Más allá de crecimiento y beneficios, las cúpulas empresariales tienen multitud de variables a las que atender como por ejemplo la marcha de los mercados, los cambios en el marco regulatorio o los eventos políticos. En esa larga lista, la ciberseguridad no solía estar presente hasta que, en los últimos años, los ciberataques se han multiplicado tanto en número como en gravedad. 2017 ha sido un año cargado de incidentes en el frente de la ciberseguridad con dos protagonistas principales, los ataques de ransomware y la utilización a gran escala de las redes sociales con fines de desestabilización política. En el Día Internacional de la Seguridad de la Información realizamos una reflexión sobre la responsabilidad de líderes de empresas y organizaciones por agrantizar las seguridad de sus procesos y datos.
Dado el carácter técnico de las soluciones que requiere la ciberseguridad, para los líderes empresariales es tentador ignorar sus responsabilidades o adoptar una postura de mínimos. Pero esto es un error por varias razones: los ataques han aumentado exponencialmente en el periodo 2016/2017 y requieren respuestas al más alto nivel y, además, año tras año, le cuestan el puesto a más de un CEO.
La lista de dimisiones provocadas por fallos en materia de ciberseguridad no para de aumentar: Richard Smith, CEO de la firma de valoración crediticia Equifax, tuvo que dejar su puesto en septiembre después de que un grupo de hackers accediese a los datos de 145 millones de clientes. Un desastre para una compañía cuya razón de ser es el procesamiento y custodia de datos a gran escala.
Pero no es el único caso. El pasado año Walter Stephan fue despedido después de 17 años al frente de la compañía aeroespacial austríaca FACC por un caso de email phishing que le costó a la compañía decenas de millones de euros.
Pero quizá la víctima de más relumbrón fue Gregg Steinfahel, allá por 2014, que tuvo que dejar su puesto al frente del gigante estadounidense de los supermercados Target después de que un ciberataque dejase al descubierto las tarjetas de crédito, entre otros datos, de nada menos que 110 millones de clientes.
La amenaza de los hackers nunca ha sido tan severa como en la actualidad para las empresas y es crucial que las cúpulas tomen nota. Los patrones de actuación han cambiado, los ataques se han vuelto globales, en muchos casos indiscriminados. El caso del ransomware Wannacry afectó a, aproximadamente, 200.000 organizaciones de todos los sectores y tamaños. Desde Telefónica hasta pequeñas farmacias, pasando por la seguridad social británica. Petya, su sucesor, extendió sus tentáculos por 60 países.
En palabras de Rob Wainwright, director de Europol, “el impacto global de graves incidentes de ciberseguridad como Wannacry ha llevado la amenaza del cibercrimen a otro nivel. Grandes empresas están siendo golpeadas a una escala nunca vista con anterioridad.”
Así que… ¿cómo pueden responder las cúpulas empresariales?
- En primer lugar, es imprescindible que se tome conciencia de los riesgos y que no caiga en la tentación de ignorarlos. Los hackers han dado muestras sobradas de su capacidad destructiva y es hora de que se tome en serio.
- En segundo lugar, mantenerse al tanto de las amenazas y asegurarse de que se toman medidas para prevenirlas. Por ejemplo, a través de la formación a empleados, un aspecto crucial por ser precisamente éstos uno de los eslabones más débiles de la cadena de la ciberseguridad. O asegurando que los responsables informáticos mantienen el software actualizado y que se realizan comprobaciones periódicas de todos sistemas.
- En tercer lugar, no confiándose. Es imposible conseguir ser totalmente inmune a ciberataques, pero sí es posible ir un paso más allá de lo indispensable en la protección. Un ejemplo sería el de aquellas empresas que pagan a hackers para que les ataquen y encuentren vulnerabilidades que así pueden corregir.
El coste de descuidar la ciberseguridad está creciendo también como consecuencia de los cambios legislativos. El nuevo Reglamento General de Protección de Datos que comenzará a aplicarse en abril de 2018 introduce sanciones de hasta 20 millones de euros o el 4% de la facturación anual (la cantidad que sea mayor) para aquellas personas que no protejan sus datos adecuadamente. Además, también obligará a las empresas a comunicar a las autoridades y a los afectados cuando se produzca una violación de datos.
Salvador Serrano, Responsable del Área de Protección de Datos, PSN SERCON
Escribe un comentario
Tu comentario será revisado por nuestros editores antes de ser publicado. Tu email nunca será publicado.