Análisis de riesgos: ciberseguridad para empresas

Cuando se trata de ciberseguridad, ninguna empresa está a salvo. De hecho, hasta el gigante Uber sufrió un ataque recientemente. Los ciberdelincuentes activaron múltiples notificaciones push multifactor de Duo Security (Autenticación de doble factor) en el dispositivo de un contratista interno hasta conseguir entrar a la red interna mediante una conexión VPN. A partir de ahí, pudieron moverse libremente a través de la red interna con privilegios de administrador en todos los sistemas internos y haciendo capturas de aplicaciones internas, paneles de seguridad, etc. Aunque la compañía le quita peso, se trata de una intrusión muy grave de la que los propios atacantes hacen alarde en un chat de Telegram.

Estos ataques pueden destruir una empresa o dar al traste con su credibilidad. Por ello, es necesario llevar a cabo un análisis de riesgos de manera periódica.

Análisis de riesgos para empresas

Un análisis de riesgos de ciberseguridad evalúa los sistemas de TI de una empresa y descubre puntos débiles. Cuando se conocen, es posible trabajar en contramedidas. Darse cuenta de esta clase de brechas puede evitar una violación de datos y las consecuencias financieras que conlleva.

1. Definir cuál es la información valiosa y que merece más seguridad

El primer paso de una evaluación de riesgos de seguridad cibernética es determinar qué información es más valiosa para la organización. Las pequeñas empresas están aumentando sus presupuestos de TI en este sentido, pero siempre existen vulnerabilidades en el sistema. Por otro lado, no todas las iniciativas pueden aplicar el nivel máximo de seguridad en todos los planos, ya que sería muy caro e ineficiente. Establecer qué datos tienen más valor supone decidir dónde aplicar la máxima protección.

Hay algunas preguntas interesantes al respecto.

• ¿Habría sanciones si los atacantes exponen esta información? La información confidencial, como los detalles de un cliente, deben protegerse a toda costa. Las infracciones del RGPD (Reglamento General de Protección de Datos) pueden costar miles de euros. También se deben considerar las consecuencias no legales, como perder la confianza del público.
• ¿Podrían los competidores utilizar esta información? La información comercial clave, como planes, proyecciones de ventas y otros datos confidenciales, ha de tener un tratamiento de seguridad especial.
• ¿Se puede trabajar sin estos datos? Si no se puede trabajar sin estos datos, como es lógico, hay que protegerlos. Conviene preguntarse cuánto tiempo llevaría reconstruir estos datos desde cero si no se tiene una copia de seguridad.

2. Evaluación del almacenamiento de los datos y revisión de permisos

Otra parte crucial de cualquier análisis de riesgos es determinar los niveles de seguridad actuales. Teniendo en cuenta el tipo de datos que recopila la empresa,

• ¿Se están almacenando de forma segura y se está usando encriptación?
• Cuando un empleado accede a estos datos, ¿utiliza autenticación multifactor o contraseñas de un solo uso?
• Si los empleados acceden a estos datos de forma remota, ¿cómo acceden a ellos?
• ¿Están usando un software seguro?

3. Establecer las amenazas de ciberseguridad

También hay que considerar qué tipo de amenazas es más probable afrontar en los próximos años. La pérdida de datos puede deberse a una gran variedad de factores.

• Desastres naturales. Si la sala de servidores se inundara y los servidores se destruyeran, ¿podría continuar el negocio? Las copias de seguridad y los servidores en la nube pueden marcar la diferencia entre la continuidad o no.
• Amenazas internas. La mayor parte de los ataques son de carácter interno. Por ejemplo, un empleado descontento, alguien que quiere robar propiedad intelectual de la empresa, etc. Por ello, es necesario asegurarse de realizar un seguimiento de la actividad de los empleados en la red.

• Errores de empleados. No todas las violaciones de datos son el resultado de acciones maliciosas. A veces, el error humano es el culpable. Un empleado puede hacer clic en un enlace en un correo electrónico y descargar malware al sistema o puede responder a un correo electrónico de phishing.
• Ataques cibernéticos. Los ciberataques tienen varios niveles de alcance y sofisticación. En función del valor de los datos y de las intenciones de los atacantes, estos pueden desplegar acciones más o menos agresivas para hacerse con ellos o corromperlos.

4. Conocer las vulnerabilidades y asegurarlas con ayuda de la inteligencia artificial

A estas alturas, ya se debería tener una idea de dónde se encuentran las vulnerabilidades. Para cada una, será necesario aplicar una solución o contar con una herramienta adecuada. Por ejemplo, Microsoft Defender es una solución integral para proteger el entorno cloud y los accesos remotos. Además, cuenta con protección IA (inteligencia artificial) contra ransomware, lo que lo convierte en una de las mejores plataformas de defensa que se pueden encontrar en el mercado.

Este sistema despliega técnicas de aprendizaje automático (machine learning) para evaluar si un dispositivo está en riesgo. En ese caso, Defender bloquea los pasos siguientes del usuario. La protección flexible que ofrece se basa en el modelo de protección cloud que se usa hoy en día, pero es más inteligente. La capa extra de IA permite identificar antes comportamientos sospechosos para brindar un valioso tiempo extra a las medidas de neutralización.

5. Revisar el estado de la seguridad informática con regularidad

La ciberseguridad es un campo que se mueve rápido: ninguna empresa puede permitirse el lujo de dormirse en los laureles. Así, como mínimo,, es recomendable realizar una evaluación de riesgos una vez al año.

Al revisar el análisis y compararlo con el anterior, se ha de indagar sobre la efectividad de las medidas implementadas y si estas redujeron la cantidad de ataques cibernéticos que experimentó la organización.

También es posible trabajar con clasificaciones de riesgo de seguridad para administrar la higiene cibernética en todos los casos. Se basan en diferentes criterios para revisar y actuar de manera objetiva sobre los procesos y las medidas de seguridad. Esto incrementa la capacidad de monitorización de la red caso para estar un paso por delante de cualquier amenaza cibernética.

En suma, contar con una empresa de seguridad informática resulta muy conveniente en estos tiempos. Se trata de un soporte imprescindible cuando no se cuenta con los medios oportunos dentro de la organización para mantener a salvo los datos, las infraestructuras y los equipos. Somos Pasiona y ofrecemos servicios de ciberseguridad y consultoría tecnológica especializada en soluciones de Microsoft.