RIESGOS DE CIBERSEGURIDAD A PROTEGER EN LAS EMPRESAS

  • Actualizado: 1 marzo 2023
  • Publicado por primera vez: 16 noviembre 2022
Vicente Serrano

RIESGOS DE CIBERSEGURIDAD A PROTEGER EN LAS EMPRESAS*
La tecnología y la conectividad a internet son factores críticos en el desarrollo corporativo y en el incremento de la productividad, e indispensables para ofrecer al cliente una mejor experiencia. Pero para su correcta aplicación es preciso gestionar la seguridad en los sistemas de información electrónica, o lo que es igual, gestionar la ciberseguridad.

La ciberseguridad consiste en implementar las medidas necesarias para la protección de las infraestructuras tecnológicas y los sistemas informáticos conectados a internet, sus datos, las redes y los dispositivos electrónicos ante las amenazas por ataques maliciosos.

En consecuencia, la ciberseguridad se encarga de proteger los activos digitales con el fin de resguardar la integridad, la confidencialidad y la disponibilidad de la información, así como de proteger la continuidad de las operaciones de la empresa.

Esta seguridad cibernética implica llevar a cabo una gestión que fomente el uso eficiente y control continuo de los sistemas tecnológicos de la información para identificar amenazas, prevenir ataques digitales o fallos y aplicar las acciones necesarias.

Y la manera de iniciar la gestión de la seguridad cibernética de los sistemas de información es mediante el análisis de los riesgos de ciberseguridad a proteger, con el fin de establecer un plan de contingencias. Siendo necesario desglosar:

  • ¿Qué es el riesgo de ciberseguridad?
  • ¿Qué pueden ocasionar las brechas en la seguridad informática?
  • ¿Qué implica el análisis de la gestión de riesgos de ciberseguridad?
  • ¿Qué controles garantizan la seguridad informática?

EBOOK GRATIS: 12 consejos para implantar un ERP con éxito

 

¿Cómo se definen los riesgos de ciberseguridad?

Podemos decir que el riesgo de ciberseguridad es la probabilidad de que ocurra un ataque o fallo en el sistema de información digital y cause la exposición y/o pérdida de los activos críticos y los datos sensibles y confidenciales de una empresa.

El alcance que tiene el riesgo cibernético sobre la seguridad en los sistemas de información es enorme, porque los efectos trascienden el espacio virtual de los datos digitales o equipos tecnológicos.

En consecuencia, se puede redefinir el riesgo de ciberseguridad como la probabilidad de que una empresa sufra la pérdida de activos, la pérdida de la propiedad intelectual, la pérdida de datos, la pérdida económica, la pérdida de la confianza de clientes y un fuerte daño a la reputación por causa de violaciones o fallos en sus sistemas tecnológicos de comunicación e información.

 

Brechas de seguridad: ataques y violaciones a los sistemas de información

Visto de este modo, los riesgos cibernéticos son riesgos operacionales para una organización, porque una vez que es atacada o vulnerada la información, afecta su confidencialidad, su disponibilidad e integridad, y también afecta a sus actividades, afectando por tanto a la seguridad de la información en general.

Por ejemplo, el impacto negativo de los ataques maliciosos puede afectar la confidencialidad y disponibilidad de bases de datos, de archivos adjuntos, de credenciales y de todo mensaje o comunicación enviada mediante internet o las redes.

También constituye uno de los riesgos de ciberseguridad las intercepciones de los mensajes o de las autenticaciones de la identidad del usuario, por lo que terceros logran acceder a sesiones de manera ilegal, comprometiendo la integridad y la confidencialidad de la información.

Realmente, los riesgos de ciberseguridad pueden presentarse de diversas formas. Además de que pueden variar de acuerdo a la empresa y a su seguridad informática, estos riesgos también evolucionan constantemente, a la par del desarrollo de la tecnología.

Los riesgos de ciberseguridad pueden originarse por:

  • Debilidades en el diseño del sistema tecnológico que ha adoptado la empresa. Como los fallos de seguridad en el lenguaje de programación utilizado al desarrollar un software.
  • La omisión de los requisitos mínimos de seguridad informática. Como la no adopción de las medidas adecuadas de protección y la falta de gestión de riesgos.
  • El uso de softwares ilegales. Este tipo de programas se obtienen de proveedores o fuentes poco confiables, conteniendo generalmente malware (virus, gusanos, troyanos, spyware, etc.), un software malicioso que detecta las debilidades de la estructura tecnológica de la empresa y la ataca.
  • La falta de entrenamiento o concienciación de los empleados en materia de ciberseguridad (amenazas internas). Por ejemplo, muchas veces los trabajadores por desconocimiento, negligencia o actuación maliciosa instalan softwares ilegales o ajenos a la empresa en los ordenadores o dispositivos de la organización.
  • La falta de una gestión de riesgos de terceros, que le permita a la organización:
    • Mantener el control y la visibilidad de la actuación de proveedores que tienen acceso a la información confidencial de la empresa.
    • Identificar las vulnerabilidades en la cadena de suministro.

