El Covid-19 y el Estado de Alarma decretado por el Gobierno han provocado que prácticamente todas las organizaciones hayan tenido que implementar el teletrabajo de manera precipitada y sin contar con los medios y recursos necesarios o seguros. Por desgracia, muchos han visto en esta situación una oportunidad de poder llevar a cabo acciones maliciosas contra los sistemas de las empresas para obtener un beneficio.

“El país” anunciaba el 16 de febrero de este año que el Observatorio Español de Delitos Informáticos constata que los fraudes, las falsificaciones, los accesos ilícitos o las violaciones de propiedad industrial, tanto a particulares como a empresas, se han disparado hasta los 110.613 casos detectados en 2018 (últimas cifras disponibles). El Instituto Nacional de Ciberseguridad (INCIBE) gestiona más de 100.000 incidentes al año de empresas y particulares, de los que unos 700 corresponden a operadores estratégicos. Casi 5.000 personas han sido detenidas o son investigadas por delitos relacionados con el cibercrimen en el país, según Statista.

Proofpoint- empresa especializada en ciberseguridad– ha podido constatar que el volumen de ataques por correo electrónico relacionados con el Covid-19 representa el mayor repertorio de tipos de ciberataques registrados bajo un mismo tema que se haya producido en años, o incluso en la historia.

De este modo, debemos ser conscientes de la importancia de garantizar la Seguridad de la Información de la empresa, y no esperar a que se produzca el ataque, sino contar con los medios pertinentes para prevenir los riesgos y amenazas que puedan provocar un ataque directo en la empresa. Por ello, es preciso que se lleve a cabo de manera periódica una auditoría de los sistemas de informáticos de la empresa como medida de control y seguimiento.

Según la ISACA (Asociación de Auditoria y Control de Sistemas de la Información) la ciberseguridad es la protección de los activos de la información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados.

A través del presente, trataremos (i) cuáles son las principales amenazas a las que se exponen las empresas y (ii) cuáles son los objetivos de la auditoría de ciberseguridad.

    ¿Cuáles son los principales ataques a los que se ven expuestos las empresas?

    Los ciberriesgos están presentes en toda clase de compañías, pues en ningún caso se está libre de cualquier ataque informático.  Los ataques más comunes a los que se pueden enfrentar son los siguientes:

    • Spyware: su objetivo es espiar. Es un tipo de malware-programa malicioso-, complicado de detectar y que recopila datos sin consentimiento del propietario del dispositivo para utilizarlos posteriormente. Lo habitual es que la información obtenida sea vendida a terceros, haciendo pública la información más sensible de la empresa: los datos de los clientes y los propios de la empresa.
    • Troyano: es un programa que se presenta aparentemente legitimo e inofensivo, pero que, al ejecutarlo, permite al atacante acceso remoto al equipo infectado.
    • Phising: se trata de un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería hacer.
    • Denegación de servicio: se basa en saturar los puertos con múltiples flujos de información que sobrecargan el dispositivo y causan que un servicio o recurso sea inaccesible a lo usuarios legítimos.
    • Ransomware: es un secuestro del equipo o equipos, después de desbloquearlo, se exige un rescate a cambio de recuperar el acceso. Este virus puede llegar a una empresa a través de un archivo adjunto o de un sitio web infectado.
    • Adware: es un programa que automáticamente muestra u ofrece publicidad no deseada o engañosa, ya sea puesta en una página web mediante gráficos, carteles, ventanas flotantes, o durante la instalación de algún programa de usuario, con el fin de obtener beneficio.

    ¿Cuáles son los principales objetivos de una auditoria de ciberseguridad?

    Entre las actividades de control y seguimiento de las medidas adoptadas respecto a la seguridad de la información que implementan las empresas para evitar los ataques descritos destaca la realización de auditorías. Estas permiten evaluar la adecuación, efectividad y actualidad de las medias y proponen recomendaciones de correcciones y mejoras, que ayuden a mantener el nivel adecuado de este tipo de seguridad.

    Las políticas de la auditoria estarán orientadas a proteger la información en la totalidad de su ciclo de vida- creación, modificación, almacenamiento, preservación, difusión y eliminación y también a los medios que aseguran este ciclo y a las personas que acceden a la información para utilizarla o manipularla.

    Los objetivos principales de la auditoría de seguridad de la información se centrarán:

    • Verificar la existencia de una de una política o políticas de seguridad de la organización.
    • Verificar si existen y se hacen de manera correcta las actividades de seguimiento correspondientes.
    • Comprobar que los integrantes de la organización tienen la formación y concienciación necesaria sobre materia de seguridad.
    • Evaluar el grado de implicación de los distintos niveles de la organización en materia de seguridad de esta.
    • Identificar vulnerabilidades y detectar amenazas.
    • Ayudar a mejorar el grado de cumplimiento de la legislación y normativas aplicables.
    • Ayudar a introducir mejoras en la organización, medios y sistemas de seguridad.
    • Obtener una visión externa de los riesgos asociados a las vulnerabilidades y amenazas en el ámbito de la seguridad de la organización.
    • Según los resultados, ayudar a introducir mejoras en las políticas y procesos de seguridad.

    Los resultados de la auditoría quedarán reflejados en un informe, cuyo fin es documentar e informar sobre las opiniones, sugerencias y recomendaciones que el equipo auditor tras analizar el estado de la empresa considera necesario expresar para eliminar disfunciones y vulnerabilidades.

    El Instituto Nacional de Ciberseguridad (INCIBE) pone a disposición de los usuarios un “kit de autodiagnóstico” de los riesgos que pueden tener las empresas. Se realizan una serie de preguntas que ayudarán a determinar el estado de seguridad de la información, qué riesgos amenazan y, de ese modo se pueda determinar su estado en seguridad de la información, qué riesgos amenazan el funcionamiento de la empresa y qué aspectos debe mejorar.

    https://www.incibe.es/protege-tu-empresa/conoces-tus-riesgos