Los últimos ciberataques convertidos en mediáticos han hecho que cada vez se tome más conciencia de la importancia de la seguridad informática en las empresas y organizaciones. Muchas veces, esa concienciación tiene su base en el temor a lo que “alguien” nos pueda hacer desde Internet y, por ello, la ciberseguridad y la protección de las redes de comunicaciones pasa a ser el número uno de la lista de prioridades.
Esto está muy bien. Estoy totalmente de acuerdo en que la llamada ciberseguridad es un punto clave en la seguridad de las compañías, pero hay que abordar la seguridad desde un enfoque integral.
Pensemos un poco en algunos ejemplos: un acceso no autorizado a la cuenta de email corporativo por tener una autenticación débil, “visitantes no deseados” en la red Wifi de la empresa, “doble click” en un adjunto de un correo de origen poco claro, fuga de información por parte de un empleado…
Hay infinidad de situaciones que pueden suponer un riesgo real para nuestras empresas y que no necesitan de grandes técnicas ni de un grupo de hackers “malignos” para que tengan lugar.
En numerosas ocasiones, la seguridad de una compañía no se afronta como un objetivo empresarial, sino como una tarea más del área de sistemas de información, y es ahí donde está el punto clave. La seguridad de la información ha de ser considerada como un proceso que nunca puede detenerse ni perder atención, igual que no se detiene la producción o la facturación.
Para enfrentarse a estas y otras amenazas, poco a poco las compañías van estableciendo más y mejores mecanismos de seguridad para protegerse. Así, hemos pasado de copias de seguridad y antivirus locales en los equipos, a anti-spam en el correo electrónico, firewalls de nueva generación para proteger las redes corporativas o cifrado de comunicaciones y portátiles. Además, hay que añadir muchos otros mecanismos cada vez más sofisticados, para minimizar las cada vez más sofisticadas amenazas.
La seguridad de la información debería estar embebida en la cultura de las compañías -cada una a su nivel de posibilidades-. Adicionalmente, es vital darle un enfoque global a la seguridad, en todas sus dimensiones (técnico, organizativo, legal-cumplimiento, etc.), pilares (confidencialidad, integridad, disponibilidad, trazabilidad y no-repudio) y capas (red, aplicación, base de datos, sistema operativo, virtualización, acceso físico…).
No podemos olvidar tampoco las infraestructuras críticas (energía, suministros, transportes, telecomunicaciones, etc.) y la seguridad de plataformas y sistemas industriales OT (Operation Technology), presentes en cadenas de producción, almacenes y plantas robotizadas, entre otros. El Internet de las Cosas (IoT), del que hay tanto que hablar, será también uno de los nuevos retos en los próximos años.
Las brechas de información ya no solo tienen impacto en el campo económico o de imagen. Los ciberataques están pasando a ser una amenaza real para la salud, el bienestar o incluso la propia vida de las personas.
Llamémosle Ciberseguridad, seguridad de los sistemas de información o seguridad industrial, pero afrontémoslo en cualquier caso como una sola seguridad integral y global.
