Es innegable a día de hoy la importancia del uso de equipos informáticos en el ámbito empresarial, se ha creado una dependencia tecnológica que si bien facilita nuestra labor en el día a día, supone un punto de acceso a cierta información que llevada a cabo por delincuentes podría provocar grandes perjuicios en los productos o servicios que la empresa ofrece.

¿Incidentes sólo en grandes empresas?
Según un informe de Kaspersky Lab y el Ponemon Institute, el 43% de los ciberataques dirigidos a empresas europeas tiene como objetivo pequeñas y medianas empresas, esto se debe en gran medida a que no cuentan con solidas medidas de seguridad.
Lo grave de un ataque es que muchas pymes no pueden soportar el perjuicio causado, por lo que el 60% de las empresas desaparecen a los seis meses posteriores de efectuarse la agresión.
Fuentes de incidentes
Son dos las principales fuentes de incidentes de seguridad, por un lados tenemos los ciberdelincuentes,
«Los ciberdelincuentes, continúan siendo uno de los grupos de agentes de las amenazas más activos, con más del 80% de la actividad dañina.»
Centro Criptológico Nacional

y por otro lado los incidentes se producen internamente en la organización, provocada por los propios empleados, bien de forma voluntaria o accidental.

«Las amenazas internas. Los propios empleados de la empresa, se le atribuyen alrededor del 25% de los incidentes. A pesar de ser percibidos como una de las amenazas más altas, solo el 64% de las organizaciones dice estar invirtiendo en medidas de disuasión.
La mayor parte del daño parece ser causado por acciones no intencionadas de los empleados, entre las que destacan la divulgación accidental de datos, fallos en el reconocimiento de ataques de phishing o errores debidos a una configuración errónea.»
Centro Criptológico Nacional
Piensa todos los equipos informáticos que hay en tu organización: Routers, servidores, ordenadores, móviles, tablets, cámaras, etc. Y piensa en cada uno de ellos como posibles vectores de entrada para esos ciberdelincuentes.
Piensa si los empleados de tu empresa están lo suficientemente preparados para reaccionar ante cualquier incidente de seguridad que se produzca. Piensa si están suficientemente formados para no provocar ellos mismos, de forma no intencionada, cualquier incidente de seguridad.
«Permanece el problema de Business Email Compromise (BEC): este tipo de ataque de phishing dirigido a ejecutivos y empleados de los departamentos económicos o de recursos humanos con el objetivo de sustraer dinero de sus organizaciones. Desde octubre de 2013 hasta mayo de 2018, se han reportado 78.000 ataques de BEC en todo el mundo, con unas pérdidas estimadas de 12 mil millones de dólares.»
Centro Criptológico Nacional

Objetivos de la Seguridad Informática
- Minimizar y gestionar los riesgos y detectar los posibles problemas y amenazas a la seguridad.
- Garantizar la adecuada utilización de los recursos y de las aplicaciones del sistema.
- Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un incidente de seguridad.
- Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus contratos.
Para cumplir con estos objetivos una organización debe contemplar cuatro planos de actuación:
Plano Humano
- Sensibilización y formación
- Establecer Funciones, obligaciones y responsabilidades del personal
- Control y supervisión de los empleados
Plano Técnico
- Realizar análisis de riesgos, estudiando las amenazas y vulnerabilidades de los activos de la organización
- Crear medidas para solucionar los riesgos encontrados
- Generar procedimientos de actuación ante incidentes de seguridad que se produzcan
Plano Organización
- Intervenir en la creación de Políticas, normas y plan de contingencia ante incidentes de seguridad
- Regular las relaciones con terceros (proveedores, clientes, etc)
Plano Legislativo
- Cumplimiento y adaptación a la legislación vigente.
Principio de defensa en profundidad
Desde Nueva Seguridad s. XXI adoptamos el principio defensa en profundidad:
Se refiere a una estrategia militar que tiene por objetivo hacer que el atacante pierda el empuje inicial y se vea detenido en sus intentos al requerirle superar varias barreras en lugar de una.


Servicios, más información aquí
Seguridad Defensiva
- Analisis de riesgos y estudio de vulnerabilidades
- Auditorías de seguridad informática
- Gestión de incidentes
- Cursos de formación y concienciación para trabajadores
Seguridad Ofensiva
- Auditoría perimetral
- Auditoría interna
- Auditoría Wireless
- Hacking ético, test de intrusión, ejercicios de Red Team …