Por David Jiménez Fernández
Cada vez somos más conscientes del riesgo al que estamos expuestos. Tarde o temprano nuestros sistemas informáticos pueden verse comprometidos y necesitamos conocer de primera mano a que nos podemos enfrentar; por todo ello, muchas empresas se preguntan: ¿Están realmente mis sistemas seguros?
La respuesta a esta pregunta ha de venir del resultado de un servicio de auditoria técnica de ciberseguridad realizado por un experto o expertos cualificados en esta materia. Muchas veces no somos conscientes ni conocedores de las diferentes vulnerabilidades a las que nos exponemos en seguridad de la información y en el manejo de datos de especial protección, hasta que somos las víctimas de un incidente de seguridad, ya sea externo o interno, de nuestra red.
Las empresas y sus responsables no suelen conocer que, posiblemente, sus sistemas están permanentemente expuestos o comprometidos a importantes brechas de seguridad. Algunas de ellas son tan graves que pueden incluso atentar o afectar al principal valor de nuestra empresa: la información y los datos, ya sean de propiedad de la misma empresa o de propiedad de terceros con los que pueden tener y/o haber tenido algún tipo de relación comercial o contractual.
¿Qué es y qué hace una Auditoria Técnica de ciberseguridad?
El verbo “auditar” se define como un examen minucioso y detallado sobre el estado real de algo. La auditoría, en el terreno de la ciberseguridad informática, consiste en el análisis y examen detallado de la plataforma sistemática y electrónica de una empresa y sus contenidos, por parte de expertos en el tema, mediante el uso de unas herramientas específicas para obtener la mayor información posible, su estado real y actual de seguridad o vulnerabilidad y las posibles brechas a las que se encuentra permanentemente expuesta esa información. El tiempo estimado para la realización de este tipo de auditorías depende del número de elementos (equipos, redes, archivos etc.) a examinar. En ellas se detectan los puertos de comunicaciones abiertos, programas y aplicaciones que necesitan parches de actualización y los accesos a los sistemas por parte de los propios usuarios o terceras personas. Solo gracias a este tipo de auditorías se puede conocer con detalle el grado de seguridad y madurez que tiene nuestra empresa a nivel de seguridad informática y adoptar las medidas necesarias para PROTEGER nuestra información como uno de los activos más importantes de la empresa, PREVENIR, no solo la fuga de información sino el inadecuado uso y manejo de datos; y MITIGAR DETECTAR y CONTRARESTAR cualquier tipo de ciberataque.
En definitiva, la auditoría técnica de ciberseguridad es, no solo muy importante, sinonecesaria en la actualidad, ya que gracias a la información que arrojen sus resultados podemos conocer y adoptar las medidas necesarias para mitigar el riesgo de sufrir un ataque informático. Actualmente, las empresas del sector bancario son las mas propensas a sufrir este tipo de ataques, por ello, desde el año 2006 se creó el estándar PCI-DDS, que regula la industria de pagos bancarios. A raíz de la creación de este estándar, las entidades bancarias deben realizar obligatoriamente auditorías de ciberseguridad cada tres meses. Este estándar proporciona un conjunto de reglas que establecen los requisitos técnicos y organizativos que deben cumplir las empresas dedicadas al desarrollo de software seguro que desplieguen aplicaciones estándar para la industria de pagos, y estas a su vez, venden o licencian a proveedores de servicios, adquirentes, comerciantes y otras entidades de pagos.
Los conocidos ataques malware de tipo ransomware a nivel mundial como Wannacry, Petya han causado millonarios efectos dañinos a empresas y también a particulares. Este tipo deataques han alertado a muchas empresas y tanto pequeñas como grandes corporaciones se han planteado a día de hoy contratar los servicios de auditoria en ciberseguridad.
Finalmente, podemos concluir que la seguridad de la información no es 100% efectiva; quien diga que sus equipos informáticos son 100% seguros, miente. Ningún software, ya sea antivirus, antispan, etc… garantizan ese porcentaje. Pero, frente a todo esto estamos los expertos, que somos los que tenemos que adoptar e implementar medidas de seguridad para evitar ataques que pueden generar grandes perjuicios económicos así como pérdida de credibilidad, reputación y confianza.