“Cada vez los medios informan más de ciberataques en compañías y de nuevas amenazas. Sin embargo, en ocasiones, creemos que nuestro negocio nunca será un objetivo de quienes cometen esos delitos. Pero cualquier empresa y sector pueden sufrirlos”, explica Idoia Uriarte Letamendi, directora de Seguridad de la Información y Ciberseguridad (CISO por sus siglas en inglés) de Euskaltel y del Grupo MasMovil.
Una encuesta realizada a pymes en España el año pasado desvelaba que el 80% de las empresas de entre tres y diez personas empleadas “consideraban que no eran nada o poco atractivas para ser objetivo de un ciberataque”, recuerda Uriarte. Este porcentaje es muy alto y por ese motivo resulta esencial “la concienciación”, repite.
Idoia Uriarte participa este martes 14 de marzo en una jornada organizada por la Asociación para el Progreso de la Dirección (APD) y Euskaltel, con la colaboración de Aenor, en Baluarte. La jornada, titulada Los Sistemas de Gestión de Seguridad de la Información: la ISO 27001 en la práctica, contará con otros ponentes.
“ El 80% de las empresas, de entre tres y diez empleados, cree que no va a tener un ciberataque ”
Idoia Uriarte - CISO de Euskaltel y del Grupo MasMovil
Uriarte compartirá mesa redonda con Iñaki Pinillos Resano, director gerente de Nasertic; Jon Ander de las Fuentes Inchausti, director de Euskaltel y director territorial Corporativo del Grupo MasMovil; Boris Delgado Riss, director de Soluciones de Digitalización y Tecnología de Aenor; y Jorge García Casanova, dirección de Transformación Digital de Mutua Navarra. Todos ellos estarán moderados por Enrique Rodal Monter, consultor de Comunicación Tecnológica.
La ISO 27001
Los Sistemas de Gestión de la Seguridad de la Información protegen a una empresa de los ciberataques. En este sentido, la norma internacional ISO 27001 describe las prácticas de este tipo de sistemas, ya que toma la evaluación de riesgos como su eje central, para así ofrecer una metodología estandarizada que permita a la organización valorar su nivel de seguridad informática, tanto internamente como en su relación con clientes y proveedores.
Idoia Uriarte recuerda que la incorporación de tecnologías novedosas o el uso más extendido del teletrabajo traen consigo nuevos riesgos. Y para ello debe prepararse cualquier tipo de empresa, independiente del sector en el que se ubique. La CISO del Grupo MasMovil aconseja “en primer lugar a pymes y micropymes realizar un análisis de riesgos para luego diseñar un plan de mejora”. Uriarte subraya que “nunca se va a poder estar seguro al 100%”, pero que hay que prevenir y saber cómo actuar ante un problema de este tipo. “Resulta clave el uso de tecnología para intentar evitar estos ataques, además de aplicar un procedimiento para organizar esa seguridad y proceder de manera interna y externa con clientes y proveedores para comunicar esos incidentes, en el caso de que ocurran, mediante un comité de crisis”, aclara.
Además, por ahora las empresas no acostumbran a contratar pólizas de ciberseguridad. En la zona norte, en Navarra, CAV, Cantabria, La Rioja, Burgos y Palencia, solo el 10% de las empresas tiene un seguro de este tipo.
Los habituales
Uriarte reconoce que no todas las empresas pueden contar con personal en plantilla para afrontar estas situaciones, sobre todo pymes y micropymes, por lo que aconseja que contraten servicios externos “a empresas especializadas en ciberseguridad”. Los delitos van creciendo, principalmente fraudes, como simular ser el CEO de la compañía o suplantar a un proveedor vía correo electrónico en relación al impago de una factura para así obtener la información bancaria de dicha empresa. También se ha ampliado la práctica del ransomware, consistente en un software malicioso que “bloquea” un sistema o cifra archivos hasta que la víctima paga un rescate por ello.