"¿Cómo es posible que un error tan simple de solucionar nos haya ocasionado un problema tan importante?"
Frases similares nos dirigía, recientemente, el Director General de una empresa, cuando le informábamos de las primeras sospechas que indicaban el motivo del grave incidente de seguridad con el cual estaban lidiando nuestros técnicos; incidente que había paralizado por completo su empresa y que la había dejado en una situación muy delicada.
No es la primera vez que nos ocurre, y, desgraciadamente, para poder responder de manera correcta a dichas preguntas, hay que plantearse una serie de cuestiones internas, que nos pueden dar luz sobre las razones que hay detrás de un incidente de seguridad. Y no solo a nivel del departamento IT, sino también desde la capa directiva de la misma y a nivel de empresa.
- ¿Conocemos en detalle el funcionamiento de todos nuestros sistemas de información y de la interacción entre ellos (servidores, comunicaciones, puestos de trabajo, etc …)?
- ¿Hemos realizado revisiones periódicas de dichos sistemas de información desde el punto de vista de la seguridad?
- ¿Conoce nuestro personal que es un phishing? ¿Y un Ransonware? Y, si no saben lo que significan esos términos, ¿ cómo pretendemos que se protejan contra ellos?
- ¿Hemos creado y desplegado políticas, normativas internas o pautas de actuación claras y fáciles de entender que indiquen cómo deben comportarse los usuarios de nuestros sistemas de información (nuestros empleados)?
- ¿Hemos implantado medidas que permitan verificar el cumplimiento de dichas normas o políticas?
- ¿Disponemos de medidas que permitan detectar posibles problemas de seguridad antes de que tengan un impacto catastrófico en la entidad?
Generalmente, la única pregunta que hacemos en ese momento suele ser ¿Cuándo es la última vez que se ha realizado una Auditoria completa en materia de Ciberseguridad en el ámbito de la empresa? La respuesta más habitual suele ser NUNCA.
Esto es así, porque, desgraciadamente, el día a día en las empresas, nos lleva a preocuparnos, sobre todo, por los problemas derivados de la logística, los suministros, las ventas, etc, pero no prestamos la suficiente atención a cuán seguros son nuestros sistemas, ni a qué concienciación tiene nuestro personal en materia de ciberseguridad.
En aquellas empresas que tienen la suerte de disponer de un departamento interno de IT, no se ve la necesidad de realizar una Auditoria de Ciberseguridad porque “para eso tengo al departamento de informática”, sin ser conscientes de que, aunque con casi total seguridad el personal de dicho departamento tiene conocimiento de los problemas a los que está expuesto la empresa, su prioridad es la de mantener la continuidad del negocio a toda costa. Y, es por ello, que problemas y/o necesidades considerados baladís por parte del departamento de IT, desde un punto de vista de la seguridad, pueden ser vistas como un grave problema que puede impactar de manera terrible al negocio.
Por otro lado, las empresas que no disponen de personal interno de IT, en muchos casos, pueden no comprender la necesidad que tienen de realizar dichas Auditorias de Ciberseguridad, ya que pueden no ser conscientes del impacto que un problema de seguridad puede ocasionarles en su negocio.
Desde DERTEN, llevamos tiempo haciendo que nuestros clientes dispongan de sistemas más seguros, personal más concienciados y documentaciones más exhaustivas mediante la realización de Auditorías de Ciberseguridad regulares que nos permiten detectar aquellos problemas que pueden afectar a negocio antes de que supongan un problema, así como indicar aquellas medidas mitigadoras y/o correctoras necesarias para mantener dicha seguridad.
En dichas auditorias revisamos, no solo aquellos temas tecnológicos que puedan afectar a los sistemas, como son:
- Evaluación de la Seguridad física
- Evaluación de la Seguridad Perimetral
- Teletrabajo remoto
- Evaluación de la Seguridad WIFI
- Evaluación de brechas publicadas
- Identificación de dispositivos conectados (IT – OT).
- Auditoria de contraseñas
- Análisis Dominios Públicos registrados y Dominio de correo.
- Análisis de Vulnerabilidades
- Evaluación Seguridad Comunicaciones (interna y entre sedes)
- Análisis de Políticas de Seguridad de Equipos y Directorio Activo
- Pentesting externo: Análisis y pruebas Pagina WEB
- Pentesting externo: Análisis y pruebas IPs públicas y servicios
Sino que, además, se valora el conocimiento del personal en materia de ciberseguridad, no solo de las normativas internas, sino del uso seguro que se debe hacer de las nuevas tecnologías mediante los correspondientes hábitos que garanticen su seguridad y la de la entidad.
Todo ello, porque la única pregunta que queremos que nos hagan los Directores y Responsables de las empresas sean similares a esta:
"¿Cómo es posible que haya tantos ataques a empresas últimamente, y a nosotros no nos estén afectando?"
