“Seguridad informática: depende de cada uno de nosotros”
Dr. Klaus Schäfer, VP de Tecnología – Grupo F24
Ataques de hackers, robo de datos: no solo se ha acentuado la percepción de que estamos expuestos a un mayor riesgo de sufrir un ataque en nuestros sistemas de TI. Los datos confirman que es así. De acuerdo con el informe Threat Landscape Report de la European Union Agency for Network and Information Security (ENISA), casi todas las amenazas informáticas aumentaron en 2017.
En su estudio Cost-of-Cyber-Crime, Accenture estima que el coste para hacer frente a la ciberdelincuencia ha aumentado un 27,2 %, lo que equivale a 11,7 millones de dólares estadounidenses. Si bien es cierto que existen determinadas medidas para protegernos de estas amenazas, hace tiempo que ha quedado de manifiesto que la protección total no existe. Hemos hablado con Klaus Schäfer, responsable del departamento de TI en F24, sobre qué aspectos son fundamentales en caso de sufrir un ataque cibernético y acerca de por qué los seres humanos son, como mínimo, igual de importantes que la tecnología ante esta problemática.
Diversos estudios constatan que el riesgo de sufrir un ataque cibernético ha aumentado de forma significativa. ¿A qué se debe y qué consecuencias tiene para las empresas?
Klaus Schäfer: «Hoy en día, la seguridad de los sistemas de TI es un tema que afecta a todas las empresas, ya que el mundo empresarial se encuentra cada vez más digitalizado. Actualmente, el peor escenario para un gran número de empresas es lo que en seguridad informática se conoce como DDoS: Distributed Denial of Service (ataque de denegación de servicio). Un ataque de este tipo provoca que los servicios que ofrece una compañía no se encuentren disponibles para los usuarios, o que estos se encuentren disponibles, pero con restricciones. Incluso los ataques de hackers, que se basan principalmente en manipular o codificar datos, pueden provocar un DDoS. Obviamente, el hecho de que su oferta de productos ya no se encuentre disponible o que una empresa no pueda desarrollar su actividad puede conllevar grandes pérdidas económicas.
Otro factor que hay que tener en cuenta es que, actualmente, la tasa de innovación es extremadamente elevada, especialmente en el sector de la TI, lo que implica que cada vez resulta más difícil protegerse técnicamente contra los ataques, ya que los mecanismos de protección quedan rápidamente obsoletos. Los responsables de TI solo pueden limitarse a supervisar de forma continua la seguridad de los sistemas, sin compromisos».
Hoy en día, la seguridad de los sistemas de TI es un tema que afecta a todas las empresas
Dr. Klaus Schäfer, VP de Tecnología – Grupo F24
¿Cómo se traduce esto en la práctica?
Klaus Schäfer: «Cuando analizamos la seguridad desde el punto de vista procedimental, los seres humanos, y, por lo tanto, todos los empleados, desempeñan un papel significativo. En la mayoría de casos, los ataques fructíferos no consisten en ataques directos (técnicos) externos a una organización, sino en ataques que se producen aprovechando una vía de acceso interna, como puede ser, por ejemplo, un empleado. No se trata de culpabilizar a los empleados, sino de aceptar que las personas no son per se (y por suerte) controlables. El problema principal radica en que no todo el mundo es consciente de la importancia de la seguridad informática, y por lo general, la gente normalmente se limita a llevar a cabo las tareas que tiene asignadas. Un pequeño descuido o una memoria USB de origen desconocido pueden ser suficiente. Así pues, es importante concienciar y formar a los empleados de forma regular. Desafortunadamente, y, en especial, en las pequeñas y medianas empresas, esta necesidad acostumbra a quedar en un segundo plano».
Hoy en día, las empresas deben estar preparadas para poder hacer frente a ataques cibernéticos que pueden darse en cualquier momento bajo múltiples formas. ¿Qué es más importante en caso que se produzca una emergencia?
Klaus Schäfer: «Cuando se sufre un ataque al sistema de TI es necesario, por un lado, limitar los daños y, por otro, conseguir que el sistema vuelva a funcionar lo antes posible.
El factor clave para lograrlo es la comunicación, ya sea con los empleados para evitar la propagación del ataque, con los clientes o socios comerciales, o incluso con los ciudadanos. Así, por ejemplo, es posible activar una línea telefónica de atención independiente a fin de mantenerlos informados.
También es necesario garantizar la comunicación con y entre los equipos de expertos que trabajan en la resolución de los problemas. Ser capaces de mantener siempre la comunicación es fundamental, y, a ser posible, hacerlo de la forma más rápida posible. Dado que los ataques a los sistemas informáticos a menudo también afectan las conexiones telefónicas —voz sobre protocolo de internet—, es particularmente importante poder actuar sin depender da la infraestructura de TI y de comunicaciones interna».
Los sistemas de F24 son tan vulnerables a los ataques como los de cualquier otra empresa. ¿Cómo se protege F24 contra tales ataques?
Klaus Schäfer: «FACT24 se ha diseñado explícitamente para estos casos y viene a ser un entorno paralelo a la propia infraestructura de TI de nuestros clientes. A diferencia de la mayoría de compañías, nuestro objetivo principal es mantenernos a la última en términos de seguridad y disponibilidad, lo que no compensa a la mayoría de las empresas en cuanto a tiempo, personal y recursos financieros. Y lo hacemos adoptando medidas técnicas, pero también procedimentales, lo que significa que no solo disponemos de la última tecnología (actualizaciones de seguridad, firewalls), sino que nuestros empleados también están profundamente concienciados sobre esta problemática y reciben formación regular fuera de las auditorías de certificación. Todos estos aspectos sientan las bases de nuestra empresa y forman parte de nuestra agenda diaria.
Además, F24 AG y la mayoría de sus subsidiarias contán con la certificación ISO/IEC 27001, que va mucho más allá de la norma ISO27001, que se centra en ofrecer una protección básica. Asimismo, sometemos nuestros sistemas a ensayos de penetración profesionales a fin de verificarlos tanto interna como externamente. Y, por último, pero no menos importante, nuestros sistemas se diseñan redundantemente varias veces: si uno de nuestros centros de datos se ve afectado, por ejemplo, por un DDoS, nuestros clientes podrán continuar utilizando todas las funcionalidades de FACT24. De este modo, podemos garantizar contractualmente una disponibilidad del 99,50 %».
