos es uno de los principales desafíos de las empresas

Los datos ponen de manifiesto que la gestión de riesgos se ha convertido en uno de los principales desafíos de empresas y organizaciones: el año pasado, se produjeron en nuestro país 160.000 ataques a empresas con consecuencias graves; por su parte, el Centro Criptográfico Nacional (CCN-CERT) gestionó un 44% más de incidentes que el año anterior.

Las compañías se enfrentan a diario a crecientes amenazas, y no importa su tamaño ni el sector al que se dediquen. Según ha revelado el comandante Óscar de la Cruz, Jefe de Operaciones del Departamento de Delitos Telemáticos de la Guardia Civil, en la inauguración de la V Jornada de Ciberseguridad de Secure&IT, la estadística 2017-2018 del Ministerio del Interior desvela que el fraude y las estafas electrónicas se han incrementado en casi un 50%, algo que no había pasado nunca antes. En este sentido, Óscar de la Cruz ha asegurado: “No podemos centrarnos solo en la tecnología para defendernos. Por supuesto, hay que tenerla muy en cuenta, pero también juega un papel fundamental el factor humano”.

Las amenazas van más allá de los ciberdelincuentes y los errores humanos se producen, en un gran porcentaje, por falta de formación y concienciación. Un dato significativo es que, a pesar de la intensa difusión que se hace de las campañas de phishing, más de la mitad de los usuarios acaban abriendo este tipo de correos. Por este motivo, el comandante de la Cruz concluía: La concienciación del trabajador y la formación es fundamental. No podemos estar sentados esperando. Hay que ser proactivos si queremos tener éxito en la lucha contra el cibercrimen”.

¿Cuál es la amenaza real?

En su intervención en la jornada, el director general de Secure&IT Francisco Valencia ha asegurado que empresas y usuarios siguen en una falsa sensación de seguridad: “Siempre pensamos que le pasa a otro y la realidad es que ha habido 160.000 ataques a empresas con consecuencias graves y que se mueve más dinero por tráfico de información que de drogas y armas juntos”.

Pero, Francisco Valencia ha apuntado que, los ciberdelincuentes no son la única amenaza: “Pensamos que los ataques son nuestra principal amenaza y hay muchos más factores a tener en cuenta: incumplimiento legal, falta de medidas técnicas adecuadas, falta de un Plan de Continuidad de Negocio, empleados descontentos, competencia desleal, formación insuficiente… Tenemos que ser conscientes de que el problema se empieza a solucionar desde dentro”.

Las consecuencias de un ataque pueden ser devastadoras para las organizaciones: económicas, reputacionales, operativas, sobre las personas, sobre el cumplimiento y sobre la estrategia de la propia empresa. Por este motivo, es necesario analizar y gestionar los riesgos a los que se enfrentan y, en este sentido, la implicación de la alta dirección es fundamental: “Para protegernos de forma real debemos entender que esto no es solo un problema informático. Es legal, es comercial, es operativo y es directivo. No podemos dejar la responsabilidad solo al informático. En definitiva, tenemos que proteger la información, que no solo está en sistemas informáticos”.

Las técnicas de ciberseguridad están en continua evolución. Nos encontramos en un momento en el que la ciberinteligencia de amenazas, que consiste en anticiparse a los cibercriminales, es clave. Por este motivo, Javier Martí, consultor de Seguridad de Secure&IT ha asegurado: Las amenazas son cada vez más sofisticadas y dirigidas, y consiguen superar las defensas tradicionales y los enfoques operativos. Por eso, es necesario ir un paso por delante de los delincuentes”.

José Valiente, director y responsable de Coordinación y Comunicación del Centro de Cibeseguridad Industrial fue el encargado de poner las conclusiones a la primera parte del evento: “En una organización la responsabilidad no puede recaer solo en una persona. Es necesario que exista un coordinador que cuente con apoyo, recursos, conocimientos y pueda gestionarlo todo. Hoy en día las organizaciones dependen de la tecnología y tiene que haber alguien que vigile la ‘salud tecnológica’”.

También participaron en la jornada Rubén Aparicio, Regional Account Manager de la empresa Fortinet; Juan Jesús Merino, National Channel Country Manager, de Bitdefender; Sergio Marín, Enterprise Sales Executive para el Sur de Europa de la empresa Thycotic; Gerard Cervelló, General Manager de Blueliv; César Mejías, CIO de Garrigues, que intervino en la mesa redonda Diferencias en la gestión del ciberriesgo: entorno jurídico, tecnológico y de la administración, junto con Ramón Bustamante, director Compras, Logística y TIC de Hiperbaric y Joaquín Fernández, CTO de Mirai.

Igual que en la edición anterior, la jornada se dividió en dos partes. La tarde, que fue inaugurada por Fernando Mairata, presidente de la Asociación Profesional de Peritos de Nuevas Tecnologías (PETEC), se destinó a la realización de varios talleres, en los que los participantes pudieron comprobar, de forma práctica, cómo las tecnologías pueden ayudar a las empresas en la gestión de ciberriesgos.