Problemas en ciberseguridad de las empresas públicas

Ciberseguridad

En la actualidad, se tiende a considerar de manera positiva a las empresas que tienen en cuenta la seguridad de la información. En este contexto cabe tener en cuenta que los problemas de ciberseguridad afectan en mayor medida a as empresas públicas en particular. Existen una serie de razones que confirman este hecho.

De manera general, las empresas públicas se desempeñan peor que una empresa privada que llegue a tener un presupuesto más bajo. Estos 3 hechos que afectan a las empresas públicas lo explican de manera general:

• Mala gestión vinculado a una falta de supervisión.
• Equipos obsoletos.
• Falta de conciencia.

En línea con lo anterior, ni la gerencia ni la fuerza laboral de las empresas públicas se enfocan en los problemas de ciberseguridad que puedan darse y las consecuencias de ello. Eso significa que existe una mayor probabilidad de que estos ataques sucedan en empresas públicas que en compañías privadas y que estos tengan mayores probabilidades de éxito.

Además, aunque es un hecho que las empresas públicas han aumentado sus presupuestos en términos generales, estas necesitarían proyectar parte de este gasto en aspectos relacionados con la seguridad cibernética. Esto implica a menudo mayores costos de amortización. En los puestos de responsabilidad de las empresas públicas también costará más que se acepten estos costos.

La ciberseguridad: un problema para las empresas públicas

Las empresas públicas, como cualquier otro tipo de compañía, deben considerar la ciberseguridad como un problema si no quiere ver afectado su funcionamiento. Las empresas públicas pueden emplear expertos en seguridad para el control de dichos problemas, pero en muchas ocasiones estos expertos cuentan con recursos reducidos. También suelen encargarse de un terreno más amplio que sus homólogos de las empresas privadas.

Según estudios del Centro de Estudios Estratégicos e Internacionales, si bien ninguna de las mayores brechas de ciberseguridad ocurridas a lo largo del año 2021 fue de empresas totalmente públicas, sí que sufrieron multitud de ataques más pequeños. Desde el año 2018 el número de estos ataques viene aumentando.

¿Cuál es el problema más frecuente de ciberseguridad en empresas públicas?

El problema más frecuente relacionado con la ciberseguridad al que se enfrentan las empresas públicas es el acceso a los sistemas por parte de personas no autorizadas. Aunque los errores humanos tienen cierta implicación en la mayoría de estos ataques, muchos de ellos están así mismo relacionados con soluciones técnicas.

A veces, las soluciones utilizadas por las empresas públicas se encuentran desactualizadas. Otras veces, el sistema cuenta con una mala configuración desde su comienzo. Existen una serie de razones por las que la ciberseguridad es un problema para las empresas públicas.

• Redes de baja jerarquía

En cualquier red, las jerarquías de acceso a los datos deberían ser una preocupación importante a tener en cuenta. Esto tendría que ser así independientemente de si se trata de un grupo de personas, de una pequeña empresa o de una empresa pública.

La segmentación de datos es necesaria. En este sentido, como consejo en materia de ciberseguridad puede señalarse que cada uno de los empleados y empleadas solo disponga de acceso a la información necesaria para su trabajo.

En las empresas públicas no siempre se da esta situación. En muchos casos, todos los dispositivos de un mismo servidor tienen acceso a todos los datos de ese mismo servidor. Ahondando más, en ocasiones las empresas no imponen restricciones significativas. Eso hace que cada dispositivo en la red sea un posible punto de impacto y esto, a su vez, un riesgo.

• Hardware y software obsoletos

Las actualizaciones periódicas son claves cuando se habla ciberseguridad. Si bien las empresas no siempre pueden realizar las actualizaciones en el mismo momento en que sale una nueva versión, si deben administrar sus actualizaciones al menos una vez al mes.

Sin embargo, las empresas públicas a menudo no siguen estas recomendaciones, actualizando su software trimestralmente en el mejor de los casos. Hay casos más extremos en los que incluso se realizan las actualizaciones anualmente.

Al hablar del hardware, la situación es aún más grave. La mayor parte de los equipos de las empresas públicas tiene más de cinco años.

Los ciberdelincuentes ya conocen cómo piratear tanto el hardware como el software de las empresas púbicas, lo que hace que la cantidad de atacantes que pueden dañarlas sea mayor.

• Error humano

La forma más sencilla de acceder para los atacantes es piratear la atención al cliente. Estos problemas no son inesperados dada la creciente carga de trabajo. Es bien sabido de su existencia por eso no se puede echar toda la culpa a los empleados. Sin embargo, este tipo de problemas tiene graves repercusiones.

Las empresas públicas a menudo conectan correos electrónicos y plataformas a su servidor. De esta manera, un simple ataque de phishing contra una persona que abre docenas de correos electrónicos cada día puede significar un desastre para toda la empresa en su conjunto.

• Falta de experiencia

Las empresas públicas en muy pocas ocasiones le dan la importancia que merecen a la ciberseguridad para sus operaciones. Es por eso que a menudo carecen de puestos de trabajo destinados a la seguridad cibernética. A su vez, esto hace que las empresas sean más vulnerables a los ataques.

En la mayoría de los casos, el administrador del sistema solo se encarga de mantener la red en funcionamiento. De esta forma, no se cuenta con una buena estrategia de ciberseguridad.

Ocurre también que los profesionales en seguridad cibernética se mantienen alejados de las empresas públicas porque tienen esta percepción de ellas. Como resultado, las empresas públicas carecen de la experiencia necesaria para ser proactivas ante las amenazas más recientes. Tampoco pueden reaccionar si surge un nuevo problema.

Software ISO 27001

La norma ISO 27001 y todas las normas que componen su familia, establecen los requisitos necesarios para implementar un Sistema de Gestión de Seguridad de la Información. Además, el Software ISOTools Excellence para ISO 27001 presta solución a todas las cuestiones que se plantean a la hora de implementar un SGSI en una empresa.