La ciberseguridad es en una pieza clave para la supervivencia y el crecimiento de cualquier negocio, independientemente de su tamaño. Sin embargo, muchas pymes y profesionales autónomos siguen pensando que los ciberataques son un problema exclusivo de las grandes corporaciones. Nada más lejos de la realidad. Los ciberdelincuentes, cada vez más sofisticados, ven en estas pequeñas estructuras un objetivo fácil por su menor nivel de protección y la falta de recursos para hacer frente a un incidente grave.
Para profundizar en cómo las empresas pueden protegerse ante este escenario, hablamos con Leandro Hermida, director general de Tecnologías de la Información (CIO) de Ibercaja, que nos ofrece una visión clara sobre los riesgos actuales, los errores más comunes y las claves para que cualquier organización, por pequeña que sea, empiece a construir una estrategia eficaz de ciberseguridad.
¿La ciberseguridad es solo cosa de grandes empresas o también debería preocupar a las pymes y autónomos?
La ciberseguridad es una cuestión que afecta a todo tipo de empresas. El impacto de un incidente de este tipo en una pyme o en un autónomo podría ser incluso mayor que en una gran empresa por no tener, quizás, los suficientes medios para gestionarlo o incluso asumir el impacto económico en caso de materializarse. Un ejemplo puede ser la pérdida de toda la información y no poder operar durante un determinado tiempo.
¿Qué tipo de ataques son más habituales en el entorno empresarial?
Los ataques pueden ser muy diversos y cada vez son más frecuentes y complejos, pudiendo darse desde ataques genéricos a cualquier empresa a otros más dirigidos, phishing, malware, etc.
Con diferencia, el incidente de seguridad que más daño está haciendo al entorno empresarial es cuando un ataque se convierte en un incidente de tipo ransomware. En este tipo de incidentes el impacto puede ser muy alto, ya que pueden llegar a cifrar toda la información crítica y además pedir un rescate para recuperarla, lo que puede llegar a paralizar la actividad de la compañía durante mucho tiempo. Algunas veces también se realiza una extracción de la información más sensible amenazando con pedir un rescate a cambio de no hacer pública la información sustraída en Internet.
«El impacto de un incidente de este tipo en una pyme o en un autónomo podría ser incluso mayor que en una gran empresa por no tener, quizás, los suficientes medios para gestionarlo»
¿Qué errores cometen con más frecuencia las pymes en materia de ciberseguridad?
En general, pensar que por ser pequeño no pueden ser objetivo de este tipo de ataques y que es más un problema de grandes empresas. Esto hace precisamente que por esa falta de medidas de seguridad y recursos sean un blanco más fácil y por tanto más rentable que atacar a una gran compañía que puede requerir mayores recursos y tiempo.
En general, las pequeñas empresas solo hacen foco en implantar medidas técnicas de protección, pero no hacen tanto foco en concienciar a los empleados, protegerse adecuadamente, poder detectar y responder ante ataques, tener copias de seguridad de los datos, etc.
¿Qué puede suponer, en términos económicos y de reputación, un ciberataque a una pyme?
En cuanto a la reputación, aunque es importante, quizá el impacto sea menor que en una gran compañía ya que puede no haber tanta repercusión en los medios. Pero a nivel económico, el impacto puede ser muy grande, tanto que puede poner en riesgo la viabilidad del negocio, ya que en general no disponen de tantos medios para poder paliar los efectos de un ciberataque y poderse recuperar ante este tipo de situaciones de desastre.
Las pymes son un punto vulnerable por donde se cuelan los ciberataques a compañías más grandes con las que colaboran. ¿Cómo se puede reforzar la seguridad conjunta?
Debe haber una revisión del servicio que se va a contratar antes de llevarse a cabo, en cuanto a ciberseguridad especialmente, pero también del nivel de cumplimiento de GDPR en caso de que haya cesión de datos personales y realizar un análisis exhaustivo de riesgo tecnológico. En resumen, hay que tener claro cuáles son los riesgos del servicio que se presta, los controles mínimos exigibles y realizar un análisis de los mismos para valorar si son asumibles.
