La seguridad de la información es una de las principales preocupaciones de los directivos en todo el mundo. El alarmante desconocimiento por parte de las empresas acerca de los ataques que reciben a través de técnicas o herramientas como spyware, spoofing, phishing, vishing o ramsonware, está dificultando la tarea de tomar medidas de detección y corrección, por lo que cada vez se incrementa el número de ciberataques.
España lidera el ranking de países con más ciberataques
Aunque la ciberseguridad es una asignatura pendiente en muchos países, España se sitúa como el tercer país del mundo con más ciberataques recibidos en 2018, por detrás de Estados Unidos y Reino Unido*. Se estima que las pérdidas derivadas de estos ataques representan 2,1 mil millones de euros.
El Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) registró en 2014 alrededor de 18.000 incidentes de seguridad y en 2018 se llegaron a superar los 111.000 ciberataques. Que el número de ataques incremente año tras año es consecuencia de la falta de mecanismos para la identificación y prevención de brechas de seguridad.
Aunque hoy en día disponemos de la tecnología y más información sobre cómo gestionar este tipo de ataques, los hackers siguen renovando y perfeccionando sus estrategias con el objetivo de apropiarse de los datos confidenciales de las organizaciones y dañar su imagen y reputación.
¿A qué ciberataques nos enfrentamos?
Para que las empresas puedan anticiparse a estos eventos se hace necesario conocer a qué se enfrentan y realizar un análisis de vulnerabilidades para saber qué herramientas se requieren para la protección de los activos de información. Los tres ataques más comunes en las empresas de nuestro país son:
Ante un ciberataque hay que informar y concienciar
La AEPD recopiló un total de 547 brechas de seguridad, notificadas por empresas españolas desde la entrada en vigor del RGPD en España hasta el 31 de diciembre de 2018, siendo el 71% relativas a la confidencialidad de los datos y cuyo impacto afectó a 1,3 millones de personas.
Para poder proteger los datos personales de una compañía, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) ha establecido la obligación por parte de las empresas a notificar a la autoridad de control competente cualquier brecha de seguridad, siempre que afecte a los derechos y libertades de los interesados, en un plazo máximo de 72 horas desde su identificación.
En resumen, aunque vivimos una situación verdaderamente preocupante, con unas cifras que están creciendo mes a mes, existen mecanismos y técnicas para que las empresas puedan defenderse ante estos ataques como la identificación de las amenazas y vulnerabilidades de los activos de información para realizar una evaluación de riesgos cibernéticos.
No obstante, la gestión eficaz de los riesgos comienza con la concienciación por parte de la alta dirección y la formación del personal de la organización en materia de ciberseguridad, que es clave para que las empresas puedan alcanzar un nivel de madurez acorde con su grado de tolerancia al riesgo.
Yazomary García, Senior Manager Consultoría de GRC (Gobierno, Riesgo y Cumplimiento)
Daniel Medrano, IT Consultant
