Los ataques de ciberdelicuentes y el robo de datos suponen graves pérdidas económicas para cualquier negocio. Al malware tradicional hay que sumarle ahora el auge del malware móvil, ya que el año pasado se descubrieron 1,4 millones de ataques a dispositivos basados en Android, cuatro veces más que el año anterior y la mayor parte tenía un claro objetivo: hacerse con datos de los usuarios y empresas. El objetivo de estas ciberamenazas siempre es tener acceso a datos sensibles, información privada, fotos, vídeos personales…
Según el informe sobre seguridad corporativa 2015, realizada por Kaspersky Lab y B2B Internacional, la pérdida de datos financieros puede causar daños a una gran empresa por un valor total de 825.000 euros. Esta cifra incluye los costes derivados de la mejora de la infraestructura de TI y la contratación de nuevos especialistas, así como la consultoría para minimizar los riesgos, las auditorías de reputación, los contratos perdidos, el aumento de las primas de seguros, etc.
Sin embargo, algo que resulta muy difícil de cuantificar y que podría causar incluso el cierre es la pérdida de reputación de la empresa. Un ataque pondría poner fin a acuerdos, contratos y futuros negocios, al pasar a ser percibido como un partner de poca confianza. Para proteger toda la infraestructura TI corporativa y evitar que la reputación empresarial se vea afectada es necesario implementar políticas de seguridad TI adecuadas y tener en cuenta diferentes aspectos en cuanto a la infraestructura de empresa, uso de los dispositivos (por ejemplo BYOD), movilidad, gestión, etc…
En todo sistema de seguridad, el máximo grado de seguridad es aquel que tiene su eslabón más débil. Al igual que en la vida real la cadena siempre se rompe por el eslabón más débil, en un sistema de seguridad el atacante siempre acaba encontrando y aprovechando los puntos débiles o vulnerabilidades.. Es decir, al margen de todas las soluciones y medidas de seguridad que puedan implantarse en la empresa, cualquier política de seguridad empresarial es tan fuerte como lo sea el conocimiento de sus empleados en materia de seguridad informática.
Y, en cuando hablamos de seguridad, el eslabón más débil siempre es el empleado. Bien por acción u omisión, el empleado es la principal causa de la entrada de una infección en una empresa. El desconocimiento de técnicas básicas para securizar correctamente la información y el mal uso de las herramientas de protección informática, incrementan las brechas de seguridad.
Cuando diseñemos una política de seguridad o establezcamos los mecanismos necesarios para ponerla en práctica, debemos contemplar todas las vulnerabilidades y amenazas e incluir en nuestro plan a los empleados. No basta con establecer unos mecanismos muy fuertes y complejos en algún punto en concreto, sino que hay que proteger todos los posibles puntos de ataque.
Los controles técnicos, la tecnología son absolutamente necesarios pero no suficientes. Más vale un empleado formado en buenas prácticas de seguridad consolidadas en la política de seguridad corporativa, que el más avanzado, innovador, complejo sistema de seguridad.
