ciberseguridad

 

La era de la digitalización en la que vivimos afecta a toda la sociedad en su conjunto. También a las partes menos agradables de la sociedad, que se digitalizan al mismo tiempo que el resto. Por tanto, estamos inmersos de lleno en la era de la ciberdelicuencia, por lo que las medidas de ciberseguridad son vitales en cualquier empresa.

En las empresas hay robos. No es ninguna novedad, y ha ocurrido desde que el mundo es mundo. Robos económicos, robos de mercancías y robos de información. Eso también ha ocurrido siempre; el espionaje industrial no es algo que haya llegado con la digitalización.

Partiendo de esta premisa, ¿está una empresa digitalizada más expuesta a la ciberdelincuencia? Obviamente sí, tan expuesta como podía estar una empresa a un robo con nocturnidad en sus instalaciones hace 30 años. En esa época la información sensible  se guardaba en cajas fuertes, y ahora necesitamos cajas fuertes digitales, que son las medidas de ciberseguridad. ¿Son estas medidas 100% seguras? No, como tampoco es 100% segura una caja fuerte. Pero se supone que el mero hecho de poner en marcha un negocio significa asumir riesgos, y que los amigos de lo ajeno se interesen por nosotros es uno de esos riesgos. En pocas palabras: que una empresa se digitalice no la expone a un riesgo mayor de robo o espionaje, sino a un riesgo distinto contra el que hay que protegerse.

Tipos de ciberriesgo

No es necesario que una empresa esté utilizando las tecnologías propias de la Industria 4.0 para que se exponga a ciberriesgos; basta con que tenga una conexión a internet. Es decir, todas las empresas están expuestas a riesgos digitales.

No obstante, cuanto mayor es el grado de digitalización de la actividad, más diversos son los riesgos que se corren. Podemos concretar estos riesgos en unos grandes grupos:

  1. Ataques informáticos con la intención de paralizar la actividad de la empresa. Pueden perseguir una finalidad económica (pidiendo un rescate a cambio de cesar el ataque) aunque normalmente no es así. Suele tratarse de ataques orquestados desde organizaciones o países que quieren sembrar el caos de forma temporal, y suceden de forma masiva y simultánea en muchas empresas e instituciones a la vez. Acostumbran a explotar las debilidades de los sistemas operativos que no están debidamente actualizados.
  2. Ataques de denegación de servicio (ataques DDoS). El objetivo de estos ataques es la web de la empresa, algo especialmente sensible en las empresas que prestan servicios a través de ella o las que se dedican al eCommerce. Este tipo de ataques buscan saturar el servidor con múltiples peticiones de acceso que proceden de distintas IPs y que pueden durar horas. Su objetivo es que el servidor web se sature y deniegue el acceso a cualquier usuario, ya que está continuamente tratando de atender más peticiones de acceso de las que puede soportar.
  3. Virus informáticos. Hay tantos tipos como virus biológicos, si no más. Su grado de peligrosidad es diverso, aunque últimamente los más peligrosos son los conocidos como ransomware, que “secuestran” un sistema y amenazan con borrar datos si no se paga un rescate.
  4. Intrusión de malware. Este tipo de software no ataca al sistema, sino que se infiltra en él para robar información, usualmente contraseñas o claves de acceso. Pasa desapercibido si no se busca adecuadamente.
  5. Accesos no autorizados a los sistemas para robar información sensible. Bien sea a través de malware o de otras vulnerabilidades del sistema.
  6. Negligencias o robos del personal y/o los administradores. Es, con diferencia, el más común de los ciberriesgos y en el que se producen más incidentes de ciberseguridad.  De nada sirve tener grandes medidas de protección si después las contraseñas de acceso no son seguras, no se cambian con regularidad o están pegadas con un post-it a la pantalla del ordenador. Además, un trabajador descontento o sobornado puede robar información a la que tenga acceso o simplemente proporcionar cotraseñas de acceso a un tercero.
  7. Phishing. Se trata de una técnica de suplantación de identidad en la que el ciberdelincuente remite un correo alertando de un problema con la cuenta bancaria, el proveedor de telefonía o cualquier otro y se pide que haga  clic en un enlace que lleva a una web que, en apariencia, es idéntica a la del banco o el proveedor. Si el usuario introduce allí sus datos de acceso, éstos pueden ser robados.

La política de ciberseguridad, un pilar de la Industria 4.0

Toda empresa debe disponer de unas normas claras de ciberseguridad que deben ser de obligado cumplimiento para todo el personal. Cuanto más digitalizada está una empresa, más estrictas deben ser estas políticas. Además, estas normas deben actualizarse en función de las amenazas más importantes en cada momento.

En España existen dos organismos públicos que velan por la ciberseguridad de empresas e instituciones: el Centro Criptológico Nacional, dependiente del CNI, encargado de la seguridad de los organismos públicos, ciberdefensa militar y ciberseguridad de infraestructuras clave (red eléctrica, centrales nucleares, aeropuertos y control del tráfico aéreo, seguridad de las instituciones gubernamentales, etc) y el Instituto Nacional de Ciberseguridad (INCIBE) que monitoriza todas las amenazas y ataques dirigidos contra empresas, publica recomendaciones de ciberseguridad y provee de servicios de asistencia a las empresas con problemas o víctimas de ciberdelincuencia. Esta institución dispone de guías de ciberseguridad para empresas y sus servicios son gratuitos.

Algunas recomendaciones básicas de ciberseguridad son las siguientes:

  • Los servidores y/o centros de proceso de datos deben estar físicamente aislados del resto de las instalaciones de la empresa, en una habitación con medidas especiales contraincendios y con control de acceso físico y remoto.
  • Las contraseñas deben ser seguras. Esto significa que no deben ser palabras de uso habitual, sino combinaciones de letras, números y caracteres especiales, y deben cambiarse con regularidad.
  • Cada empleado con acceso al sistema debe tener unos privilegios de acceso solamente para el área que compete a su trabajo.
  • Los sistemas operativos deben estar siempre actualizados y con los últimos parches de seguridad instalados, así como el software antivirus, antimalware y los firewalls.
  • No debe permitirse el acceso a webs consideradas no seguras.
  • La descarga de archivos potencialmente peligrosos debe estar estrictamente controlada, especialmente en los recibidos a través de correo electrónico, incluso aunque provengan de personas o entidades de confianza (sus sistemas pueden estar infectados y ellos no saberlo)
  • Los directivos no deben acceder al sistema desde sus ordenadores privados. Los PCs y portátiles de trabajo deben dedicarse exclusivamente a esa función.
  • Nunca deben dejarse sesiones abiertas sin que la persona responsable esté delante de la pantalla. El sistema debe cerrar automáticamente la sesión después de un tiempo de inactividad.
  • El personal debe estar entrenado para detectar los intentos de ciberfraude, especialmente la suplantación de identidades (phishing) y, en general,  debe conocer el plan de ciberseguridad y las medidas de precaución que debe tomar.

Hay que tener en cuenta que en una smart factory un ciberdelincuente puede hacer mucho daño si llega a tomar el control de los sistemas y paraliza la producción.  Para evitarlo en la medida de lo posible, las redes que conectan los sensores y robots entre sí y con el «cerebro» digital de la empresa deben tener medidas especiales de seguridad contra las intrusiones.

Aún así debemos recordar que la seguridad al 100% no existe, por tanto es conveniente disponer de algún tipo de seguro de ciberriesgos que cubra las pérdidas y costes de un posible ataque o robo de información.