868 300 513 / [email protected]

WE WORK

AS ONE

Contamos con los mejores

El reto de la ciberseguridad en la mediana empresa

El reto de la ciberseguridad en la mediana empresa

Demasiado pequeñas para ser grandes. Demasiado grandes para ser pequeñas. Empresas que tienen más de 50 trabajadores, pero menos de 250, que facturan más de 10 millones de euros, pero menos de 50. Las medianas empresas suman unas 25.000 en toda España y dan trabajo a más de 2,5 millones de personas. Además, y es el motivo de este artículo, son un reto interesante desde el punto de vista de la ciberseguridad debido unas casuísticas que las hacen diferentes a otras tipologías de empresa.

¿Qué tiene de especial la mediana empresa?

Las medianas empresas conjugan tres condiciones que las hacen singulares a la hora de afrontar el desafío de una gestión eficaz de su ciberseguridad, así como de una reducción hasta umbrales aceptables del riesgo y del impacto en caso materialización de una amenaza.

La primera condición es que sus sistemas de información, y las cuestiones a las que tratan de dar solución, las sitúan más cerca de la gran empresa que de la pequeña, enfrentando en su día a día escenarios que requieren de sistemas tecnológicos de tamaño y complejidad media-alta: múltiples sedes geográficamente dispersas, internacionalización, deslocalización del proceso productivo, teletrabajo, fuerza comercial en movilidad, digitalización de procesos, comercio electrónico, inteligencia de negocio, inteligencia de datos, aprendizaje automatizado o redes industriales son elementos cada vez más frecuentes en el entorno de la mediana empresa.

La segunda condición que la dota de singularidad es que, paradójicamente, sus departamentos de  tecnologías de la información están más cerca de los de la pequeña empresa que de los de la gran empresa. Es común encontrar plantillas con poca especialización, pocos integrantes en proporción al total de trabajadores y donde el grueso de los mismos está ligado a los procesos de negocio. Además, por necesidad, establecen una fuerte dependencia de proveedores externos con los que suplir la falta de especialización interna. Proveedores que de la misma forma se encuentran más enfocados en las necesidades de los procesos de negocio que en proteger de forma eficaz los activos digitales.

Por último, la tercera condición, muy vinculada a la segunda, es que las medidas de protección que históricamente se han implementado, en general, tienen una naturaleza básica, no pasando en muchos casos de una protección perimetral mediante un cortafuegos, un antivirus en el puesto de trabajo y un mecanismo de copias de seguridad elemental y con capacidades de recuperación limitadas. Medidas potencialmente válidas para la protección de entornos de una mayor sencillez, donde el sistema de información no tenga un peso significativo para el negocio, pero insuficientes en ecosistemas donde la complejidad tecnológica es varios órdenes de magnitud superior y donde se requieren de estrategias más avanzadas.

La suma de estas tres condiciones convierten a la mediana empresa, por un lado, en una víctima muy apetecible para los ciberatacantes y, por otro, en un desafío a la hora de protegerla de las amenazas digitales a las que debe enfrentarse.   

¿Protegerse de todo? ¿Protegerse de qué?

Es tentador, vista la necesidad y tomada la decisión de invertir en ciberseguridad, pensar que una empresa debe protegerse de cualquier amenaza potencial que pudiera llegar a impactar sobre el negocio. Sin embargo, esta línea de pensamiento, salvo en entornos con una capacidad económica, técnica y humana muy elevadas, desemboca en modelos de protección débiles. Modelos donde la inversión, necesariamente finita, muchas veces escasa para el alcance a cubrir en la mediana empresa, se fragmenta en multitud de partidas y proyectos, con un horizonte temporal lejano, que a duras penas consiguen hacer progresar ninguna medida de seguridad hasta un nivel de madurez que mitigue los riesgos de forma efectiva, creando una falsa sensación de protección tendente a resquebrajarse frente una amenaza real.

Por ello, aunque el número y tipologías de amenazas puede ser muy amplio, englobando amenazas, naturales, industriales, humanas, externas, internas, intencionadas o fortuitas, lo que indican las métricas conocidas sobre incidentes digitales es que, en la actualidad, las principales amenazas, tanto en probabilidad de ocurrencia, como en daño ocasionado, son aquellas vinculadas a la obtención de un beneficio económico directo por parte del atacante. En consecuencia, una estrategia de protección correctamente alineada con los riesgos es sobre estas amenazas sobre las que, de forma prioritaria, debe plantear salvaguardas. 

