Ten en cuenta que hay varios enlaces en el texto llevan a páginas web en inglés.

Las organizaciones ya no pueden ignorar la ciberseguridad. Las brechas de seguridad provocan tiempo de inactividad que pone en peligro a los negocios, daño a la reputación de una marca, tasas de cancelación de clientes, sanciones y pérdidas financieras. En la primera mitad de 2020 se produjeron más ciberataques que en todo el año 2019. Nunca ha sido tan importante proteger la seguridad de tu sitio web.

A pesar del creciente riesgo, muchas organizaciones están descuidando la protección de sus sitios web y sus clientes. A continuación, indicamos algunos de los errores más frecuentes que cometen las empresas en lo que respecta a la seguridad web.

1. Baja concienciación de la ciberseguridad entre los empleados

El error humano es la causa más común de las brechas de ciberseguridad. Ya sea por hacer clic en un enlace no fiable o por no proteger las contraseñas, el factor humano es el que tiene más posibilidades de propiciar ataques cibernéticos. Pero no tiene por qué ser así.

Los datos del proveedor de ciberseguros CFC Underwriting muestran que el 38 % de sus reclamaciones podrían haberse evitado formando en ciberseguridad a sus empleados.

Es alentador saber que las empresas pueden evitar problemas de seguridad aumentando la concienciación y creando una cultura de seguridad digital sólida dentro de su organización. No obstante, sigue habiendo muchas empresas que no toman medidas. En un estudio de 2019 se reveló que solo el 20 % de las empresas del Reino Unido han dado formación en ciberseguridad a su personal en los últimos 12 meses.

Solución: Formar a tus empleados en ciberseguridad es la clave para reducir el riesgo. De esta manera ahorrarás dinero y protegerás a tu organización de manera eficaz.

Uno de los motivos más comunes para no formar al personal en ciberseguridad es no saber que abordar primero. Así que, ¿por dónde puedes empezar?  

  • Revoca el acceso a exempleados para evitar que puedan entrar en tus sistemas y borra todos los datos de la empresa de sus dispositivos personales.
  • Un software obsoleto tiene más posibilidades de recibir ciberataques. Instala parches y actualizaciones de software de manera continua.
  • El 94 % del malware se recibe a través del correo electrónico. Los enlaces y archivos adjuntos maliciosos son un gran problema para las organizaciones y el filtrado de spam del correo electrónico no es suficiente para hacerle frente. Imparte formación a los empleados para que aprendan a reconocer y evitar de correos electrónicos poco fiables. En un informe comparativo de phishing realizado por KnowBe4 se indicó que con un solo año de pruebas y formación en phishing, se producía un índice de mejora del 87 %.
  • Los nombres de usuario y las contraseñas mal guardadas son otra amenaza habitual de seguridad. El 61 % de las empresas tiene más de 500 cuentas con contraseñas que no caducan. Ofrece orientación sobre cómo crear credenciales sólidas de inicio de sesión y cómo protegerlas eficazmente; o utiliza un administrador de contraseñas que almacene y cree contraseñas de forma segura.
  • Dejar que los empleados usen sus propios dispositivos en el trabajo, lo que se conoce como «BYOD» (Bring Your Own Device), incrementa el riesgo de amenazas cibernéticas a tu empresa. El acceso basado en roles, la autenticación de dos factores y las contraseñas fuertes de los empleados pueden reducir este riesgo.
  • Los datos sobre dispositivos perdidos y robados ofrecen otra oportunidad a los ciberdelincuentes. Informa a los empleados sobre el uso de los equipos de la empresa fuera de la oficina y diseña un proceso para informar de los dispositivos extraviados.
  • Proporciona directrices claras sobre el uso de las redes sociales en el trabajo. Una de cada cinco organizaciones se ha infectado por malware a través de las redes sociales.
  • Asegúrate de que los empleados instalen siempre parches y actualizaciones de software en sus dispositivos.
  • Educa a tus empleados sobre la importancia de la ciberseguridad en sus interacciones con software de terceros y proveedores de tecnología informática.

Cumplir con estas sencillas medidas evitará el riesgo de amenazas cibernéticas.

2. Carecer de una política corporativa en materia de ciberseguridad

En una investigación del Ministerio de Medios Digitales, Cultura, Medios de Comunicación y Deportes del Reino Unido, casi tres cuartos de las organizaciones coinciden en que la ciberseguridad es una prioridad, sin embargo, solo el 27 % cuenta con políticas y procedimientos formales de seguridad cibernética. Sin una política de ciberseguridad, estás exponiendo la seguridad de tu empresa.

