Desde hace varios años, los ciberataques han sido uno de los mayores riesgos empresariales para las empresas alemanas. Por encima de todo, los efectos negativos, como la pérdida de datos o las interrupciones prolongadas del negocio, están causando problemas a las empresas. Para algunos, un ciberataque puede incluso amenazar su existencia. Reducir el propio riesgo cibernético y, por tanto, evitar los ciberataques debería estar en la cima de la lista de prioridades para las empresas, especialmente las pequeñas y medianas.

Para minimizar estos riesgos, las organizaciones deben adoptar un enfoque holístico. Además de las medidas preventivas y la gestión establecida de emergencias, esto también incluye evaluaciones de riesgos. Con el Security Baseline Check (SBC), Perseus ha desarrollado un enfoque orientado principalmente a los requisitos y necesidades de las pequeñas y medianas empresas.

En la siguiente entrevista con Eugen Leikom, Product Manager for Risk Assessment y SBC, aprenderás sobre las funciones del SBC, qué investigaciones específicas se están realizando, cómo las empresas se benefician del uso del SBC y qué visión nuestro Product Manager Eugen aún tiene para el SBC.

Eugen, ¿puedes darnos una visión general de qué es la Security Baseline Check y cómo funciona fundamentalmente?

La Verificación de Línea Base de Seguridad es una revisión de los estándares básicos de seguridad en las empresas. Se utiliza para analizar la infraestructura de TI de las empresas y para destacar el potencial de optimización. Es el primer paso para entender el cumplimiento de las medidas básicas organizativas y técnicas de seguridad en las empresas. El SBC es especialmente adecuado para empresas con hasta 100 estaciones de trabajo informáticas.

El SBC consta de dos partes: un cuestionario y un chequeo en vivo. Durante la comprobación en vivo, se comprueban sistemas seleccionados para comprobar si se cumplen los estándares de seguridad. A partir de esto, se hacen recomendaciones para mejorar y cerrar posibles fuentes de peligro. Si es necesario, también se examina los sistemas desde el exterior. De este modo, se pueden identificar nuevas brechas de seguridad que pueden ser explotadas desde el punto de vista de los atacantes criminales.

¿Cuál fue la razón del desarrollo de la Comprobación de Línea Base de Seguridad? ¿Había algún vacío específico en el mercado que Perseo quisiera cubrir?

Una revisión periódica del estado actual de la seguridad informática es esencial para las empresas. Quieren demostrar que están tomando medidas activas para proteger sus sistemas y que están mejorando continuamente. Sin embargo, a menudo existe incertidumbre sobre si los estándares de seguridad actuales son suficientes. De forma similar al TÜV para vehículos, las empresas quieren que un experto externo confirme que su TI sigue siendo «apta para circular». Especialmente en seguridad informática, lo que ayer se consideraba seguro puede que mañana no sea suficiente.

¿En qué se diferencia el Security Baseline Check de otras herramientas de evaluación de ciberseguridad del mercado?

La Verificación de Línea Base de Seguridad se diferencia de otras herramientas de evaluación de ciberseguridad del mercado por su enfoque único. Mientras que otras comprobaciones de seguridad suelen centrarse en requisitos técnicos o medidas organizativas, el SBC ofrece ambos. En una conversación personal con el cliente, revisamos los requisitos técnicos y discutimos las medidas organizativas que se implementarán en la empresa. Nuestro enfoque está específicamente adaptado a las necesidades de las pequeñas y medianas empresas (PYMES) para proporcionarles una visión completa del estado de su infraestructura informática.

¿Cuáles son los puntos fuertes únicos de la Comprobación de Línea de Seguridad que crees que atraerán a los clientes y/o compañías de seguros?

