El factor humano como prioridad en la política empresarial para intentar erradicar los ciberataques

"El coste de la ciberinseguridad en todo el mundo creció en 2021 hasta los 6 trillones de dólares". Son palabras de Xabier Mitxelena, managing director de Accenture Security en España, Portugal e Israel, al abordar un estudio presentado por la consultora en relación a este tema, el State of Cybersecurity Resilience 2021.

Grandes compañías públicas y privadas han visto amenazados sus cimientos por culpa de ciberataques que, por suerte, han sido sofocados a tiempo. Pero el problema, no sólo persiste sino que va a más.

Así que la ciberprotección es uno de los asuntos prioritarios para la mayoría de compañías en estos momentos.

Lo constata el Chief Information Security Officer de CaixaBank, Gorka Díaz de Orbe, que analiza cómo afecta la ciberdelincuencia al mundo de la banca.

"Estamos atentos constantemente a cualquier situación peligrosa, las más habituales suelen ser los intentos de suplantación de la identidad del banco para intentar engañar a sus clientes. Tenemos tecnología para tratar de bloquear ese tipo de acciones delictivas, pero si por algo se caracteriza la ciberdelincuencia es por el aprovechamiento constante de nuevas herramientas tecnológicas, por lo que a nosotros como empresa nos obliga también no sólo a estar a la última sino incluso a intentar adelantarnos", reflexiona.

En este sentido, según revela, CaixaBank, por ejemplo, cuenta con "un modelo de ciberseguridad certificado bajo la norma internacional ISO 27001 y las certificaciones CSIRT y FIRST, que avalan su éxito en el sector, así como, por supuesto, con un equipo de especialistas que trabaja las 24 horas del día, 365 días al año, dotado de certificaciones de reconocimiento internacional y constituido como CERT oficial".

Pero no todas las empresas están haciendo sus deberes. En el citado estudio de Accenture se muestran algunas cifras relacionadas con lo anterior. "El 55% de las grandes empresas no están deteniendo eficazmente los ciberataques, detectando y solucionando los fallos rápidamente o reduciendo su impacto".  

Estos resultados se derivan de una encuesta a 4.744 ejecutivos que representaban a empresas con ingresos anuales de al menos 1.000 millones de dólares en 23 sectores y 18 países de América del Norte y del Sur, Europa y Asia Pacífico.

El informe destaca, en relación a las inversiones en ciberseguridad acometidas por las empresas, que "el 82% de los encuestados aumentó su gasto en ciberseguridad -tanto a nivel global como en España-".

Más infracciones

Este porcentaje, explican desde Accenture, "se debe al aumento de infracciones -incluidas el acceso no autorizado a datos, aplicaciones, servicios, redes o dispositivos- que se disparó un 31% a nivel mundial con respecto al año anterior, llegando a 270 de media por empresa. No conviene confiarse, en España el aumento de ciberataques es significativamente mayor, con un 236% respecto al 2020 (160 ahora y 48 ataques dos años atrás)".

¿Cómo canalizan la inversión en seguridad empresas como CaixaBank? Responde Díaz de Orbe.

"En CaixaBank tenemos una serie de herramientas de cara al cliente encaminadas a que se sienta lo más seguro posible con nosotros. Llevamos a cabo diferentes iniciativas porque la seguridad de las personas es lo primero. Por este mismo motivo, llevamos tiempo trabajando e implementando extensos contenidos y programas de concienciación sobre ciberseguridad para todos sus empleados, clientes y la sociedad en general. Un ejemplo es el boletín CaixaBankProtect NEWS", indica.

Y es que la importancia de las personas es clave. "Las organizaciones las forman personas y los clientes son personas. El entorno está formado por personas. Y todos estos estratos son susceptibles de recibir ataques", explica Mitxlena.

En el estudio elaborado por Accenture se destaca la necesidad de extender los esfuerzos de ciberseguridad más allá de los propios límites de la empresa a todo su ecosistema. "Conviene resaltar que los ataques indirectos -es decir, los ataques a una organización a través de la cadena de suministro - siguen creciendo", remarca el informe.

"Por ejemplo, a pesar de que dos tercios (67%) de las organizaciones creen que su ecosistema es seguro, los ataques indirectos representan el 61% de todos los ciberataques del año pasado, frente al 44% del año anterior", justifica.

Actualización de dispositivos

Al hilo de lo anterior, Díaz de Orbe añade que " la clave del éxito de los ciberdelincuentes no pasa únicamente por el uso de tecnología cada vez más sofisticada, sino que, realmente el verdadero éxito son las técnicas de engaño que usan para poder llevar a cabo estos ataques, lo que llamamos la ingeniería social".

Aunque las herramientas informáticas de seguridad, como el antimalware, son imprescindibles para ayudar a protegerse ante un ciberataque, "por sí solas nunca son infalibles al 100%. Hay que tenerlo en cuenta", avisa el responsable de CaixaBank.

¿Soluciones? En primer lugar, Díaz de Orbe admite que "tanto desde el punto de vista de las empresas como desde el punto de vista de los usuarios, debemos tener en cuenta aspectos como la permanente actualización de nuestros dispositivos y sus aplicaciones, una adecuada protección de nuestra identidad digital o el uso controlado de las conexiones wifi".

Aun así, es importante "revisar con la máxima atención cualquier mensaje y no clicar en anexos o enlaces ante la más mínima sospecha; en definitiva, aplicar el sentido común, suponen sin duda nuestra mejor defensa".

Parecen situaciones obvias, "pero sigue habiendo ciberataques debido a que sigue habiendo errores como estos".

El managing director de Accenture Security resalta, por su parte, que "hablando de las empresas y tomando como referencia a las que son líderes en ciberresiliencia, diríamos que es fundamental lograr un equilibrio entre la ciberseguridad y los objetivos empresariales, consultar a menudo con los directores generales y los directores financieros cuando desarrollan la estrategia de ciberseguridad de su organización, proteger a su organización de la pérdida de datos, integrar la seguridad en sus iniciativas en la nube o medir la madurez de su programa de ciberseguridad por lo menos anualmente".

En resumen, "invertir más en ciberseguridad sin estar estrechamente alineados con el negocio no hace que una organización sea más segura".