whatsApp

La Ciberseguridad de la empresa

Una de las consecuencias de la nueva normalidad es que las empresas son ahora más vulnerables. Por un lado, han tenido que afrontar el reto de trasladar su fuerza de trabajo a un entorno remoto. Esto implica poner en marcha de la noche a la mañana nuevos procedimientos y políticas de seguridad, algo que irremediablemente se traduce en la existencia de errores de configuración en la infraestructura tecnológica.

Por otro, se enfrentan a un panorama con nuevas amenazas y nuevos modelos de ciberdelincuencia. Según se señala en el informe Business Threat Landscape Report 2020, que acaba de publicar Bitdefender, todo lo anterior hace que el pronóstico para el próximo año en lo que a ciberseguridad se refiere no sea el más halagüeño.

Según el informe de Bitdefender, el nuevo escenario dominado por el teletrabajo ha supuesto dejar expuestas las infraestructuras IT de las empresas a nuevas amenazas y vectores de ataque. La urgencia que requería la situación se ha traducido en errores de configuración y en descuidos relacionados con la seguridad. Esta situación es grave, ya que si en 2019 las organizaciones tardaban una media de 209 días en detectar y contener una brecha de seguridad, en estos momentos ese plazo seguramente es mayor.

La telemetría de Bitdefender muestra que en estos momentos un 64% de las vulnerabilidades no parcheadas en aplicaciones y sistemas operativos son anteriores a 2018, algo que garantiza a los ciberdelincuentes una gran superficie de ataque. Del mismo modo, alrededor del 60% de las empresas afirman que no han sido conscientes de la existencia de una vulnerabilidad hasta que no han sido atacadas. Esos datos convierten a las vulnerabilidades no parcheadas en uno de los mayores retos de las organizaciones en lo que a seguridad se refiere. Según el informe de Bitdefender, la mayor parte de estas vulnerabilidades se encuentran en productos y servicios de Microsoft, pero también en soluciones de gestión de dispositivos o en herramientas de análisis de red que utilizan los profesionales de IT, Seguridad y desarrolladores en las organizaciones. En esta situación, la configuración e implementación de políticas de parcheo se convierte en una medida crucial.

El informe de Bitdefender indica también que el 87% de los casos de configuraciones erróneas detectados durante este año está relacionado con el servicio WinRM, que permite a los equipos de seguridad y de IT gestionar de forma remota los endpoints y ejecutar distintos scripts en las máquinas que utilizan los empleados. Cuando este servicio está mal configurado, los ciberdelincuentes pueden llegar a comprometer de forma sencilla tanto los dispositivos como la infraestructura tecnológica de la compañía.

En este escenario tampoco hay que olvidar el peligro que suponen los dispositivos IoT. No en vano, durante la primera mitad del año el número de incidentes relacionados con Internet de las Cosas en los hogares ha crecido un 46%. Hay que tener en cuenta que alrededor del 40% de los dispositivos conectados en los hogares no son los que el empleado utiliza para trabajar, sino otros como robots de cocina, aspiradoras inteligentes, purificadores de aire, monitores para el control de bebés, etc. El ataque a uno de estos dispositivos puede poner en peligro al resto. Igualmente, los routers domésticos que no se actualizan habitualmente incrementan el riesgo no solo para los usuarios, sino también para sus empresas.


El factor humano, el talón de Aquiles de la seguridad

Con el aumento del teletrabajo, el factor humano se ha convertido en uno de los puntos más débiles en la seguridad de las organizaciones. No solo porque los empleados utilizan ahora redes poco seguras para conectarse a los sistemas corporativos, sino también porque no son conscientes del riesgo que conllevan algunas prácticas, tales como la reutilización de contraseñas antiguas, algo que según el informe de Bitdefender está presente en el 93% de los incidentes relacionados con el factor humano.

Otro de los mayores retos para las empresas en esta era del teletrabajo está siendo el tener que afrontar las amenazas de phishing y spearphishing dirigidas a sus empleados. Antes de la pandemia, lo normal era que un empleado comprobara la legitimidad de los correos electrónicos sospechosos preguntando a sus compañeros o dirigiéndose al departamento pertinente. Al trabajar desde casa esa opción se complica un poco más, por lo que muchos han dejado de hacerlo. Además, este riesgo crece a medida que se perfeccionan los mensajes maliciosos, incorporando la jerga del sector y personalizando su contenido.