Una política de ciberseguridad eficaz establece normas y responsabilidades para proteger los sistemas informáticos y los datos de la empresa. Esto va asociado a aumentar la concienciación sobre la seguridad entre tus empleados.

McAfee define una política de seguridad cibernética como un documento que «explica las normas sobre la forma en que empleados, consultores, socios, miembros de la junta directiva y otros usuarios finales acceden a las aplicaciones y a los recursos de Internet, envían datos a través de las redes y practican una seguridad responsable».

Las políticas de ciberseguridad también pueden mejorar la imagen pública y la credibilidad de una empresa. Los clientes, socios, accionistas, consultores y empleados necesitan saber que tu empresa puede proteger sus datos. Una política corporativa en materia de ciberseguridad es la mejor forma de demostrar que te tomas enserio su seguridad.

Solución: Elabora un documento formal que describa las políticas de seguridad de tu empresa, dando directrices claras a los empleados sobre lo que pueden y no pueden hacer con los sistemas informáticos, redes y dispositivos de la empresa.

En una buena política corporativa de ciberseguridad se indican las normas con respecto a lo siguiente:

  • Uso de redes sociales
  • Restricciones de acceso a Internet
  • Requisitos de las contraseñas (almacenamiento, actualización y generación)
  • Acceso remoto
  • Firmas digitales
  • Tratamiento de datos de carácter sensible
  • Comunicación inalámbrica
  • Medidas de seguridad del correo electrónico
  • Uso de aplicaciones de terceros
  • Abordar amenazas o incidentes de ciberseguridad

Las amenazas cibernéticas cambian continuamente, por ello es importante mantener al día las políticas de seguridad web. Planifica con tiempo para revisar y perfeccionar tu política de forma regular.

3. No contratar a personal de ciberseguridad cualificado

El error humano es responsable de muchos ciberataques, sin embargo, no es la única causa. Las vulnerabilidades técnicas también suponen un gran riesgo cibernético, por ello, es imprescindible contratar a personal cualificado. Según una encuesta de Marlin Hawk, dos tercios de las empresas afirman tener dificultades para contratar a profesionales de seguridad con mucha experiencia. El 62 % creen que será aún más difícil en los próximos cinco años.

Los profesionales de ciberseguridad pasan la mayor parte del tiempo solucionando incidencias. Si no disponen del tiempo o los recursos adecuados, estos profesionales pueden tener dificultades para aplicar las medidas necesarias para mejorar la seguridad del sitio web a largo plazo.

La demanda mundial de conocimientos sobre ciberseguridad sigue superando a la oferta, y con una tecnología informática sobrecargada que se enfrenta a ciberamenazas más complejas que nunca, no hay suficientes recursos disponibles para que muchas empresas se defiendan eficazmente de los ataques.

Solución: La respuesta es la automatización. Incorpora la automatización a los procesos de ciberseguridad para paliar la falta de competencias. Estas herramientas ayudan a las empresas a supervisar continuamente las amenazas y mejorar su protección a medida que crecen, incluso con personal y recursos limitados.

Algunas herramientas de supervisión de la seguridad web, como Siteimprove Web Security, están diseñadas no solo para identificar las vulnerabilidades de los sitios web, sino también para sugerir acciones para corregirlas. Tareas como el seguimiento de las fechas de vencimiento de certificados de sitios web, pueden gestionarlas los administradores de los sitios web, para que los profesionales de ciberseguridad se centren en riesgos más sofisticados.

Según Ron Green, CSO de Mastercard, la automatización es una gran ayuda para los profesionales de ciberseguridad. «El aprendizaje automático y la automatización van a ser muy útiles para los CISO (directores de seguridad de la información) actuales y futuros», comenta. «Las empresas todavía van a necesitar personas en el campo de la seguridad, pero los que están en nuestros centros de operaciones de seguridad se ven sobrepasados por todo lo que deben supervisar; y todavía no hay suficiente personal para seguir añadiendo a la plantilla».

4. Tratar la seguridad web como una cuestión informática, no como una cuestión empresarial

Los datos de una encuesta de riesgos de juntas globales de EY revelaron que casi la mitad (48 %) de las juntas cree que los ataques cibernéticos y las violaciones de datos tendrán un impacto más que moderado en sus empresas en el próximo año. Sin embargo, la seguridad web todavía no se trata debidamente, y solo un pequeño porcentaje (7 %) la describe como un factor que posibilita la innovación.

