"La mayoría de los ciberataques ocurren por vulnerabilidades en las aplicaciones"

Efectivamente es una tendencia al alza. De hecho, en un estudio que hemos realizado en Accenture, se estima que cada compañía española había recibido de media 66 ciberataques el año pasado, con un coste total para cada una de unos 7,3 millones de euros. Existen numerosos ciberdelitos cuyo origen, modus operandi y actores están identificados y monitorizados, y cuyo impacto es potencialmente menor. Sin embargo, los ciberdelicuentes cuentan con una capacidad de inversión para vulnerar las medidas de protección cada vez mayor, lo que está dando lugar a nuevas amenazas para las que la mayoría de las organizaciones aún no están suficiente preparadas. En este contexto es clave que las compañías alineen la seguridad al negocio y la aborden como un activo clave en su desarrollo y transformación y no como un coste.

Esta nueva fórmula se presenta como una de las principales amenazas a nivel empresarial, ¿cuáles son los principales problemas que pueden sufrir en estos momentos?

Los principales problemas tienen que ver con el robo de información sensible o confidencial, así como con la disrupción del negocio. En ambos casos, el objetivo es monetizar la información robada. Cabe destacar que, habitualmente, el ataque que se hace visible no suele esconder la verdadera finalidad del delincuente, el robo de información. Pongamos un ejemplo. Normalmente cuando se lanza un ransomeware, el verdadero fin suele ser cambiar el foco de atención, de forma que se pueda aprovechar el «caos» para extraer información sensible, infectar otros sistemas para entrar en un futuro, cometer fraude económico, y finalmente borrar las huellas del delito.

También es importante señalar que la mayoría de los problemas ocurren por vulnerabilidades en las aplicaciones, por lo que se hace cada vez más relevante disponer de un programa de seguridad de aplicaciones, que abarque desde el diseño, conceptualización, construcción, despliegue y ulterior monitorización.

Las pymes son las principales empresas del tejido empresarial español, ¿qué les puede suponer recibir un ciberataque?

Las consecuencias pueden ser diferentes en función del tipo de ataque y su intensidad, y pueden suponer desde la disrupción del negocio de forma temporal al cese de la actividad. Este último caso, si bien extremo, no es nuevo. Se han dado casos en que un ataque con ransomware ha supuesto la imposibilidad de recuperar los sistemas de información, ni acceso a los datos, y cuyo rescate no ha sido posible o efectivo, y por tanto la compañía ha tenido que cesar la actividad.

¿Qué herramientas tienen las empresas para protegerse de este tipo de actuaciones?

Existe una enorme variedad de soluciones y servicios que pueden ayudar a las compañías a protegerse frente a ciberataques. No obstante, el despliegue de soluciones o disponer de servicios aislados no es la solución. En Accenture recomendamos que las compañías cuenten con un plan de ciberresiliencia definido y aprobado, que identifique el entorno y los activos críticos de la compañía, el plan de protección de cada uno de ellos, así como un plan de recuperación en caso de ataque o pérdida. Estos planes no pueden ser teóricos, sino que deben ser probados periódicamente, a través de simulaciones, involucrando a todas las áreas de la compañía.

Adicionalmente, es muy importante formar y concienciar a todos los empleados de la organización. Muchos de los riesgos y vectores de entrada se pueden reducir drásticamente si las personas saben cómo detectar actividad anormal, y cómo reaccionar ante ella.

Por último, es fundamental colaborar con el ecosistema. Existe un problema importante en la industria acerca de la compartimentación, la escasez de recursos y la falta de presupuesto suficiente para abordar los problemas. Desde nuestro punto de vista, la solución más eficiente a implementar es compartir: información, recursos, servicios compartidos más eficientes, inteligencia, etc.

¿Están concienciados de que la ciberseguridad es una parte más de la empresa o aún queda por hacer?

El impacto público que los ciberataques están teniendo además de la regulación (GDPR y Directiva NIS) está contribuyendo a que haya una mayor sensibilización por parte de las empresas e instituciones hacia este tema. Sin embargo, aún queda camino para lograr que la seguridad sea un elemento embebido en toda la organización y que incluya no solo a la propia compañía, su personal y sus activos, sino también a todo el ecosistema con el que se relaciona.

¿Cuáles son las principales cuestiones que plantean vuestros clientes?

La principal tendencia actualmente es doble: protección de la información y gestión del riesgo de terceros. En ambos casos hablamos de problemas que afectan a toda la organización y que implican cambios en el modelo operativo, despliegue de soluciones, creación o adaptación de procesos, inclusión de nuevos controles y mecanismos de prevención y detección. Es decir, no se trata de retos resolubles únicamente mediante tecnología, sino que requieren una gestión del cambio en la organización.

El cliente, ¿acude cuando ya ha tenido el problema o a modo de prevención?

Como decía, las compañías son cada día más conscientes de los riesgos y en su mayoría disponen de un CISO en su plantilla, el cual define un modelo y plan de inversiones para proteger el negocio. La mayoría de las actividades son preventivas, pero no podemos olvidar que, aunque la probabilidad de recibir un ataque grave es baja, debemos estar preparados para responder y recuperar el negocio lo antes posible. En esa línea, encontramos que nuestros clientes optan por disponer de servicios de respuesta ante incidentes y entrenamiento.