No es cuestión de amedrentar a la población. Simplemente es hacernos eco de un informe que la compañía británica de gestión y análisis de información Experian, ha publicado.
Es el Fourth Annual 2017 Data Breach Industry Forecast y en él se recogen las principales brechas de seguridad en el ámbito empresarial que veremos en este 2017.
Los ciberataques del 2017
Los principales ciberataques que sufrirán las industrias a nivel internacional en este año 2017 serán:
- Robo de contraseñas de usuarios: las consecuencias del robo de dichas credenciales pueden afectar a las empresas incluso años después de producirse el hecho. Un ejemplo de este tipo de ataques lo hemos podido ver en grandes empresas como Yahoo! o Linkedin, donde miles de usuarios han sufrido el robo de sus cuentas.
- Los ciberataques se dirigirán contra infraestructuras concretas: detrás de muchos de los ciberataques se encuentran Estados, cuyo objetivo ya no es el simple espionaje de otro Estado, sino un ataque al mismo afectando a las principales industrias del país. En el punto de mira pueden estar las industrias eléctricas o industrias de bienes de consumo de primera necesidad. A través de un ciberataque se podría ver interrumpido su servicio, con graves consecuencias para los usuarios, que podrían reclamar a las empresas por daños y perjuicios. En noviembre de 2016 fuimos testigos de cómo el “malware” Mirai afectó a 900.000 usuarios de Deutsche Telekom en Alemania, que se quedaron tres días sin telefonía fija, internet y televisión online.
- Robo de datos personales de los usuarios: en el punto de mira están las entidades sanitarias y las compañías de seguros del sector. El paso de los ficheros de papel a ficheros online facilita el acceso a estos datos
- Ataques a las operaciones de pago a medianas y pequeñas empresas: el hecho de que muchas de estas empresas no adoptan las medidas de seguridad adecuadas, en relación a los métodos de pago, las convierten en un claro objetivo para los ciberdelincuentes.
- «Phising”: El principal objetivo de esta práctica serán los individuos, más que los sistemas informáticos de las industrias. Por ello será necesario informar a los trabajadores de las industrias sobre los riesgos que conlleva su actividad y las medidas de seguridad que deben adoptar en su actividad laboral.
¿Están preparadas las empresas para evitar estos ciberataques?
La mayoría de estos ciberataques tienen como objetivo el robo de información que debe ser objeto de especial protección en la empresa, a través de las medidas de seguridad adecuadas a cada sector.
Entre la normativa a tener en cuenta para la protección de los datos que obran en poder de las empresas se encuentra el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Las empresas españolas deberán aplicar además la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
El artículo 9 de la Ley de Protección de Datos de Carácter Personal dispone que el cargado del fichero, y en su caso, el encargado del tratamiento de los datos, “deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.”
Las medidas de seguridad que hay que aplicar cuando en una empresa trata datos personales de personas físicas, se encuentran desarrolladas en el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre.
Entre las medidas concretas a adoptar para evitar un ciberataque y las consecuencias de una pérdida de información se encuentran:
– Establecer un código de usuario y una contraseña de entrada al servidor.
– Establecer códigos de usuario y contraseñas individuales, para poder entrar en el sistema operativo. Habrá que elegir una contraseña segura.
– Caducidad periódica de las contraseñas: las contraseñas se deberán cambiar periódicamente. Como máximo se utilizarán durante un año las mismas.
– Contraseñas almacenadas de forma ininteligible.
– Se debe realizar copias de seguridad, al menos cada semana, y serán comprobadas periódicamente. Si en función de los datos personales tratados en la empresa, se debe aplicar un nivel alto de protección, se deben realizar dos copias de seguridad, una en el local de tratamiento de los datos y otra fuera. Es preferible una copia online en un servidor remoto.
– Se deberá realizar un registro de las incidencias que se produzcan.
Obviamente, además de estas medidas para evitar el robo de información de datos personales que obren en la empresa, es necesario instalar un buen antivirus si queremos evitar un ataque a los equipos informáticos.
La seguridad en las pymes
Como aparece en el informe mencionado, los ataques a las operaciones de pago en medianas y pequeñas empresas serán más habituales.
Tal vez tener conciencia de la vulnerabilidad de la seguridad sea más complicado para las medianas y pequeñas empresas. Para acabar con esta situación, el Instituto Nacional de Ciberseguridad (Incibe), ha creado un videojuego cuyo objetivo es enseñar a las pymes a detectar sus vulnerabilidades y la importancia de protegerse para evitar un robo de información.
El protagonista de “Hackend: Se acabó el juego”, es un pequeño empresario que se enfrenta a varias situaciones reales del día a día de una pyme, como puede ser la elaboración de un presupuesto, el uso del correo electrónico o la presentación de un producto en un congreso. En el videojuego la empresa será víctima de varios de los ataques que se han mencionado anteriormente (robo de datos de clientes, acceso al sistema informático sin permiso, cargos indebidos en la cuenta bancaria…) y el jugador deberá identificar qué es lo que ha fallado en la empresa, y qué medidas hay que adoptar para evitar estos ciberataques.
Sabiendo de antemano los ciberataques a los que las empresas están expuestas, será necesario tomar las medidas de seguridad adecuadas para evitar males mayores.
Temas relacionados:
- Timos por Internet: la estafa nigeriana y el timo del comprador en e-bay
- Consejos anti-phising. Cómo evitar el fraude de la suplantación de bancos
- Como comprar seguro por Internet
También puede interesarte
