Balidea: “Tanto a máis pequena microempresa como a maior multinacional poden estar no punto de mira dos ciberdelincuentes”

Belén Pérez Rodríguez e Andrés Rodríguez López, membros do Equipo de Ciberseguridade de Balidea

Analizamos con Belén Pérez e Andrés Rodríguez, expertos en ciberseguridade da empresa TIC galega Balidea, como o están facendo as empresas en materia de seguridade informática. Consideran que aínda falta moita concienciación e, grandes e pequenas, non pasan dun aprobado raspado. A diferenza está en que ás pequenas lles resulta máis difícil recuperarse dun ataque informático. Propoñen implementar unha serie de solucións e ferramentas que minimizan custes e con moi bos resultados en prevención.
-Cales son os principais retos que terán que afrontar as empresas en materia de ciberseguridade?
-Belén Pérez: O primeiro é abordar a ciberseguridade con escaseza de perfís especializados nas organizacións. Todas as empresas deberían comezar por unha avaliación de riscos. En paralelo van recibir ataques, pois os delincuentes non esperan a que te prepares. Abordar a resposta a incidentes sen perfís axeitados é moito mais complexo e lento.
-Andrés Rodríguez: En Internet hai moita información tanto económica como de reputación de todas as empresas, polo que calquera pode estar no punto de mira dalgunha organización de ciberdelincuentes, dende a máis pequena microempresa ata a maior multinacional. Cando unha empresa grande sofre un ataque adoita levantarse, pero un alto porcentaxe de pemes e micropemes non o consegue. Polo tanto, o principal reto é a concienciación. A seguridade perimetral, a segmentación, o antivirus (ou novos EDRs), un xestor de contrasinais... son conceptos que deberían xa estar normalizados.
-En que nivel de madureza en seguridade informática se atoparían as empresas da nosa contorna?
-Belén: Segue sendo a materia pendente. Canto máis pequenas, menos recursos e menos madureza. No Centro de Ciberseguridade Industrial (CCI), como coordinadora para Galicia, cando falo cos expertos doutras comunidades ou países, contan que a situación non é moi distinta. Si é certo que en España hai moi bos profesionais e empresas especializadas, e dende a Administración, especialmente dende o INCIBE, estanlle dando un empuxón para que as empresas se poñan as pilas.
-Andrés: As empresas grandes estano tomando máis en serio porque moven máis capital e teñen máis visibilidade. Son máis conscientes de que poden ser o obxectivo de ciberataques. Isto non quere dicir que moitas pemes non o estean facendo ben. Logo, as empresas tecnolóxicas, como é normal, teñen un maior grao de coñecemento sobre as solucións que hai no mercado, pero non son sempre as primeiras en implantalas. Quizais polo custe, pero tamén porque teñen unha falsa sensación de seguridade. O problema xeral segue a ser pensar que a seguridade é un gasto. Nós témolo claro, é un investimento.
-A situación derivada da pandemia da COVID-19 xerou un punto de inflexión que levou a tomalo máis en serio?
-Belén: Máis ben todo o contrario. A COVID acelerou un proceso de uso indiscriminado das conexións remotas con motivo do teletraballo. A prioridade era a conectividade e na maioría dos casos obviáronse os riscos. Ademais, ca baixada de ingresos, as organizacións teñen menos recursos, e á hora de priorizar, a ciberseguridade non vai de primeira. As estatísticas indican que se incrementaron os ataques a medida que avanzaban as restricións de mobilidade.
-Andrés: Nestes meses vimos, a nivel internacional, mortes en hospitais doutros países derivadas de ataques informáticos. Isto non é un xogo, as consecuencias poden ser moi destrutivas. Ademais, co boom do teletraballo, a seguridade descentralízase e pasa a estar en cada traballador ou traballadora e en cada dispositivo que manexen.
-Que se pode facer para que a contorna do persoal dende as súas casas sexa segura para a empresa?
-Belén: As persoas adoitan ser o punto feble da cadea. Desenvolven e crean tecnoloxía, instalan ou poñan en marcha software e dispositivos, administran e, o máis importante, usan a tecnoloxía. É primordial a formación, información, concienciación e adestramento constantes, tanto para evitar incidentes como para que saiban reaccionar e responder a eles.
-Andrés: Hai moitas solucións de formación a empregados en técnicas de prevención de phishing. Nós, por exemplo, estamos traballando cunha solución chamada Attack Simulator, tremendamente efectiva e ao mesmo tempo económica. Ás veces asóciase a ciberseguridade con grandes investimentos, e realmente poden levarse a termo medidas de grande impacto nas organizacións sen grandes desenvolvementos.
-Que tipo de ataques se están producindo con maior frecuencia?
-Belén: O incidente máis habitual segue sendo o ransomware (secuestro de información). O mecanismo para a infección pasa por todo tipo de phishing: por correo electrónico, por SMS, en ligazóns web... E por iso é moi importante formar as persoas usuarias. Como dicía Andrés, neste momento é especialmente crítica a cantidade de incidentes en contornas hospitalarias, que poden chegar a paralizar o servizo asistencial aos pacientes.
-Andrés: Iso é, máis alá do o ransomware ou o malware, está a denegación de servizo distribuída (DDoS), que se emprega para tirar o servizo e deixar o destino inaccesible. O preocupante xa non son os ataques en si, senón as novas correntes dos aaS (as a Service). Cando calquera pode contratar un servizo para que inxecten malware nunha rede específica ou tiren un servizo publicado en Internet, por motivos políticos ou simplemente porque son competencia, estamos tendo un problema como sociedade.
-Que controis se deberían implementar baseándose neses ataques?
-Andrés: Depende do tipo e tamaño de empresa. Por exemplo, se a un bufete de avogados pequeno, que ten a súa web só para que a xente contacte, lle fan un ataque de denegación de servizo e non poden ter activa a páxina unhas horas ou uns días, non é tan grave. O que teñen que protexer é a información confidencial dos seus clientes. Se iso mesmo lle acontece a unha gran empresa de supermercados, cunha facturación por compra online elevada, seguramente ter inaccesible a web uns minutos xa implica grandes perdas.
-Belén: Como xa indicamos, en primeiro lugar está o adestramento das persoas. Ademais, cómpre ter un bo control de usuarios e roles. Logo, débese empregar software seguro e cun mantemento axeitado. Os sistemas e redes deben ter equipos de protección e detección (IDS, IPS...) e nos casos máis avanzados SIEM que correlacionen toda a información e optimicen a resposta. Ademais, de forma constante, deben realizarse análises de vulnerabilidades. Por último, están os equipos. Cómpre ter sistemas de inventario, control de parches e detección de anomalías, control de contrasinais, control de accesos e conexións...
-Balidea abriu xa hai anos unha liña de traballo en ciberseguridade, cal é a súa especialidade neste ámbito?
-Belén: A auditoría, a consultoría para a implementación de solucións, o mantemento e administración desas solucións e a resposta a incidentes. Como acabamos de detallar, por prioridades, persoas, código e ferramentas de análise e xestión dos riscos.
-Andrés: A nosa primeira liña de traballo é a seguridade da nosa propia empresa. Estamos sempre en contacto con fabricantes e con desenvolvedores das últimas solucións, que probamos e implantamos en Balidea. Cando o resultado é bo, asinamos acordos con moitos destes fabricantes para ofrecerlles aos nosos clientes as súas solucións. Contamos xa coa maioría de líderes do mercado en cadanseu nicho. Tentamos focalizarnos en ámbitos específicos porque cremos que en temas de ciberseguridade é fundamental especializarse