Brechas de seguridad: el pan nuestro de cada día
Según revela un informe de Kaspersky Lab, los ataques a las empresas se incrementaron en 2017 un 6% más que en 2016. Éstas ya se han puesto manos a la obra para intentar atajar este problema, pero muchas no saben ni por dónde empezar. Y para ayudarlas está el Canal de distribución. Más cuando el RGPD apenas ha echado a andar.
Amenazas hay de todos tipos, más o menos creíbles, de mayor o menor peligrosidad. Pero, lo que está claro, es que se han convertido en un peligro para las empresas independientemente de su tamaño. Porque en lo tocante a las amenazas, parafraseando al maestro Krahe, ninguna empresa está exenta de sufrir sus estragos.
La razón es evidente: el cibercriminal es cada vez más perfecto en sus ataques, sabe dónde dirigirlos y qué víctimas serán más propicias que otras. Lo que se está convirtiendo en todo un problema para las empresas españolas si nos atenemos a los últimos datos dados a conocer por un especialista en seguridad como Kaspersky Lab. Según dichos datos, el 54% de aquellas empresas empieza a darse cuenta de que tendrán una brecha de seguridad en cualquier momento; pero el 39,7% aún no están seguro de cuál es la estrategia más efectiva para responder a estas ciberamenazas. La dimensión del problema es aún más preocupante —nos confiesa Alfonso Ramírez, director general de la firma en nuestro país—, ya que el estudio “Nuevas amenazas, nueva mentalidad: estar preparado para el riesgo en un mundo de ataques complejos” muestra que la incertidumbre es significativamente más alta (63%) entre los encuestados que son expertos en seguridad TI y que, por lo tanto, están más familiarizados con el tema”.
Y, por si no teníamos bastante, llegó el RGPD
Porque esta nueva normativa impulsada por la Unión Europea ha venido a actualizar y estandarizar los planes de actuación de las empresas ante una brecha de seguridad, tal y como disponen sus artículos 33 y 34. ¿Qué ocurría antes? ¿Cómo procedía ante la aparición de una brecha de seguridad? Se iniciaba el protocolo de gestión de incidencias definido en el plan de seguridad de la empresa y, dependiendo de la criticidad y las acciones definidas, la brecha se notificaba a los afectados, no siendo obligatorio publicar el registro de la incidencia ocurrida en una entidad concreta. “Sólo en algunos casos concretos, como en el de operadores de servicios de comunicaciones electrónicas y prestadores de servicios de confianza, existía la obligación de notificar este tipo de brechas de seguridad a la AEPD”, confirma Jacinto Grijalba, ejecutivo de cuentas de seguridad en CA Technologies Iberia.
Ahora, con la entrada del nuevo Reglamento General de Protección de datos desde el pasado 25 de mayo, muchas organizaciones han tenido que actualizar y estandarizar sus planes de actuación ante una brecha de seguridad para poder cumplir con los artículos 33 y 34 de dicho reglamento. “En ellos se expresa tácitamente la obligación de notificar una brecha de la seguridad sobre datos de carácter personales a la autoridad de control y comunicar al interesado —nos recuerda Jacinto Grijalba—, siempre y cuando entrañe un alto riesgo para los derechos y libertades de dicha persona/s. Esta notificación debe darse como máximo en las 72 horas posteriores al conocimiento de dicha brecha de seguridad, describiendo con detalle los datos relativos a la incidencia ocurrida, así como su naturaleza, categoría, número de interesados afectados y la categoría y número de registros de datos personales afectados”.
¿Saben las empresa cómo actuar?
Pues según su madurez, grado de desarrollo de seguridad y cómo actuar llegado el momento de hacer frente a una brecha de seguridad. Las hay que están más preparadas y las hay que lo están menos. De las segundas da fe Eusebio Nieva, director técnico de Check Point para España y Portugal, quien considera que “todavía hay muchas empresas que no son capaces de reaccionar ante una brecha de seguridad”.
Llegado este caso, y al carecer de un equipo de seguridad designado, no les queda más remedio que ponerse en contacto con una empresa de seguridad externa —en este caso, el Canal es de gran ayuda— y aceptar sus sugerencias o consejos. “Esto también requiere que sepan que han sido víctimas de una violación de seguridad, y muchas brechas de seguridad no se detectan durante semanas o meses”, advierte Emil Hozan, analista de seguridad de WatchGuard Technologies.
¿Y en el caso contrario, que las empresas dispongan de un equipo de seguridad dedicado? De nuevo, Emil Hozan: “Sólo pueden esperar a disponer de un protocolo en caso de que ocurra algo así. Es decir, si los datos se guardan para pedir un rescate por un ransomware, habrá que limpiarlos y restaurarlos de las copias de seguridad”.
Así que, lo mejor que pueden hacer las empresas para combatir una brecha de seguridad es implementar soluciones de seguridad avanzada que se basen en la prevención de amenazas y que vayan más allá de la detección, “que pueden detener a los ciberdelincuentes antes de que traspasen el perímetro de seguridad”, apostilla Eusebio Nieva.
A lo que hay que unir otro aspecto: la puesta en marcha de un protocolo previamente definitivo de actuación frente a la amenaza en desarrollo, con actores preestablecidos y responsabilidades claras. “Plan que no está claramente definido en muchas empresas”, denuncia Nieva.
La detección de la brecha de seguridad
Depende. Esa es la respuesta que nos dan los analistas requeridos para participar en este reportaje. Pueden ser horas, días, semanas, o incluso meses y años; todo depende de la naturaleza de las brechas o de las medidas de que disponga la empresa en cuestión para detectarlas y enfrentarlas. “Y no basta con poner un parche y olvidarse —advierte Alfonso Ramírez, de Kaspersky Lab—, pues una brecha de seguridad puede acarrear perdidas monetarias. Así, a bote pronto, recuperarse de un incidente de seguridad les cuesta a las pymes 77.372 euros de media, según un reciente estudio, y graves consecuencias en su reputación”.
A modo de ejemplo, Jacinto Grijalba Sánchez, de CA Technologies iberia, nos trae el caso de la compañía Equifax: “Pese a que se le alertó en marzo de 2017 de una vulnerabilidad en los Apache Struts, no se aplicó el parche a tiempo, lo que provocó que Equifax sufriera un ataque en mayo de 2017 y éste no se detectara hasta finales de julio de 2017, tras descubrir que se habían colado más de 30 malwares con su correspondiente backdoor que se utilizaron para robar más de 145 millones de datos de ciudadanos norteamericanos”.
“Por eso la prevención es crucial, así como el hecho de disponer de herramientas que nos aporten visibilidad y trazabilidad de los ataques recibidos en tiempo real para poder tomar decisiones eficientes”, recomienda Raúl Guillén, director de Canal y alianzas estratégicas de Trend Micro Iberia.
Puede leer aquí el reportaje completo.