¿Cómo impactan los ataques maliciosos en la empresa?

Los objetivos de los ataques maliciosos a los sistemas de información y comunicación de las empresa también pueden ser diversos:

  • El robo de información y datos sensibles.
  • El espionaje o seguimiento a las actividades y operaciones que se desarrollan en la empresa.
  • La alteración o la destrucción de datos e información.
  • La avería de la infraestructura tecnológica de la organización o la toma del control de la misma.
  • El uso de equipos y sistemas para actividades ilegales, como la propagación de softwares maliciosos, la generación de SPAM o la réplica de ataques.

La forma en la que se desarrolla un ataque cibernético puede variar. Por ejemplo, un virus puede ocultarse en el sector de arranque del disco duro o en el área de memoria de archivos, requiriendo la actuación del usuario para infectar el sistema.

Otros softwares maliciosos son empleados para falsificar los parámetros de los protocolos de comunicación a través de internet, para interceptar los mensajes, captar la información confidencial e impedir el acceso al sistema.

 

La gestión de riesgos: controles que garantizan la seguridad informática

Debido al alcance de los daños que podemos padecer por sufrir alguno de los riesgos cibernéticos que estimemos, su análisis y gestión debe representar una prioridad para toda empresa. Una prioridad que debe verse desde el punto de vista estratégico.

En este contexto, la gestión de riesgos debe basarse en un análisis sistemático que permite a la organización responder las siguientes interrogantes:

  • ¿Qué activos de la empresa pueden estar comprometidos o amenazados? En esta fase se determinan los activos que se desean proteger. Por ejemplo:
    • Los datos de la empresa, referidos a los clientes, socios y proveedores.
    • Los procesos, los sistemas y equipos que se utilizan para alcanzar los objetivos de la organización.
  • ¿Cómo pueden los activos estar comprometidos? Aquí se estiman las vulnerabilidades que puede presentar cada activo. Por ejemplo:
    • La vulnerabilidad de la seguridad en los sistemas de información se evalúa de acuerdo a la capacidad de proteger la privacidad de los datos (confidencialidad), de evitar la alteración de los datos (integridad) y de garantizar el acceso oportuno a los datos (disponibilidad). 
  • ¿De qué manera pueden ser atacadas las vulnerabilidades de los activos? Es la fase en la que se determinan las posibles amenazas:
    • Amenazas internas o externas, amenazas naturales o fabricadas por el hombre, acciones deliberadas o producto de fallos o accidentes, etc.
  • ¿Cuál es la probabilidad de que la amenaza se materialice? Es decir, se debe determinar el riesgo, en base a las amenazas y a las vulnerabilidades. Un riesgo bajo implica un activo bien protegido frente una determinada amenaza.
  • ¿Cuáles son las formas de disminuir la probabilidad de ocurrencia y la gravedad de los daños y perjuicios que pueden desencadenarse? En este paso es necesario establecer cómo se tratará el riesgo:
    • Evitando el riesgo. Lo que significa eliminar la amenaza o la vulnerabilidad del sistema.
    • Mitigando el riesgo. Que se traduce en aminorar la probabilidad de ocurrencia o el perjuicio que pueda causar.
  • ¿Qué controles de seguridad se deben aplicar? Para evitar o mitigar los riesgos se emplean los siguientes controles de seguridad:
    • Los controles de prevención, para el bloqueo de ataques o amenazas.
    • Los controles que detectan la aparición de la amenaza y alertan del riesgo presente.
    • Los controles análiticos, cuyo objetivo es medir la efectividad del sistema de control, en base a la relación del riesgo presente y la ocurrencia de eventualidades relacionadas con el riesgo.
    • Los controles de tipo forense, que se encargan de registrar los incidentes y sirven de apoyo a las posteriores investigaciones y a la auditoría de la ciberseguridad.

 

La necesaria seguridad informática

Junto con el desarrollo de la tecnología, las amenazas en el mundo cibernético están en constante evolución. Por lo que la digitalización en el procesamiento de la información, además de facilitar el crecimiento de la organización, también implica la responsabilidad de proteger los activos críticos que intervienen en las operaciones claves de la empresa.

Esto significa que no basta con adoptar un sistema de información que permita acceder a los datos de manera oportuna, confiable e integral, también es necesario adoptar los controles que prevengan, mitiguen y detecten las amenazas para garantizar la seguridad en los sistemas de información.

Es la forma de proteger la integridad, la disponibilidad y la privacidad de los datos… Es la única forma de proteger la operatividad de la empresa.

Nuevo llamado a la acción

*Image by storyset on Freepik

También te pueden interesar...

 

que es la ciberseguridad esta tu empresa preparada para los riesgos tic