Priorizar la seguridad web aporta ventajas estratégicas que muchas organizaciones se están perdiendo por no darle la suficiente importancia. Entre dichas ventajas se encuentra la confianza de los clientes al asegurar la propiedad intelectual y proteger su marca. Subestimar el alcance y la profundidad de las amenazas de seguridad cibernética pone en peligro a toda la organización.

Por eso, es fundamental que las empresas sean proactivas en la protección de la ciberdelincuencia:

  • El coste medio de una violación de datos se sitúa en 3,86 millones de dólares. Aparte de pérdidas financieras tangibles, las empresas afectadas sufren un aumento en la rotación de clientes, pérdida de rentabilidad, disminución del fondo de comercio y perjuicio de su reputación.
  • Para la mayoría de las empresas, su propiedad intelectual (IP) es su activo más valioso. La PI incluye patentes, diseños, secretos comerciales, datos confidenciales y conocimientos de los empleados. Solo en EE. UU., el robo de IP supone un coste para las empresas de hasta 60 000 millones de dólares al año.
  • La mayoría de los consumidores (87 %) afirman que se llevarán sus asuntos a otra parte si no confían en que una empresa maneje sus datos de forma responsable.
  • Los honorarios legales y litigios son muy costosos, por ejemplo, la legislación del Reglamento General de Protección de Datos (RGPD) ahora puede multar a las empresas con hasta un 4 % de su volumen de negocios anual. Las multas del RGPD ascendieron a un total de 63 millones de dólares solo en el primer año de vigencia de la ley.
  • Reorientar los recursos de la empresa para hacer frente a las violaciones de la seguridad puede disminuir la eficiencia operativa.
  • Se debe dedicar tiempo y recursos a formar juntas y comités especiales para investigar las brechas de seguridad.
  • El restablecimiento de la confianza de los consumidores, los accionistas y el público tras la difusión de una violación supone un gran coste de relaciones públicas.

¿Sigues creyendo que es una cuestión meramente técnica? No. Se trata de un asunto de negocios.

¿Cuál es el mayor impedimento para dar prioridad a la seguridad web? La falta de apoyo a alto nivel. A pesar de numerosos titulares sobre violaciones de datos que han ocasionado grandes pérdidas a empresas, solo el 5 % de los ejecutivos de C-suite considera que la seguridad web es su iniciativa corporativa más importante. En relación a esto,  menos de una de cada tres empresas tienen un miembro de la junta directiva con responsabilidades de ciberseguridad.

Un sitio web seguro beneficia a tu empresa

Existen pruebas que demuestran que la brecha comienza a cerrarse. Actualmente el 29 % de las empresas reconoce que la seguridad web tiene un lugar en la mesa de juntas. Para las organizaciones que sí están tomando acciones, una buena cibersalud puede ser un factor diferenciador crucial en el mercado. De hecho, el 73 % de las principales organizaciones encuestadas por AT&T Cybersecurity coincidía en que una buena ciberseguridad contribuye al éxito empresarial general.

Solución: Prioriza la seguridad de tu sitio web. Una seguridad eficaz requiere el compromiso de los altos directivos. Para ello, designa a un director de seguridad de la información (Chief Information Security Officer, CISO). Solo 4 de cada 10 organizaciones cuentan con un director de ciberseguridad a nivel de dirección ejecutiva, esto puede dar ventaja competitiva a tu empresa. Forma a los altos directivos sobre los riesgos y el ROI de la seguridad cibernética y obtén su apoyo para mantener una cultura empresarial centrada en la seguridad.

Las juntas y los altos directivos se preocupan cada vez más por las brechas de seguridad que se producen bajo su mando. El presidente y director ejecutivo de Equifax, Richard Smith, renunció a su cargo tras un pirateo en 2017 que dejó al descubierto la información de 145 millones de clientes.

5. Dejar en segundo plano las auditorías de seguridad de los sitios web

La mejor forma de proteger a las organizaciones es siendo proactivas, no reactivas. Realizar auditorías de seguridad periódicas es fundamental para ayudar a las empresas a identificar las vulnerabilidades de seguridad, determinar el nivel de riesgo y adoptar medidas preventivas. Sin embargo, al tratarse de un proceso que requiere mucho tiempo y recursos, las auditorías suelen llevarse a cabo solo cuando son necesarias.

Para las organizaciones que no cuentan con profesionales de la seguridad, esta actividad puede ser particularmente difícil. Las auditorías manuales requieren conocimientos técnicos que muchos administradores de la web no poseen.