A nivel contractual, también debe quedar reflejado los compromisos asumidos por las partes en estas materias y también debe reflejarse que, en caso de incidente de seguridad, el proveedor debe notificarlo en el menor tiempo posible, de manera que se puedan tomar medidas de contención para evitar la propagación a la empresa que contrató el servicio.
También deben realizarse revisiones periódicas para asegurar la continuidad del cumplimiento con los requerimientos iniciales exigidos y que la situación de riesgo no haya variado con el tiempo.
Desde Ibercaja, ¿cómo ayudáis a vuestros clientes empresariales en materia de ciberseguridad?
Asesoramos e informamos a nuestros clientes por distintos medios de manera periódica para concienciar a nivel de ciberseguridad. Se utilizan varios medios como contenidos en newsletters, redes sociales, blog, web pública, consejos en el login de banca electrónica. Tenemos planes de concienciación a clientes que se revisan y actualizan anualmente.
¿Qué debería priorizar una pyme que quiere empezar a construir una estrategia de ciberseguridad con pocos recursos?
Lo primero y más básico, aunque no siempre es evidente, es analizar cuáles son los sistemas e información más crítica junto con los riesgos más relevantes a los que la empresa se expone por su tipología de negocio y actividad. En función de este análisis, hay que establecer unas prioridades, en cuanto a medidas de protección y de gestión de alertas e incidentes para implantar.
Una de estas prioridades debería ser siempre la concienciación de los empleados, ya que es el eslabón más débil y suele ser el principal objetivo de los ataques y como comienzan la mayoría de los incidentes de seguridad. Otra es implantar una buena política de copias de seguridad de la información, algo crítico para poderse recuperar en caso de incidente grave.
«Una de las prioridades debería ser siempre la concienciación de los empleados, ya que es el eslabón más débil y suele ser el principal objetivo de los ataques»
Mantener siempre actualizados los sistemas informáticos y si es posible implantar un sistema avanzado antimalware (EDR), o si no es viable al menos un antivirus básico es otra de las cuestiones prioritarias a tener en cuenta y utilizar un segundo factor de autenticación en todos los accesos externos de la compañía y una política de contraseñas robusta.
Si adicionalmente la empresa presta algún servicio online en Internet, asegurarse que tanto la aplicación y sistemas están correctamente actualizados, y si no es una aplicación comercial, contratar una auditoría de hacking para verificar que no tiene vulnerabilidades en la medida de lo posible.
¿Qué herramientas básicas y asequibles debería tener cualquier empresa para protegerse frente a amenazas digitales?
Como hemos comentado, al menos una herramienta para realizar backups, configurar los sistemas para actualizarse periódicamente y, si es posible por presupuesto, un sistema antimalware avanzado (EDR) o en su defecto un antivirus básico.
Los sistemas de segundo factor de autenticación también suelen ser herramientas disponibles en casi todos los servicios expuestos a internet de manera gratuita, por tanto, hacerlo obligatorio para los empleados, tiene un bajo coste y mucho beneficio.
¿Es necesario contar con expertos externos o se puede empezar con recursos internos y soluciones sencillas?
Con unos conocimientos básicos de informática, es posible mantener las herramientas más básicas de seguridad que se han comentado. Para la concienciación de los empleados también hay material público que puede utilizarse para formarlos e incluso entrenarlos. INCIBE dispone en su página web de un KIT de concienciación y entrenamiento gratuito listo para utilizar.
¿La ciberseguridad puede convertirse en un valor añadido para las empresas?
Sí, por su puesto ya que genera confianza porque los clientes saben que sus datos están más seguros y por tanto se gana en confianza y fidelidad. Facilita cumplir normativas y regulaciones en materia de ciberseguridad. La ciberseguridad puede ser ventaja frente a competidores si se utiliza para aportar valor añadido a los clientes. También mejora la reputación de la compañía.
¿Qué mensaje final lanzarías a los emprendedores que aún no cuentan con medidas de protección digital?
Que no lo dejen como última prioridad, la ciberseguridad debe ser parte de la estrategia de la compañía desde el comienzo y que afecta a cualquier empresa, da igual el tamaño que tenga o el sector al que pertenezca.
