AltoDirectivo

Las startups deben ser conscientes de la importancia de protegerse frente a las ciberamenazas. “Muchos de los incidentes de seguridad relacionados con la protección de la información se pueden evitar simplemente realizando una configuración y uso seguro de las tecnologías y servicios que ya están siendo utilizados, lo cual es relativamente sencillo de llevar a cabo, especialmente en aquellas que estén basadas en servicios cloud” ha explicado el experto en Ciberseguridad de Sothis, Guillermo Conesa.

La compañía tecnológica ha ofrecido una jornada de concienciación sobre el uso de datos a startups en Lanzadera, la aceleradora de empresas de Juan Roig, en la que Conesa ha subrayado que muchas de las brechas de seguridad “se inician con un ataque de ingeniería social, habitualmente un phishing, en el que se induce a realizar acciones de riesgo, comprometiendo así la seguridad. Esto convierte a los usuarios en la primera línea de defensa, por lo que las iniciativas de formación y concienciación en materia de ciberseguridad son fundamentales y si, además, se desarrollan de manera continuada en el tiempo, se conseguirá arraigar una cultura de la ciberseguridad en la empresa”.

Para el experto, “las startups deben focalizarse primero en proteger aquella información que sea más sensible, de modo que tienen que priorizar los esfuerzos en aquellas áreas que reduzcan más el riesgo”.

Asimismo, ha destacado que, según el informe de Verizon DBIR (2019) “el 71% de las brechas de seguridad tienen una motivación financiera. Esto fomenta que la industria del cibercrimen sea un negocio muy lucrativo y, por tanto, que las tendencias en cuanto a incidentes sigan al alza”. En este sentido, ha comentado que, de media, las empresas tardan unos 50 días en detectar un incidente, lo cual hace que “las estrategias de monitorización de la seguridad deban ser tomadas en cuenta de manera prioritaria; trabajar solo en la prevención y protección ya ha dejado de ser suficiente”.

También ha señalado que los grandes retos de las startups en materia de seguridad son la formación y concienciación; evaluar la configuración y uso seguro de los servicios cloud; desarrollar una estrategia para aquellos trabajadores que llevan sus dispositivos portátiles para realizar tareas y se conectan a la red y recursos corporativos; preparar un plan de respuesta ante incidentes que involucren información de carácter personal, y la ejecución de backups de datos críticos. Todo ello debe ser gobernado y priorizado desde una perspectiva de riesgos.

Por su parte, Raúl Prieto, responsable del Departamento Gobierno de Seguridad de la Información de Sothis, ha hecho hincapié en que cualquier startup, solo por el hecho de utilizar datos personales, “debe cumplir con el reglamento general de protección de datos. Siempre hay que avisar a los clientes que se registren en una plataforma sobre la manera en la que se va a usar esta información. Además, se deben tomar medidas de protección, ya que existen riesgos de seguridad importantes y pueden haber brechas de seguridad”.

Prieto ha apuntado que algunos de los posibles riesgos pueden afectar a la política de privacidad, aviso legal y cookies genéricas; a la recogida excesiva de datos; a la ausencia de sistema de verificación de menores, o al no bloqueo por ataque de fuerza bruta, entre otros.

La seguridad de una startup, desde el principio

En la jornada también ha participado la inspectora de datos de la Agencia Española de Protección de Datos (AEPD), Blanca Muñoz, quien ha subrayado que la seguridad es “un aspecto fundamental, por lo que una startup debe contemplarla desde el principio. Las medidas que desarrollen deben adecuarse al riesgo que entraña el tratamiento para los derechos y libertades de los interesados, para lo cual es necesario un análisis de riesgos. Además, las startups tiene la posibilidad de subcontratar la figura del Delegado de Protección de Datos (DPD)”.

Así pues, ha detallado que más del 50% de los incidentes analizados por el INCIBE durante 2018 han estado relacionados con el fraude informático, principalmente con ataques de phishing.

Mientras, Diana Suárez, Técnico de Gestión de Proyectos del Instituto Nacional de Ciberseguridad (INCIBE) ha presentado el organismo a las startups, cuyo objetivo es afianzar la confianza digital, elevar la ciberseguridad y la resiliencia y contribuir al mercado digital de manera que se impulse el uso seguro del ciberespacio en España.

*Si te ha resultado interesante este artículo, te animamos a seguirnos en TWITTER y a suscribirte a nuestra NEWSLETTER DIARIA.

Alto Directivo