Autoevaluación, el primer paso para blindar la ciberseguridad de tu empresa

Aunque la ciberseguridad esté sobre la mesa como un elemento a tener muy en cuenta en las empresas, lo cierto es que las compañías españolas siguen manteniendo una posición muy inocente al respecto. Según el informe Panorama actual de la ciberseguridad en España, que ha llevado a cabo The Cocktail Analysis para Google, el 99,8 por ciento de las empresas no se considera un objetivo atractivo para los malhechores, postura que conlleva una relajación nada recomendable.

Además, que nosotros nos lo tomemos en serio no quiere decir que no podamos tener problemas. De hecho, y según otro estudio de Ponemon Institute, el 43 por ciento de los ataques tienen su puerta de entrada en las empresas a través de sus proveedores, por lo que tener constancia de que cuentan con un nivel de seguridad aceptable es esencial.

Conocer el punto de partida

Para ponernos manos a la obra, contamos con varias opciones. Una de ellas es formarnos en este ámbito para abordar la ciberseguridad desde dentro de la empresa. También podemos pedir ayuda externa a compañías y consultoras especializadas. No obstante, autoevaluar nuestro nivel de ciberseguridad es un perfecto punto de partida.

Esto es lo que ofrece LEET Security, que ha lanzado la versión Corporate de E-Qualify, una solución que permite que conozcamos de manera gratuita y en 25 minutos en qué punto estamos. Consiste en un cuestionario de 39 preguntas, a través del cual se analizan 14 dominios de ciberseguridad, entre los cuales están la gestión de la seguridad de la información, la seguridad del personal y las instalaciones, el cumplimiento, los controles de red o la gestión de incidentes.

“Somos de la opinión de que cada organización tiene que tener un nivel de seguridad acorde a la criticidad de los sistemas que utilizan y la información que manejan”, afirma Antonio Ramos, CEO de LEET Security. Y a través de esta solución, según expone, las empresas pueden hacer “una inversión más ajustada” y acorde con las “necesidades reales, sin dejarte llevar por modas o tendencias en un momento dado u ofertas que tenga tu proveedor”.

5 niveles de la evaluación

Tras cumplimentar el cuestionario, la compañía obtiene de forma inmediata la evaluación global de su servicio y los resultados obtenidos en cada uno de los 14 dominios. Todos estos aspectos analizados y valorados están clasificados en 5 niveles, que van desde la D hasta la A+. Estos niveles se corresponden con los requisitos recogidos en diversas normativas (ISO Series 27000, Esquema Nacional de Seguridad, Cloud Control Matrix, PCI DSS o NIST 822-53).

E-Qualify también cuenta con una versión premium, que ofrece un cuestionario de hasta 343 preguntas y que conlleva 5 ó 6 horas de dedicación, con la posibilidad de llevar a cabo la evaluación en varias sesiones.

Tomar conciencia de una vez por todas

Los incidentes de seguridad no paran de aumentar, por lo que quizás haya llegado el momento de desterrar el mantra de que a nosotros no nos va a ocurrir. “Parece que por tener un firewall no nos van a poder entrar y nos confiamos”, afirma Ramos, que incide en la necesidad de comprender que la seguridad “es un proceso, no un producto. Por mucho que compres tecnología, tienes que estar en el día a día. Es como pensar que por comprar un coche con cinturón de seguridad, no vas a tener un accidente”, sostiene.

Posiblemente, en algún momento tengamos que enfrentarnos a un problema de ciberseguridad, pero reduciremos los riesgos si tenemos constancia de en qué situación estamos. No obstante, Ramos concluye nuestra charla con los 3 pasos que debemos dar si sufrimos un incidente:

• Congelar el sistema que ha sufrido el incidente.
• Recurrir a un experto que haga un buen análisis forense de la situación.
• Liderar un programa de remediación y, algo vital, aprender de lo que nos ha pasado para que no se repita en el futuro.