Ciberseguridad: qué papel juegan las empresas

Artículo publicado el 9 de Diciembre de 2014
Artículo publicado el 9 de Diciembre de 2014

Atención, este artículo no ha sido revisado ni publicado en ningún grupo

¿Qué empleado no se ha descargado un documento personal en su ordenador del trabajo? ¿Qué empresa no utiliza el cloud ["cómputo en la nube"]? ¿Qué director no ha dudado a la hora de invertir en la protección de los datos de la empresa a causa del sobrecoste que ello supone? Las empresas centran los debates sobre la ciberseguridad.

En la primavera de 2014, el Belgian Cybercrime Centre of Excellence for Training, Research & Education (B-CCENTRE), principal plataforma para la colaboracón y coordinación en materia de delitos informáticos en Bélgica, publicó una guía belga de la ciberseguridad para ayudar a las empresas a saber cómo hacer frente a los riesgos de los ciberataques. Aunque cada vez son más conscientes de que el coste de un ataque es superior al de la protección preventiva, todavia les resulta difícil identificar las acciones correctas e incorporar ese riesgo a su plan de negocio.

La indecisión de las empresas

Las inversiones de las empresas en la protección de sus activos físicos (ordenadores, muebles de oficina…) son desproporcionadas si las comparamos con lo que invierten en la seguridad de las informaciones digitales. Sin embargo, estas son las más amenazadas. El mes pasado, el Instituto Ponemon publicó un estudio para HP Enterprise Security en el que muestra que el coste medio anual de los ciberataques es de 4.8 millones de euros por empresa: un coste muy superior al de la protección.

El coste de la ciberseguridad constituye indudablemente un presupuesto nada despreciable, y no solo en términos de compra de soluciones. Los jefes de las empresas no tienen formación específica sobre cuestiones informáticas. La elección de apostar por la ciberseguridad requiere a menudo disponer de un equipo especializado o recurrir a un experto externo. Esto no supone solo el coste del material y del software, que es tenido en cuenta, sino también el de mano de obra.

¿Un equipo especializado o formación para toda la plantilla?

Parece que la simple existencia de un departamento de informática no resuelve el problema de la ciberseguridad. Esto es válido para acabar con los virus que se cuelan en los correos electrónicos o incluso en los sitios web más vsitados. Un especialista podrá resolver una situación de crisis, pero no puede anticiparse al error humano de un empleado que, por desconocimento, descargará un troyano o protegerá su cuenta personal con una contraseña facilona. El Global Information Security Survey de 2012 recogía que el 35% de los incidentes tenían su origen en un error humano.

La protección de datos virtuales tendría que completarse con la sensibilización de los empleados sobre el tema. Por este motivo, la Unión Europea propuso un mes al año, en cada país miembro, de sensibilización sobre temas de ciberseguridad. Se anima a las empresas a concienciarse de los riesgos y a difundir la information entre los miembros de su equipo. La idea es fomentar la práctica de sensibilizar a sus empleados dándoles algunas pautas sobre el correcto uso del ciberespacio, especialmente en lo que se refiere a la utilización del cloud y de los dispositivos móviles. Porque aunque el empleado no se descargue una película en su ordenador del trabajo por ejemplo, seguramente hará un uso personal de su móvil de empresa, una herramienta muy poco protegida todavía a pesar de contener datos de la empresa.

Si la ciberseguridad es un tema presente en casi todas las áreas de investigación del programa Horizon 2020 de la Unión Europa, es porque ya no es un tema aislado sino un desafio multisectorial. La ciberseguridad ya no es solo responsabilidad del departamento de informática, sino de toda la jerarquía de la empresa y de todas las empresas, independientemente de la actividad a la que se dediquen.

Este artículo es el quinto de una serie dedicada a la ciberseguridad:

1. Ciberseguridad: ¿informática o política? 

2. Ciberseguridad: qué papel juegan los gobiernos 

3. Ciberseguridad: qué papel juegan los criminales

4. Ciberseguridad: qué papel juegan los usuarios