En este sentido, a fecha actual, aunque siempre en constante evolución, destacan dos focos de amenaza: la suplantación de identidad digital y el ransomware.

La suplantación de identidad digital, usando mayoritariamente el correo electrónico, es uno de los fraudes digitales más comunes que existe y uno de los que más beneficios genera a los atacantes. En este tipo de fraudes el atacante simula ser un directivo, un trabajador, un proveedor o un cliente, y trata mediante lo que se conoce como ingeniería social, es decir, mediante engaños más o menos elaborados, conseguir que la víctima acceda a sus peticiones.

Dentro de la suplantación de identidad digital hay un universo de posibilidades creativas para el engaño: entidades gubernamentales que reclaman una tasa o tributo, entidades bancarias que solicitan que el usuario acceda a banca online, trabajadores que piden cambiar la cuenta en la que reciben la nómina, directivos que ordenan una transferencia urgente por un motivo cualquiera, proveedores que requieren cambiar el número de cuenta en el que se debe abonar una factura y una larga serie de mentiras que los ciberdelincuentes van refinando, actualizando y adaptando con el paso del tiempo y la aparición de nuevas oportunidades.

Por contra, y como contrapunto a la simpleza tecnológica del primer caso, el ransomware es un tipo de malware, con cada vez mayores niveles de sofisticación técnica, que secuestra la información de los sistemas de usuario o de los sistemas centrales de una organización, impidiendo su acceso o, incluso, enviando esta información al atacante para que pueda, a posteriori, chantajear con difundirla. A nivel técnico, lo que hace un malware de este tipo es cifrar los archivos con una clave desconocida para la víctima, y solicitar el pago de un rescate para poder descifrarlos.

Una particularidad del ransomware es que puede utilizar la suplantación de identidad digital para su propagación, induciendo al destinatario de la comunicación a abrir un determinado tipo de fichero con el que conseguir ejecutar el malware en su sistema. Sin embargo, esto no es condición indispensable, puesto que también puede tener su origen, dependiendo del nivel de complejidad del ciberataque, en el robo de las credenciales de acceso de un usuario, por ejemplo, de acceso VPN, o en la existencia de sistemas desactualizados y vulnerables expuestos a Internet.

“¿Y el resto de amenazas?” Es legítimo preguntarse qué sucede con los atacantes internos o con las catástrofes naturales, por poner ejemplos. La respuesta es que están ahí, no han desaparecido, pero hay que tener presente siempre dos ideas básicas.

La primera idea es que, para la mayoría de escenarios, el resto de amenazas a día de hoy tienen una probabilidad de ocurrencia inferior. Siempre hay excepciones, qué duda cabe. Por ello, si la empresa y sus datos están ubicados en el cauce seco de un río habrá que tomarse muy en serio una catástrofe natural y actuar en consecuencia.

La segunda idea, no menos importante, es que implantar unas medidas de protección eficaces contra las dos amenazas que se han enunciado como de máxima prioridad, proporciona también una protección significativa y razonable contra otra variedad de amenazas.

La importancia de elegir las medidas correctas

¿Cómo protegerse de forma efectiva de las amenazas? Contestar a esta pregunta es el propósito último de todo este artículo. Académicamente se podría resumir en una única frase. Una frase, pomposa, que diría algo así como las medidas de protección óptimas serán aquellas que mitiguen la probabilidad de ocurrencia y el daño que causan las principales amenazas identificadas. ¿No es bonito moverse en el mundo de las ideas?

Sin embargo, decir eso, y no decir nada, vendría a ser lo mismo. Y mal favor haría este artículo al que ha llegado hasta aquí buscando respuestas. Por eso hay que mojarse y hay que decidir. Esa es quizá la clave, la reflexión más útil de todo el artículo. Hay que echarse al barro, elegir bien de qué protegerse y aplicar medidas concretas, razonables para los riesgos a tratar, abordables económicamente y con un horizonte temporal preciso.

Si se da por bueno el análisis de riesgos de trazo grueso que se ha trazado ante la pregunta “¿de qué protegerse?”, donde la  suplantación de identidad digital y el ransomware son las amenazas críticas para una mediana empresa, y donde se requieren unas pocas acciones efectivas con las que mitigar el riesgo, las que vienen a continuación serían con una certeza muy alta aquellas en las que sería razonable invertir a día de hoy.

