Durante los últimos años, tanto particulares como empresas estamos cada vez más conectados a una gran variedad de servicios digitales. Ya sean servicios de consumo y compras online, servicios de entretenimiento para nuestro tiempo libre, o software profesional para realizar nuestras actividades diarias, cada vez quedan menos personas o empresas que no realicen ningún tipo de proceso de manera online. Sin embargo, hay un aspecto que muy pocos particulares, aunque sí cada vez más empresas, tienen en consideración: la ciberseguridad.
¿Qué es la ciberseguridad?
La ciberseguridad, según la definición del diccionario Oxford, es el conjunto de elementos, medidas y equipos destinados a controlar la seguridad informática de una entidad o espacio virtual.
Para comprender mejor las implicaciones que la seguridad online puede tener en nuestro entorno tanto personal como profesional, desde la Asociación Española de Directores de RRHH (AEDRH) se ha celebrado un seminario sobre ciberseguridad el pasado día 28 de junio moderado por Javier Alió (Partner de Audalia HR Lab), Félix Barrio (Gerente de Ciberseguridad para la Sociedad y la Empresa en INCIBE) y Jorge Calviño Pérez (Director global de RRHH en Organización, Servicios e Inmuebles en Allfunds Bank). En esta conferencia nos explican cuáles son las implicaciones que puede conllevar no cuidar nuestra seguridad en el mundo digital.
¿A quién afecta la delincuencia online?
La delincuencia por Internet puede afectar a todo el mundo, desde un particular, pasando por una pequeña empresa, hasta una gran empresa. Sin embargo, los ciberdelincuentes conocen las carencias de cada tipo de víctima, y por ello un gran porcentaje de intentos de actos criminales suelen ir dirigidos a PYMES con pocos recursos y que no poseen una estructura de ciberseguridad consolidada.
Además, según los datos del INCIBE la mayor parte de errores relacionado con la seguridad online radican en las personas, concretamente el 80% de los errores, normalmente debido a:
- Falta de capacidades y conocimientos.
- Falta de formación y de estructura IT en la empresa.
- Descuidos.
- Malas intenciones por parte de usuarios que entran en contacto con la empresa.
Los grupos de crimen organizado dedicados a la ciberdelincuencia conocen estos datos. El perfil de estas organizaciones es de grupos de una media de 10 personas con altos conocimientos informáticos.
¿Qué tipo de actos criminales relacionados con ciberseguridad se suelen llevar a cabo contra empresas?
Según el INCIBE, podemos encontrar los siguientes tipos de amenazas online:
- Malware.
- Web-based Attacks.
- Web Aplications/Injection Attacks.
- Phising.
- Ataques DDOS.
¿Cuáles son los más comunes?
Los virus informáticos mutan constantemente, y por ello es importante que las estructuras informáticas estén constantemente actualizadas para adaptarse a los cambios que sufren estos virus.
El tipo de ataque informático más común es el Phising. Esta táctica consiste en enviar un mensaje (puede ser un SMS, un correo electrónico…) al usuario haciéndose pasar por una empresa normalmente conocida, como empresas de reparto de paquetería, bancos, etc. El mensaje suele referirse a un problema (un paquete que no ha sido posible entregar, un problema con la cuenta bancaria…) y se adjunta un enlace en el que el usuario “debe” clica para solucionar el problema. El enlace es falso, y por tanto el usuario puede ser víctima de un virus que espíe los movimientos de su dispositivo, el dispositivo puede ser secuestrado…
Otra forma muy común de ciberataque a las empresas puede ser vía ransomware. Esta forma de virus puede infectar todos los archivos de un equipo y dejarlos completamente inutilizables y bloqueados con contraseña. El creador del virus se pone en contacto con el dueño de los archivos exigiendo una recompensa económica a cambio de devolverle los archivos al usuario.
Datos interesantes
Aportando algunos datos interesantes desde el INCIBE, podemos encontrar las siguientes afirmaciones:
- Se calcula que, en el año 2025, el número de dispositivos conectados a Internet será de 50.000 millones (smartphones, pulseras de seguimiento deportivo, tablets, ordenadores…incluso nuestros electrodomésticos y los juguetes de los niños gracias al Internet de las Cosas).
- Se calcula que en el año 2025 habrá 15 dispositivos conectados a la red por persona, lo cual es muy peligroso, ya que una alta cantidad de usuarios no protegen bien la mayoría de sus dispositivos conectados.
- Hay un 53% de usuarios de ordenadores compatibles que tienen algún tipo de malware en su dispositivo y no lo saben.
- 4 de cada 10 usuarios de smartphones Android no poseen ningún tipo de antivirus instalado.
- Las empresas tardan 56 días de media en detectar que han sido víctimas de un ciberataque.
¿Qué puede hacer mi empresa para evitar problemas de ciberseguridad?
Aunque durante los últimos años (muy especialmente durante la pandemia) han aumentado los delitos online, siguiendo una serie de consejos desde el área de RRHH, se pueden evitar una gran cantidad de problemas futuros. Félix Barrio y Jorge Calviño nos aportan algunas sugerencias para comenzar a tener una buena infraestructura para evitar ser víctimas de delitos online:
- El departamento de RRHH debe trabajar de forma muy estrecha en colaboración con el departamento de sistemas (IT) para llevar a cabo todas las políticas necesarias en relación a ciberseguridad en la empresa.
- Hay que ser cuidadosos con las contraseñas. Según algunos estudios, un hacker puede tardar segundos en descifrar una contraseña básica (por ejemplo, contraseñas numéricas basadas en fechas). Las contraseñas donde se mezclan caracteres especiales con mayúsculas, minúsculas, y números aleatorios son las más seguras. Además, debemos usar diferentes contraseñas para cada servicio.
- Mecanismos de doble verificación. Obligar al usuario a verificar su acceso a un servicio una segunda vez, normalmente a través de claves SMS desde el móvil, o a través de otra cuenta de correo electrónico.
- No debemos utilizar nuestros dispositivos de trabajo en el ámbito personal. Puede darse el caso de que podamos dejar nuestro ordenador, Tablet o smartphone a un familiar, por ejemplo nuestros hijos. Una navegación por Internet en el ámbito privado puede conllevar el acceder a páginas sospechosas o que podrían no ser seguras, perjudicando el rendimiento, e incluso la información de nuestro dispositivo.
- Formar a todo el personal, sea cual sea su puesto y categoría profesional, desde lo más bajo hasta lo más alto del organigrama. Realizar formaciones y cursos con pruebas que deban ser aprobadas por los empleados para asegurar desde el departamento de RRHH y de IT de que han adquirido los conocimientos necesarios.
Conclusiones
Como podemos observar, la ciberseguridad es un aspecto que nos involucra a todos los profesionales de todos los sectores. Pero gracias a políticas activas entre departamentos como RRHH y sistemas, es posible evitar problemas relacionados con la delincuencia online.