El ransomware, la minería de criptomonedas, el malware sin archivos y las aplicaciones no deseadas (PUA), siguen también evolucionando. En el caso del ransomware, ya no solo existe la modalidad de solicitar un rescate por los datos robados, sino que ahora se amenaza también a la empresa con publicar esos datos si no se satisface el rescate, lo que puede suponer cometer una infracción relacionada con la normativa de protección de datos y, como consecuencia, tener que afrontar multas por ello.

La telemetría de Bitdefender señala que durante la primera mitad de este año, en torno a un 17% de las amenazas detectadas en España fueron ransomware. La minería de criptomonedas fluctúa entre el 28% detectado en febrero y el 11% de mayo, y las aplicaciones no deseadas se mantienen más estables a lo largo del tiempo, siendo la causa de alrededor del 16% de todos los ataques identificados en ese periodo.


El incremento de las APT como servicio


Bitdefender revela también en su informe la evolución de algunas tácticas utilizadas por grupos de ciberdelincuentes especializados en el desarrollo de Amenazas Persistentes Avanzadas (APT). Si hasta el momento estos grupos se centraban en dar servicio a distintos gobiernos, apoyándoles en sus actividades de ciberespionaje, todo apunta a que ahora han decidido ampliar su mercado, extendiéndolo al entorno empresarial. De esta forma, se ha detectado que estos hackers están ofreciendo el desarrollo de APTs para empresas en la modalidad As-a-Service, algo que marca una nueva tendencia comercial.

Liviu Arsene, analista senior de Ciberseguridad en Bitdefender, afirma que “la sofisticación de las amenazas se incrementa y la escasez de talento sigue siendo un hándicap para las organizaciones, por lo que cada vez con mayor frecuencia están decidiendo dejar su seguridad en manos de expertos externos mediante la contratación de servicios de detección y respuesta gestionados (MDR)”.


Sectores más atacados


El informe de Bitdefender señala que en estos momentos todas las organizaciones, con independencia de su tamaño o sector, se están enfrentando a las mismas amenazas. Sin embargo, los profesionales de la seguridad de la información de compañías de todo el mundo estiman que las empresas de servicios financieros y las del sector sanitario se encuentran entre las más afectadas por la actividad de los ciberdelincuentes, que han decidido explotar el miedo de las personas y la falta de formación de los empleados en medio de una situación de crisis global. El tema es grave, ya que la interrupción de la infraestructura de un servicio de salud podría poner en riesgo la vida de los pacientes.

“En la nueva normalidad las organizaciones se están enfrentando a nuevos desafíos y riesgos inimaginables para ellas hace tan solo doce meses, y para los que aproximadamente la mitad no contaba ni con la planificación ni con la preparación suficiente. Pero lo que ha pasado este año puede servir de anticipo para el que viene. Por ello, es necesario que las organizaciones conozcan con la mayor precisión posible los peligros a los que se enfrentan si quieren ser capaces de desarrollar una estrategia de seguridad sólida”, concluye Arsene.


Desde Dinan queremos aportar una guia muy práctica con todo lo que tienes que saber a nivel de usuario en relación a las medidas de protección y prevención que hay que seguir para mantenerse en un entorno seguro pero como siempre recomendamos, la seguridad de una empresa tiene que estar en manos de profesionales.

Descargar la: GUIA DE CIBERSEGURIDAD


Preguntas más frecuentes sobre el Kit Consulting

Si tienes cualquier duda o pregunta sobre el Kit Consulting te recomendamos que rellenes el formulario para que nos pongamos en contacto. Por si acaso, damos respuestas a las preguntas más frecuentes sobre los fondos europeos.

 

  • ¿En qué consiste el programa Kit Consulting?

    Kit Consulting es una iniciativa de apoyo impulsada por el Gobierno de España que facilita a las PYMES, sin importar el sector al que pertenezcan, el desarrollo de un plan estratégico para avanzar en su transformación digital. Este programa está diseñado para ayudar a las pequeñas y medianas empresas a identificar y aplicar las herramientas y procesos necesarios para digitalizarse y modernizar su funcionamiento.

