El próximo día 7 de junio, la Asociación de Empresarios del Henares (AEDHE) ha organizado la jornada “La Ciberseguridad como factor clave del éxito empresarial”que se celebrará en el Espacio de Iniciativas Empresariales de Alcalá de Henares a partir de las 10:00.
¿Qué importancia tiene la ciberseguridad en las empresas? o ¿Cuáles son las consecuencias para estas de un ataque informático?.AEDHE ha querido reunir a un grupo de expertos para responder a esta y otras cuestiones que son de especial importancia para garantizar el buen funcionamiento de las empresas.
Otro de los ponentes del próximo día 7 de junio será Israel Zapata, Director Técnico de Secura.Esta empresa es una consultora especializada en servicios y soluciones de seguridad informática, cuyo objetivo es proteger los activos tecnológicos y la continuidad de negocio de sus clientes. Israel Zapata ha contestado a las preguntas de Empresarios del Henares.
-¿Qué es la ciberseguridad?
En la pasada edición de Secure Conference, profesionales de seguridad de ISACA (Information Systems Audit and Control Association) capítulo Monterrey, comenzaron su participación a partir de definir qué es la ciberseguridad. De acuerdo con la asociación, puede entenderse como: “Protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”.
-¿Cuáles son las principales amenazas actuales?
Actualmente la mayoría de los ataques se centran en el puesto de trabajo. Se le ataca usando ingeniería social, buscando la ingenuidad del usuario, y explotando vulnerabilidades del sistema operativo o de sus aplicaciones. Lamentablemente en la actualidad, por muy altas que sean las inversiones, las herramientas de seguridad tradicionales, tipo antivirus, basadas en firmas, se limitan a las amenazas conocidas y suelen verse impotentes contra los ataques avanzados. Se hace necesario dar un paso más y apostar por soluciones proactivas de prevención que complementen a las actuales.
Las protecciones de seguridad tradicionales, tanto de seguridad perimetral como de seguridad en el puesto, no sirven para parar estos nuevos ataques. Hasta hace poco se anunciaban las soluciones de sandboxing como método innovador para detener estos ataques, pero casualmente todas las empresas líderes en soluciones de sandboxing están sacando al mercado productos de protección del endpoint. Esto indica que aunque dichas soluciones de sandboxing son buenas herramientas, hace falta un tipo de protección mayor que resida en los propios puestos y que no se base en detecciones por firmas.
“Actualmente la mayoría de los ataques en las empresas se centran en el puesto de trabajo”
-¿Existe la seguridad 100%?
Rotundamente no y el que diga lo contrario está engañando al usuario. Pero hay que intentarlo e invertir en seguridad, seguridad preventiva, para tener protegidos los activos mas importantes de las empresas. Existe la concienciación y la protección, pero no seguridad 100%.
-¿Qué papel juega la concienciación?
Fundamental. Uno de los principales puntos más vulnerables es el factor humano, por lo que aunque se cuenten con herramientas de protección, es imperativo instruir al usuario, en la importancia de la protección de la información corporativa. Se hace necesario crear conciencia de seguridad IT, porque si no difícilmente vamos a poder controlar las amenazas o evitar sorpresas desagradables.
“Es imperativo instruir al usuario en la importancia de la protección de la información corporativa”
-¿Cuál es el eslabón más débil de la cadena de seguridad en las empresas?
En esta línea es un hecho que hoy más que nunca, después del elemento humano, los endpoint son el Talón de Aquiles de las empresas y necesitan una protección adecuada ante ataques avanzados (ransomware como Cryptolocker,) Así es imperativo incorporar herramientas de protección proactiva contra ataques sofisticados, control de actividades autorizadas y no permitidas en estaciones de trabajo y servidores… así como concienciar al elemento humano.
-¿Son las empresas conscientes de las consecuencias de su vulnerabilidad frente a este tipo de ataques?
Las empresas viven el día a día y no son conscientes del impacto que podría tener para el negocio una brecha de seguridad crítica. La Seguridad IT es clave para la continuidad de negocio. Las corporaciones también deben evolucionar y centrarse en establecer estrategias que permitan y aseguren la continuidad de negocio en caso de desastre, más que en la recuperación de los mismos, que es lo que se ha hecho hasta ahora.
Dichas estrategias han de plantearse como una inversión y no como un gasto. Al mismo tiempo debemos tomar conciencia que las Tecnologías de la Información y las Comunicaciones (TIC) cobran una relevancia especial, impulsando la competitividad, la innovación y eficiencia en las organizaciones. No son un simple proceso tecnológico, sino que suponen incluso una ventaja estratégica.
Y es que, para las empresas la adopción de una estrategia de continuidad de negocio constituye un ejercicio de responsabilidad y predisposición a anticiparse a cualquier tipo de elemento adverso que haga peligrar el negocio. Por esto, en dicha estrategia debe contemplarse la Seguridad IT, ya que pueden producirse incidentes o brechas que, de no ser gestionados convenientemente, pueden desencadenar en un problema mayor como pérdida de clientes, impacto contractual, daño reputacional o incluso fuertes sanciones.
El reto que se plantea y que deben asumir las corporaciones eficientes, es otorgar a la Seguridad IT la importancia y lugar clave que estos tiempos demandan; que garantice la integridad y el acceso a los datos, asegurando, sin reservas, la Continuidad del Negocio.
“Una brecha de seguridad puede desencadenar en una pérdida de clientes, daño reputacional o incluso fuertes sanciones”
-¿Hacia dónde evoluciona el mercado de la seguridad?
El mercado de la seguridad es un mercado en crecimiento. Con el exponencial aumento de ataques y la actual preocupación en contar con entornos seguros, presenciamos un creciente interés en implementar más y mejores sistemas de seguridad a todos los niveles, lo que conlleva a un aumento de las inversiones y, en consecuencia, crecimiento global del mercado IT (Information Technologies).
Actualmente en Secura, uno de los productos más demandados es la protección del puesto de trabajo. Los fabricantes líderes en seguridad han movido ficha estos años comprando empresas especialistas en estos productos o dedicando sus equipos de I+D a crearlo. Están invirtiendo ya desde del año pasado en promocionarlos, y en los últimos meses notamos un interés muy fuerte para que los integradores empujemos también la solución. A nivel de clientes, casi todas las grandes compañías o ya han comprado el producto o bien están probándolas. Esto hace pensar que será uno de los mercados con más crecimiento en estos próximos años.
-¿Cuáles son las principales recomendaciones que lanzaría a las empresas?
Lo más importante como decía antes es la concienciación del usuario. Debemos asumir que toda empresa es objetivo de un ciberataque. En este sentido es necesario invertir en seguridad y aportar una seguridad proactiva que de respuesta ante las amenazas más avanzadas. Lo lógico es que confiáramos la seguridad de nuestra empresa en profesionales capacitados en proteger el recurso mas importante de estas que es la información.
En todo caso hay que tratar de mantener, en todos los equipos, los sistemas y programas actualizados en sus últimas versiones.Realizar copias de seguridad, contar con una política de contraseñas así como clasificar, proteger y asegurar la disponibilidad de aquella información crítica para mantener la actividad de la organización.
“El recurso más valioso que hay que proteger de las empresas es su información”
Es importante monitorizar el tráfico de red en aras a detectar posibles infecciones o aplicaciones maliciosas porque lo que está claro es que no podemos proteger lo que no podemos ver.
Para todos los interesados en la jornada La Ciberseguridad como factor crítico del éxito empresarial deberán registrarse en la siguiente dirección de correo innovacion@aedhe.es o bien llamado al teléfono 91 889 50 61.