¿Cuál es el resultado? En el mejor de los casos, un gasto innecesario ya que las organizaciones siguen una estrategia de seguridad basada en suposiciones, en lugar de análisis de datos y la priorización de amenazas. En el peor de los casos, el sitio web estará repleto de vulnerabilidades que lo hacen inseguro.

Solución: Invierte en una herramienta que detecte automáticamente las vulnerabilidades básicas. Hacer comprobaciones una sola vez no es suficiente. La naturaleza de la seguridad es dinámica, por lo que es necesario escanear continuamente el sitio web para identificar posibles amenazas de seguridad.

Hay algunas formas de facilitar las auditorías de seguridad del sitio web. 

  • Utiliza tecnología que lleve a cabo auditorías de seguridad periódicas y automatizadas.
  • Combina auditorías automatizadas con pruebas manuales para analizar el estado de seguridad de un sitio de manera eficaz. Herramientas como Siteimprove Web Security trabajan como una plataforma colaborativa a través de la cual los equipos web e informáticos pueden gestionar las amenazas de seguridad de forma centralizada.

6. Subestimar el tamaño de la organización

Nintendo. Yahoo! Zoom. ¿Qué tienen en común? Todas son grandes empresas que han experimentado violaciones de la seguridad pública. Los medios de comunicación se centran casi exclusivamente en nombres muy conocidos, por lo que muchas pequeñas y medianas empresas piensan que nunca les pasará a ellas. Esto, sumado a unas al gran coste de contratar en plantilla a especialistas de seguridad, convierte a menudo a estas organizaciones en presas fáciles para los ciberdelincuentes. De hecho, casi la mitad de los ciberataques se dirigen a pequeñas empresas.

Es aún más preocupante que un estudio en 2020 revelara que el 43 % de las pequeñas empresas de EE. UU. y Reino Unido no tiene ningún tipo de plan de defensa de ciberseguridad 

Además, esto no se ajusta a la ley. En EE. UU., por ejemplo, incluso las pequeñas empresas que no están sujetas a los requisitos federales deben cumplir con unas normas mínimas de seguridad informática. Si se considera que ha habido negligencia se las puede llevar a juicio por ciberataques que den lugar a pérdidas de datos de consumidores. Algunos estados, como California y Nueva York, han introducido incluso requisitos de seguridad de la información para las empresas.

Paul Lipman, CEO de BullGuard, afirma que «las pequeñas empresas no son inmunes a los ciberataques y brechas de datos, y suelen ser objeto de ataques específicos, ya que generalmente no priorizan la seguridad. Existen soluciones inadecuadas para consumidores y softwares empresariales demasiado complejos que derivan en que muchos propietarios de pequeñas empresas ignoren la ciberseguridad. No obstante, basta con un ataque para forzar a una empresa a la rendición».

Solución: Un ciberataque a una pequeña empresa puede ser devastador. Entender que se pueden producir ataques a este nivel es primer paso para crear un plan de defensa.

Existen dificultades como recursos limitados y problemas de contratación. Para ello se han creado soluciones de seguridad web especializadas, como Siteimprove Web Security, teniendo en mente las necesidades de las empresas más pequeñas. Estas soluciones están diseñadas para ayudar a equipos pequeños a comprender y mejorar su seguridad web sin tener que lidiar con la complejidad de un software de seguridad empresarial.

Refuerza tu salud cibernética con Siteimprove Web Security

Algo en común de todos estos errores es que pueden mitigarse mediante un enfoque proactivo, automatizado y conjunto de la seguridad del sitio web. La mejor forma de proteger tu empresa frente a los ciberataques es incorporar la seguridad web como parte de tu estrategia digital.

Seguir las mejores prácticas de seguridad web, formar a los empleados sobre concienciación cibernética e invertir en tecnologías de defensa puede proteger tu empresa de la creciente amenaza de la ciberdelicuencia.

Queremos ayudarte a proteger a tu empresa, sitio web y clientes de los ciberdelincuentes. Por eso, hemos lanzado Siteimprove Web Security. Una herramienta que conecta la TI y el resto de la organización. Siteimprove Web Security te da una visión general clara de las vulnerabilidades de seguridad de tu sitio web (aplicación web, red y servidor) con recomendaciones priorizadas y factibles para solucionarlas.

Descubre en nuestro blog cómo las funciones de Siteimprove Web Security te ayudan a proteger tu sitio web.