    El programa cuenta con una financiación de 300 millones de euros, proporcionados por la Unión Europea a través de los fondos NextGenerationEU. Estos fondos están destinados a cubrir los costos de asesoría especializada y a apoyar a las PYMES en su transición hacia un modelo de negocio más eficiente y digital.

  • ¿Cuál es la cantidad de las ayudas otorgadas por Kit Consulting?

    Las subvenciones disponibles en el programa Kit Consulting varían según el tamaño y las necesidades de cada empresa. Para garantizar un acceso equitativo y ajustado a los recursos, se han definido tres segmentos de empresas beneficiarias, con importes específicos para cada uno:

    Segmento A: Empresas con entre 10 y menos de 50 empleados pueden recibir hasta 12.000 euros para contratar servicios de asesoría digital.

    Segmento B: Empresas con entre 50 y menos de 100 empleados pueden acceder a 18.000 euros en ayudas, permitiéndoles contratar hasta 3 servicios de asesoría.

    Segmento C: Empresas de entre 100 y menos de 250 empleados tienen disponibles hasta 24.000 euros en apoyo para contratar hasta 4 servicios de asesoramiento especializado.

    Esta estructura permite que el apoyo financiero se adapte a la capacidad y requisitos de cada tipo de empresa, garantizando que el programa sea accesible y útil para todas las PYMES que deseen sumarse al proceso de transformación digital.

  • ¿Qué servicios están incluidos en el Bono del Kit Consulting?

    Como asesores digitales en Dinan Informatica, ofrecemos varias soluciones que puedes financiar con el Bono del Kit Consulting, entre ellas:

    Asesoramiento en Ventas Digitales: Ayudamos a las empresas a optimizar sus canales de ventas en línea y a mejorar la experiencia de sus clientes.
    Asesoramiento Integral en Transformación Digital «360»: Servicio completo para implementar una transformación digital profunda en la empresa.

    Además, existen otros servicios subvencionables a los que se puede acceder a través de otros asesores digitales. Estos incluyen: Inteligencia Artificial
    Análisis de Datos (Básico y Avanzado)
    Procesos de Negocio y Producción
    Estrategia y Rendimiento de Negocio
    Ciberseguridad (Básico, Avanzado, y Preparación para Certificación)

    Cada uno de estos servicios está orientado a mejorar áreas clave de la empresa, desde el análisis de datos hasta la seguridad digital, asegurando que el proceso de digitalización sea completo y adecuado para las necesidades de cada negocio.

  • ¿Qué requisitos deben cumplir las empresas para acceder a esta ayuda?

    Como ocurre en la mayoría de las ayudas públicas ofrecidas por el gobierno, existen ciertos requisitos que las empresas deben cumplir para poder beneficiarse del Bono Kit Consulting. Estos requisitos son iguales para todas las empresas, independientemente de su sector o actividad, y se detallan a continuación:

    Domicilio fiscal en España: La empresa debe estar establecida y tener su sede fiscal en territorio español.
    Clasificación como PYME: Debe tratarse de una pequeña o mediana empresa.
    Condición financiera saludable: No se permite acceder a empresas consideradas en crisis.
    Cumplimiento de obligaciones fiscales y de Seguridad Social: La empresa debe estar al corriente de sus pagos fiscales y de sus obligaciones ante la Seguridad Social.
    Ausencia de prohibiciones: La empresa no debe estar sujeta a ninguna de las prohibiciones estipuladas en la Ley General de Subvenciones.
    Registro en el Censo de empresarios: La empresa debe estar inscrita en el Censo de empresarios, profesionales y retenedores de la Agencia Estatal de Administración Tributaria o en el censo equivalente de la Administración Tributaria Foral, con una antigüedad mínima de seis meses.
    Sin orden de recuperación pendiente: La empresa no debe estar sujeta a ninguna orden de recuperación por ayudas incompatibles emitida por la Comisión Europea.
    Límite de ayudas de minimis: La empresa debe cumplir con los límites de ayudas de minimis establecidos en la normativa europea.

    Estos requisitos aseguran que las empresas beneficiarias puedan aprovechar el apoyo del programa de manera responsable y efectiva, promoviendo así un crecimiento sostenido y una transformación digital sólida.
    Si escoges una solución de un proveedor que cueste más que el importe máximo de ayuda para esa solución, también deberás pagar la diferencia entre el coste y la ayuda.