«Los puntos de venta únicos del Security Baseline Check, que atraerá tanto a clientes como a compañías de seguros, son múltiples. Primero, proporcionamos una verificación de seguridad independiente que genera confianza y transparencia. En segundo lugar, nuestro servicio está específicamente adaptado a las necesidades de las pequeñas y medianas empresas (pymes), lo que significa que tenemos un profundo conocimiento de sus retos y necesidades específicas. En tercer lugar, nuestro enfoque se basa en las causas reales de los incidentes de seguridad que afectan a las pymes. Este enfoque práctico garantiza que nuestras recomendaciones se dirijan directamente a las amenazas y vulnerabilidades reales de las empresas.»

¿Puede describir los principales beneficios que una empresa puede esperar tras utilizar la Security Baseline Check?

A través de una revisión independiente de seguridad, las empresas reciben una evaluación objetiva de su nivel actual de seguridad. Esto genera confianza y transparencia, tanto internamente como hacia clientes y socios comerciales.

Tras utilizar la Security Baseline Check, las empresas reciben un informe detallado que proporciona una evaluación de hasta qué punto cumplen los estándares mínimos requeridos de seguridad informática. Esta presentación clara y comprensible ayuda a las empresas a mejorar sus medidas de seguridad de manera específica y mantenerlas actualizadas.

Revisar y ajustar regularmente las medidas de seguridad fomenta la mejora continua y ayuda a las organizaciones a prepararse mejor para futuras amenazas.

¿Cómo encaja la Comprobación de Línea Base de Seguridad en la estrategia global de ciberseguridad de una empresa?

La Verificación de Línea Base de Seguridad (SBC) encaja perfectamente en la estrategia global de ciberseguridad de una organización. Es una parte esencial del seguimiento y revisión continua de las normas de seguridad. Como parte integral de la gestión holística del riesgo, en la que la seguridad informática es cada vez más importante, el SBC ayuda a mejorar continuamente la postura de seguridad de la empresa.

«Una estrategia integral de seguridad informática consta de cuatro partes centrales: prevención, evaluación de riesgos, respuesta ante emergencias y protección contra riesgos. La Verificación de Línea Base de Seguridad desempeña un papel crucial en la evaluación de riesgos. Al revisar de forma regular y sistemática las medidas de seguridad informática, el SBC identifica posibles vulnerabilidades y amenazas, convirtiéndolo en un elemento indispensable de una estrategia eficaz de seguridad informática.»

¿Qué tipo de empresas o sectores pueden beneficiarse más de la Security Baseline Check?

La Comprobación de Línea Base de Seguridad ofrece ventajas significativas, especialmente para las pequeñas y medianas empresas (PYMES) que no dependen completamente de soluciones en la nube. Las empresas cuyo fallo en los sistemas provoca interrupciones operativas son especialmente beneficiosas, ya que la SBC ayuda a garantizar la fiabilidad y seguridad de su infraestructura informática. Esto afecta a empresas de todos los sectores, ya que casi todos dependen de un entorno de TI estable y seguro.

Para las empresas que pertenecen a infraestructuras críticas (KRITIS) o que están sujetas a la Directiva NIS2, son necesarias revisiones más profundas. Sin embargo, el SBC proporciona una base sólida y puede servir como primer paso para identificar vulnerabilidades de seguridad y tomar acciones específicas. De este modo, la SBC garantiza que las empresas no solo cumplan con sus estándares de seguridad actuales, sino que también estén preparadas para futuros desafíos.

¿Existe alguna historia de éxito en la que la Comprobación de Línea Base de Seguridad haya mejorado la postura de ciberseguridad de un cliente?

Una notable historia de éxito de la Security Baseline Check muestra cómo ha mejorado significativamente la postura de ciberseguridad de un cliente. A menudo, los clientes solo se dan cuenta durante la cita de que sus copias de seguridad de datos críticas para el negocio están sujetas a un alto riesgo. El SBC cubre no solo vulnerabilidades que pueden ser explotadas por hackers, sino también fallos técnicos.

