No todas las empresas se toman su seguridad en serio. En muchos casos el problema es perder datos, que se corrompan, que falle un sistema y no se puedan recuperar. Casi todas tienen sistemas de copias de seguridad para salvaguardar este problema. Pero en su mayor parte no están preparadas para evitar un ataque exterior que secuestre sus datos. Esto es lo que ocurre habitualmente con el ransomware, pero últimamente se está dando un factor adicional, si no pagan por recuperar los datos amenazan con hacerlos públicos. Y esto si es un grave problema para las empresas.
En primer lugar para su reputación y la confianza de sus clientes. En muchos casos tener datos confidenciales implica que debemos custodiarlos con especial celo. ¿Os imagináis a un asesor fiscal que tuviera un problema y todos los datos de sus clientes aparecieran publicados? El impacto en su negocio sería realmente grave. Muchos de estos clientes no volverían a confiar en este asesor.
Esto es algo que ya está pasando. Ante una amenaza de este tipo las empresas tienen muy poco margen de maniobra. Por un lado si pagan la extorsión, recuperarían los datos que previamente han sido cifrados por el ciberatacante y no se harían públicos. Pero ¿quién nos garantiza que no haya una copia? Al cabo de un tiempo podrían pedirnos más dinero. Obviamente no podemos fiarnos de la palabra de alguien así.
Por otro lado tenemos el problema con la protección de datos. La sanción que puede tener nuestra compañía por una infracción de este tipo es realmente severa. Especialmente si no se han tomado las medidas necesarias para intentar cumplir con la seguridad desde el diseño tal y como nos exige el RGPD.
Por todo esto la seguridad en las empresas tendrá que empezar a implantarse de forma más seria de lo que se hace ahora. Igual que muchas ponen una barrera y una alarma en la puerta de sus oficinas, tendremos que empezar a poner estas barreras en la puerta de Internet, que nos conecta con el resto del mundo.
Y después a nivel interno empezar a trabajar de forma más profesional, no como si estuviéramos en un grupo de estudiantes que están haciendo un trabajo conjunto. No podemos dejar que los usuarios hagan y deshagan a su antojo, que se instalen y quiten aplicaciones siempre que quieran. O accedan a cualquier tipo de página poco recomendable sin control. O no tengan una mínima formación en seguridad. Queda mucho trabajo por hacer en este sentido.
Imagen | PublicDomainPictures