Consejos sobre ciberseguridad para startups

Nuestro mentor Antonio Gil tiene una larga trayectoria en este ámbito, una experiencia que le avala y unos conocimientos que hacen de su figura un bastión imprescindible para las startups de Andalucía Open Future. Auditor y responsable de seguridad de la información en Softcom y Legalizatech, advisor en ciberseguridad, asesorando a las startups de El Cubo, y un sinfín de cargos desempeñados en su carrera definen su curriculum. Además, colabora en congresos y cursos relacionados con ciberseguridad en distintos organismos y universidades.

Como auditor de seguridad de la información en Softcom y perito judicial tecnológico en APTAN, tenemos una visión 360º de la ciberseguridad, actuando también después del incidente. Conocemos muy bien la norma 27001 de seguridad de la información y trasladamos a nuestros clientes esa guía de buenas prácticas, que toda empresa debería tener y aplicar

Como mentor de Andalucía Open Future, mi labor es la de asesorar a las startups en materia de ciberseguridad con un enfoque técnico pero también de negocio, dada mi experiencia como empresario con más de 28 años en el sector TIC. Se trata de un tema complejo por las diferentes aristas que tiene, pero que sin duda afecta de forma transversal a todas las áreas de la empresa.

La idea es que tanto los socios como el personal contratado o subcontratado, tomen conciencia de la importancia que tiene la seguridad de la información que manejan dentro de la empresa y de que si no hacen una gestión responsable de la misma, puede peligrar la continuidad de su negocio. Si nos gusta tener un buen equipo cohesionado y bien coordinado, ¿por qué a veces descuidamos la seguridad de nuestra información?

 

Antonio Gil
Antonio Gil (en el centro de la imagen) en una mentorización con emprendedores en el espacio de crowdworking El Cubo

 

Normalmente suelo utilizar algún caso real que hayamos tenido como peritos, que ilustre sobre algún incidente concreto relacionado con su actividad, sobre todo para que entiendan que ninguna empresa por pequeña que sea, está exenta de riesgo, tratándose de ciberseguridad.

Invertimos en sistemas de seguridad a veces muy complejos y costosos, para impedir ataques desde el exterior, pero descuidamos la seguridad de nuestra información que suele estar en manos de nuestros empleados, ya que la necesitan para desempeñar su trabajo.

Algunos datos sobre la situación actual en España:

  • A diario son atacados entre 100.000 y 120.000 equipos en España.
  • 70% de los ciberataques no se publican
  • 60% de los ciberataques provienen de fuentes internas
  • Fabricantes (Software / hardware) descubren el 14% de las vulnerabilidades
  • 47% de las vulnerabilidades en Infraestructuras Críticas pueden ser aprovechadas por ciberdelincuentes de perfil bajo

Al igual que el ROI (Retorno de la Inversión) del que las empresas están muy concienciadas y forma parte de su ADN, existe un nuevo concepto llamado ROSI (Retorno de la Inversión en Seguridad de la información), que lamentablemente la mayoría desconocen o nunca se han planteado. Se trata de valorar/cuantificar que costes materiales, humanos, legales y pérdidas directas, tendría para mi empresa en caso de sufrir un ciberataque. Invertir en seguridad si es rentable cuando el coste Medio de un ciberataque en España es de 75.000 €

Algunos consejos sobre la aplicación del nuevo Reglamento Europeo General de Protección de Datos (RGPD):

  • El Reglamento incluye medidas como la obligación de implantar sistemas de cifrado y de doble factor de autenticación, incluso sobre los datos considerados de nivel básico, si el riesgo así lo exige
  • Todas las empresas están obligadas a comunicar las brechas de seguridad que pudieran producirse, por lo que deberán extraer información constante sobre los intentos de intrusión y los accesos no autorizados y notificarlos en el plazo correspondiente
  • Será obligatorio comunicar los detalles del fallo a las personas cuyos datos hayan podido verse afectados.
  • Recomiendan acreditar su cumplimiento mediante un Sistema de Gestión de Seguridad de la Información
  • Incorporar a sus plantillas la figura del Delegado de Protección de Datos (DPO) para que vele por el cumplimiento de la ley

Algunos consejos para las startups cuyo Core esté centrado en el desarrollo de apps

  • Cada desarrollador debería tener una formación en desarrollo seguro
  • Deberíais pasar auditorias de seguridad informática, Análisis estático y dinámico de código
  • Deberíais realizar pruebas de comunicación para ver si va correctamente cifrada, usar SSL/TLS
  • Deberíais almacenar la menor información posible en los dispositivos móviles
  • Si se usan servidoresverificar por Pentest que son seguros, ya que si la aplicación es segura, pero el servidor de contacto no, se puede extraer información sensible

Algunos consejos para mejorar la seguridad de las empresas

  • Instalar las actualizaciones del sistema
  • Instalar una solución de seguridad
  • Copias de seguridad
  • Identificar el phishing
  • Una contraseña segura
  • No al software ilegal
  • Cuidado con las Wi-Fi públicas
  • Respecto a la nube
  • Móvil seguro
  • ¡Sentido común!

 

Mas información en Andalucía Open Future_