  • Gestión de parches de seguridad: El software y el hardwaredesactualizados son uno de los principales focos de inseguridad, siendo el segundo vector de ataque más frecuente en los ciberincidentes. Por ello es necesario, por un lado, conocer qué vulnerabilidades y qué parches de seguridad están apareciendo día a día para las tecnologías en uso, y por otro, tener la capacidad de, en un tiempo razonable, que puede ir desde horas a semanas, según la criticidad de la vulnerabilidad en el contexto concreto, aplicar medidas que mitiguen temporalmente o eliminen definitivamente la vulnerabilidad. Esta medida es fundamental en la protección del sistema de información, sin embargo, debemos tener presente que se trata de un proceso, no de una herramienta automática, y como todo proceso, debe optimizarse y refinarse, adaptándose a la organización y madurando con el tiempo.
  • Concienciación y entrenamiento de los usuarios: Si el software y el hardware desactualizados son el segundo vector de ataque más común, los usuarios son el primero. La ingeniería social, es decir, el engaño a los usuarios, es la herramienta que con más frecuencia usan los ciberdelincuentes. Por esto, un elemento clave en una estrategia de protección efectiva deberá ser un programa de concienciación ambicioso, donde además de proporcionar conocimiento teórico, se exponga a los usuarios a situaciones de riesgo controlado, simulando amenazas reales, y se los prepare para enfrentarse a ellas.
  • Copias de seguridad inmutables y distribuidas: Los repositorios de copias con tecnología de inmutabilidad proporcionan un nivel de protección muy elevado frente a amenazas que puedan dañar los datos e, incluso, las propias copias. Adicionalmente, la capacidad de distribuir las copias en varias ubicaciones aumenta la protección. De esta forma, ante un incidente que implique una destrucción o una alteración de la integridad de los datos, se tendrán las máximas garantías que se podrá recuperar la información desde una copia de seguridad inalterada. La evolución y madurez de esta medida, debe llevar aparejada la capacidad por parte de la organización de recuperar el sistema de información en un entorno secundario y en unos tiempos aceptables para el negocio.
  • Acceso seguro: Los accesosal sistema de información deben contar con autorización explícita, realizarse por un canal cifrado, como el que proporciona una VPN, y además contar con un mecanismo de autenticación de dos factores, lo que se conoce como autenticación multifactor. Como consecuencia, el usuario no podrá acceder únicamente con una contraseña, si no que además, se le requerirá introducir un PIN temporal o aceptar el acceso desde una aplicación móvil. De igual manera, ningún atacante podrá interceptar la comunicación en curso. En una evolución de la medida, los accesos a proteger serían tanto externos, como internos, y se avanzaría hacia lo que se conoce como ZTNA (Zero Trust Network Access), es decir, redes de confianza cero, donde todo flujo de tráfico se validará de forma exhaustiva. De esta forma, aunque el atacante consiguiera la contraseña de un usuario, no sería suficiente para acceder al sistema de información, independientemente de su ubicación.  
  • Detección y Respuesta 24×7: La protección contra el malware actual, y también contra incidentes avanzados, requiere de mecanismos que vayan más allá de lo que ofrecen los antivirus tradicionales y de los que se pueden conseguir respondiendo de forma manual a un incidente en horario de oficina. Por ello, la utilización de tecnología EDR (Endpoint Detection & Response), sumada a la centralización de eventos en un SIEM, con capacidad de respuesta automatizada, todo ello gestionado por personal capacitado y disponible 24 horas al día, se convierte en un elemento muy significativo para prevenir y detectar amenazas tempranas, tanto equipos de usuario, como en servidores, o incluso en dispositivos móviles, y sobre todo, para en  caso de un ciberincidente que, sorteando las medidas previas, haya conseguido materializarse, poder dar una respuesta coordinada que permita conocer el nivel de afectación del sistema, explicar cómo se ha propagado la amenaza, aislar y contener de forma automática los elementos afectados, ejecutar contenido en ellos de manera segura y, en general, tener capacidad de visión y actuación centralizada y protocolizada.

Javier Medina

Director de Ciberseguridad de ITRES

Facebook
Twitter
LinkedIn
Pinterest
WhatsApp
ITRES

Consultoría informatica, ciberseguridad y centro de datos. Un equipo de profesionales dispuesto a asesorarte en aquello que necesites.

CENTRO DE DATOS

OFICINAS

LEGAL

SUBVENCIONADO POR

logo_INFO_color
logo_UE
logo_Una_manera_de_hacer_Europa_blanco
Blogger-b Linkedin Facebook Youtube

© Todos los derechos reservados