En un entorno en el que la digitalización está presente en prácticamente todos los ámbitos de nuestra vida, el riesgo de sufrir un ciberataque es casi ineludible. Teniendo en cuenta que es imposible estar 100% protegido ante este tipo de amenazas, ¿qué actitud, medidas y procedimientos deberían adoptar las empresas –y las personas, a título individual– para minimizar el peligro?
La ciberseguridad en la agenda de la Alta Dirección
JZ
Javier Zamora López
Management & Innovation (Núm. 58) · TIC · Septiembre 2023
La que fuera CEO de la compañía de seguros Lloyd’s, Inga Beale, declaró en la Conferencia de Davos de 2017 que en el mundo había dos tipos de compañías: las que habían sufrido un ciberataque y lo sabían y las que habían sufrido uno y no lo sabían. En estos últimos años, con el aumento de la densidad digital, la superficie de ataque de las organizaciones ha crecido considerablemente al diluirse las fronteras entre el mundo físico y el digital. Un hecho que se refleja constantemente en noticias de ataques a compañías, universidades, hospitales e infraestructuras críticas.
Esta situación se ha agravado con la pandemia de la COVID-19, donde el teletrabajo se ha convertido en una práctica habitual en muchas organizaciones. Últimamente, uno de los ciberataques más frecuentes son ataques de ransomware, donde se encriptan los datos alojados en los ordenadores de la compañía, reclamando un rescate monetario para obtener la clave de desencriptación. En 2020, a nivel mundial, se contabilizaron, según Statista, más de trescientos millones de este tipo de ataques. Ese mismo año, solo en Estados Unidos, supusieron más de trescientos cincuenta millones de dólares en pagos de rescate, según un informe de The Institute for Security and Technology.
Desgraciadamente, el cibercrimen se ha convertido en una industria en sí misma. Por ejemplo, en los ataques ransomware suelen intervenir dos organizaciones criminales: una primera, que se dedica a robar credenciales de acceso mediante la infección de ordenadores con virus troyanos u otras técnicas de suplantación de identidad, y otra que, posteriormente, compra estas credenciales robadas en subastas en la web oscura para, luego, desplegar el ataque de encriptación y gestionar el cobro del rescate en criptomonedas.
Esta industrialización del cibercrimen lleva pareja una alta sofisticación tecnológica que requiere un gran esfuerzo por parte de los departamentos de Sistemas, con el fin de minimizar los efectos de los ciberataques. Sin embargo, el impacto de un ciberataque en la propia continuidad del negocio, así como el riesgo reputacional y las derivadas legales, hace que la ciberseguridad no se reduzca a un tema que se pueda delegar exclusivamente a las funciones tecnológicas de la organización y que se deba incluir en la agenda de la Alta Dirección.
Tras haber analizado varias organizaciones que han sufrido ciberataques, podemos extraer algunas lecciones de utilidad para la A...
Javier Zamora López
Profesor de Dirección de Operaciones, Información y Tecnología en IESE Business School ·
Artículos relacionados
La empresa y la 'Web 2.0'
ED