No podemos evitar, ni por aversión ni por desgana, pertenecer a un mundo hiperconectado y, en cierto modo, depender de él. Comunicaciones, cuentas bancarias, relaciones, tarjetas sanitarias, datos de los ciudadanos, transportes, contenidos digitales, información, trabajo, aprendizaje, conducción… Nuestro complejo ecosistema está envuelto bajo el paraguas del ciberespacio.
Hoy se celebra el Día Mundial de la Ciberseguridad o Seguridad de la Información. Y en este contexto social de dependencia de la conectividad, se hace cada vez más evidente la necesidad de establecer un marco que nos proteja de fallos del sistema o de posibles ataques. Al igual que asumimos la existencia de los Cuerpos de Seguridad del Estado o de vigilantes en comercios, edificios, eventos o aparcamientos, por ejemplo, hemos de concienciarnos de que se antoja obligatorio celebrar un día como el de hoy para que nuestros negocios también estén a salvo en el entorno digital.
Por eso, no podemos obviar la ciberseguridad ni convertirla en un asunto menor. Y no podemos sino dejarla en manos de especialistas en la materia, de profesionales que sepan qué hacer y aconsejen y ayuden a las empresas a tener el negocio protegido. Las startups, en su afán por el crecimiento y el cumplimiento de sus objetivos del plan de negocio, a veces pueden relajarse en este sentido. Los emprendedores han de tener muy presente, desde los comienzos, que una buena seguridad digital es una de las vértebras que sostendrá un crecimiento desde unos cimientos bien asentados.
Nuestro mentor Antonio Gil tiene una larga trayectoria en este ámbito, una experiencia que le avala y unos conocimientos que hacen de su figura un bastión imprescindible para las startups de Andalucía Open Future. Auditor y responsable de seguridad de la información en Softcom y Legalizatech, advisor en ciberseguridad, asesorando a las startups de El Cubo, y un sinfín de cargos desempeñados en su carrera definen su curriculum. Además, colabora en congresos y cursos relacionados con ciberseguridad en distintos organismos y universidades.
Para darle a este Día Mundial de la Ciberseguridad el lugar que se merece, el mentor nos ha dado algunos consejos muy útiles que los emprendedores deben grabarse a fuego.
Consejos sobre ciberseguridad para startups, por Antonio Gil
Como auditor de seguridad de la información en Softcom y perito judicial tecnológico en APTAN, tenemos una visión 360º de la ciberseguridad, actuando también después del incidente. Conocemos muy bien la norma 27001 de seguridad de la información y trasladamos a nuestros clientes esa guía de buenas prácticas, que toda empresa debería tener y aplicar
Como mentor de Andalucía Open Future, mi labor es la de asesorar a las startups en materia de ciberseguridad con un enfoque técnico pero también de negocio, dada mi experiencia como empresario con más de 28 años en el sector TIC. Se trata de un tema complejo por las diferentes aristas que tiene, pero que sin duda afecta de forma transversal a todas las áreas de la empresa.
La idea es que tanto los socios como el personal contratado o subcontratado, tomen conciencia de la importancia que tiene la seguridad de la información que manejan dentro de la empresa y de que si no hacen una gestión responsable de la misma, puede peligrar la continuidad de su negocio. Si nos gusta tener un buen equipo cohesionado y bien coordinado, ¿por qué a veces descuidamos la seguridad de nuestra información?
Normalmente suelo utilizar algún caso real que hayamos tenido como peritos, que ilustre sobre algún incidente concreto relacionado con su actividad, sobre todo para que entiendan que ninguna empresa por pequeña que sea, está exenta de riesgo, tratándose de ciberseguridad.
Invertimos en sistemas de seguridad a veces muy complejos y costosos, para impedir ataques desde el exterior, pero descuidamos la seguridad de nuestra información que suele estar en manos de nuestros empleados, ya que la necesitan para desempeñar su trabajo.
Algunos datos sobre la situación actual en España:
- A diario son atacados entre 100.000 y 120.000 equipos en España.
- 70% de los ciberataques no se publican
- 60% de los ciberataques provienen de fuentes internas
- Fabricantes (Software / hardware) descubren el 14% de las vulnerabilidades
- 47% de las vulnerabilidades en Infraestructuras Críticas pueden ser aprovechadas por ciberdelincuentes de perfil bajo
Al igual que el ROI (Retorno de la Inversión) del que las empresas están muy concienciadas y forma parte de su ADN, existe un nuevo concepto llamado ROSI (Retorno de la Inversión en Seguridad de la información), que lamentablemente la mayoría desconocen o nunca se han planteado. Se trata de valorar/cuantificar que costes materiales, humanos, legales y pérdidas directas, tendría para mi empresa en caso de sufrir un ciberataque. Invertir en seguridad si es rentable cuando el coste Medio de un ciberataque en España es de 75.000 €
Algunos consejos sobre la aplicación del nuevo Reglamento Europeo General de Protección de Datos (RGPD):
- El Reglamento incluye medidas como la obligación de implantar sistemas de cifrado y de doble factor de autenticación, incluso sobre los datos considerados de nivel básico, si el riesgo así lo exige
- Todas las empresas están obligadas a comunicar las brechas de seguridad que pudieran producirse, por lo que deberán extraer información constante sobre los intentos de intrusión y los accesos no autorizados y notificarlos en el plazo correspondiente
- Será obligatorio comunicar los detalles del fallo a las personas cuyos datos hayan podido verse afectados.
- Recomiendan acreditar su cumplimiento mediante un Sistema de Gestión de Seguridad de la Información
- Incorporar a sus plantillas la figura del Delegado de Protección de Datos (DPO) para que vele por el cumplimiento de la ley
Algunos consejos para las startups cuyo Core esté centrado en el desarrollo de apps
- Cada desarrollador debería tener una formación en desarrollo seguro
- Deberíais pasar auditorias de seguridad informática, Análisis estático y dinámico de código
- Deberíais realizar pruebas de comunicación para ver si va correctamente cifrada, usar SSL/TLS
- Deberíais almacenar la menor información posible en los dispositivos móviles
- Si se usan servidores, verificar por Pentest que son seguros, ya que si la aplicación es segura, pero el servidor de contacto no, se puede extraer información sensible
Algunos consejos para mejorar la seguridad de las empresas
- Instalar las actualizaciones del sistema
- Instalar una solución de seguridad
- Copias de seguridad
- Identificar el phishing
- Una contraseña segura
- No al software ilegal
- Cuidado con las Wi-Fi públicas
- Respecto a la nube
- Móvil seguro
- ¡Sentido común!