Un ejemplo especialmente impresionante es un caso en el que descubrimos durante la comprobación en tiempo real que las copias de seguridad no se habían realizado durante semanas. El proveedor de servicios informáticos del cliente había afirmado firmemente que habría mensajes de error en caso de copias de seguridad fallidas. Esta evaluación incorrecta podría haber provocado una pérdida significativa de datos.

Los clientes que se dan cuenta a través del SBC de que no han tenido en cuenta ciertas eventualidades reciben información valiosa. Estas ideas les dan algo en lo que pensar y les ayudan a posicionarse con más confianza para el futuro. Estos éxitos demuestran cómo la Security Baseline Check ayuda a mejorar la postura de seguridad de una organización y a prepararla mejor frente a diversas amenazas.

¿Cuál es la visión para el futuro de la Comprobación de Línea Base de Seguridad? ¿Hay alguna novedad o mejora que nos entusiasme?

La visión para el futuro de la Security Baseline Check (SBC) es mejorar continuamente la postura de ciberseguridad de las organizaciones y adaptarse a las amenazas en constante evolución. Una de nuestras últimas novedades es la integración de escaneos externos con Hacktor de Enginsight, que ofrecemos con un informe completo. Esta función descubre vulnerabilidades visibles públicamente que también pueden ser detectadas por atacantes, como servidores sin parchear o accesos de mantenimiento abiertos.

En el futuro, nos centraremos más en la seguridad del correo electrónico. Los ataques en los que se falsifican números de cuenta en facturas digitales están provocando cada vez más pérdidas financieras significativas en el rango de cinco dígitos. Estos ataques suelen deberse a estándares débiles de seguridad del correo electrónico. Todavía hay mucha necesidad de comprensión y mejora, especialmente entre las pequeñas y medianas empresas (PYMES).

Nuestras mejoras continuas y nuevas funcionalidades tienen como objetivo proteger proactivamente a las organizaciones frente a amenazas emergentes y proporcionarles las herramientas y conocimientos necesarios para mejorar continuamente su seguridad informática. Con estas medidas, queremos garantizar que el SBC siga siendo una herramienta indispensable para la estrategia de ciberseguridad de las empresas en el futuro.

¿Por qué deberían las organizaciones elegir la Security Baseline Check en lugar de una prueba de penetración más profunda u otras evaluaciones detalladas?

La Security Baseline Check ofrece una alternativa rentable y que ahorra tiempo. Especialmente para muchas pequeñas empresas, este tipo de inspección regular ya es suficiente. Una prueba de penetración costosa y que consume mucho tiempo suele ser sobredimensionada y no necesaria para tus necesidades. El SBC proporciona información precisa sobre los estándares básicos de seguridad y permite a las organizaciones monitorizar y mejorar eficazmente su seguridad informática sin sobrepasar el presupuesto ni comprometer recursos innecesariamente.

En cuanto a nuestros socios de seguros: ¿Cómo puedes beneficiarte al máximo de la SBC? ¿Qué hallazgos son especialmente relevantes para las aseguradoras?

Nuestros socios de seguros pueden beneficiarse especialmente de la Security Baseline Check (SBC) motivando a sus clientes a completarla. La SBC aumenta significativamente la seguridad de los clientes, aunque solo sea cuestión de aumentar la conciencia sobre las medidas de seguridad.

Ciertos hallazgos también son especialmente relevantes para las aseguradoras: si la SBC está vinculada a beneficios en seguros, esto motiva aún más a las compañías a hacer más por su seguridad. Esto puede compensarse con primas más bajas para las compañías aseguradas, lo que puede demostrar un menor riesgo de incidentes de seguridad a través de la SBC. Esta reducción específica del riesgo puede ayudar a las aseguradoras a disminuir el riesgo global de su cartera mientras mejoran los estándares de seguridad de sus clientes.

¡Muchas gracias por la entrevista, Eugen!

Obtén más información sobre la Security Baselie Check, sus componentes y cómo realizarla aquí.