Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
REPORTAJE

Ciberseguridad: un gran reto para las pymes

16/10/2018 - Tx: David Marchal / Ft: RED SEGURIDAD
En los últimos años, las amenazas cibernéticas han afectado a un número creciente de empresas españolas, especialmente a las pequeñas y medianas. afortunadamente, poco a poco, las pymes se van concienciando de la necesidad de poner en marcha una estrategia de ciberseguridaD, aunque todavía les queda camino por recorrer.

Hace aproximadamente un año, la empresa de investigación de mercados Ponemon Institute, en colaboración con Keeper Security, publicó un informe, denominado 2017 State of Cybersecurity in Small & Medium-Sized Businesses (SMB), en el que analizaba la situación de la ciberseguridad en las pequeñas y medianas empresas de todo el mundo, entrevistando para ello a más de 600 representantes de estas. Los resultados fueron bastante concluyentes: El 61 por ciento de los encuestados indicó que sus compañías habían sufrido un ataque cibernético en los últimos 12 meses; mientras que el 54 por ciento confirmó haber tenido violaciones de datos que involucraron información de clientes y empleados durante ese mismo periodo de tiempo.

Esta situación, por supuesto, es extrapolable a las pequeñas y medianas empresas españolas. No en vano, y de acuerdo con los datos que maneja el Instituto Nacional de Cibserguridad (Incibe), el 70 por ciento de los ataques que tuvieron lugar el año pasado fueron dirigidos a pymes. 

Esa cifra tan alta es consecuencia del aumento progresivo del número de amenazas que se lleva produciendo en los últimos años. Sin ir más lejos, según el informe McAfee Labs Threat Report, durante el pasado mes de junio "se registró una media de cinco nuevas muestras de malware por segundo, incluyendo amenazas que denotan un notable desarrollo técnico y que mejoran las últimas tecnologías y tácticas, con el fin de superar las defensas de sus objetivos", explica Ángel Ortiz, director regional de McAfee para España. Otro ejemplo de este incremento es que Incibe gestionó durante los primeros siete meses del año cerca de 100.000 ciberincidentes, según informó su director general, Alberto Hernández, durante la inauguración de la tercera edición del Cybersecurity Summer BootCamp en León.

Entre esta clase de ataques, el ransomware continúa siendo una de las amenazas más habituales en el entorno de las pymes. "Las consecuencias de este tipo de ataques pueden llegar a ser realmente graves para cualquier organización, ya que, aparte de las pérdidas económicas asociadas al pago de un rescate, puede paralizar toda la actividad de un negocio, afectando a su reputación de marca y a la confianza de sus clientes y partners", reconoce Ortiz, de McAfee. 

Paralelamente, en los últimos años, el phishing también se ha convertido en otro de los métodos más exitosos para acceder a la red de datos de una compañía. De esta forma, los atacantes atraen a los empleados a hacer 'clic' en los enlaces con el objetivo de descargar el troyano y ofrecer a los ciberdelincuentes acceso a la red.

En todos estos casos, lo mismo da que la víctima sea una gran empresa que una pequeña o mediana. De hecho, tal y como apunta Antonio Febrero, director de Afa Solutions, "los riesgos a los que se enfrenta una pyme son los mismos que una compañía de mayor tamaño, pero la primera es más vulnerable, ya que un problema puede implicar hasta la pérdida de la empresa, al no disponer de los mismos recursos".

Es más, en algunos casos, tal y como apunta Febrero, "muchas pymes no dan la importancia necesaria a la ciberseguridad y no ponen medidas para protegerse en sus empresas. Claro que, cuando sufren algún problema, que por regla general suele ser grave y no siempre solucionable, en ese momento se dan cuenta de que lo tenían que haber previsto".

En ese sentido, también se pronuncian Marco Antonio Lozano, coordinador de servicios de seguridad de Incibe, y Alfonso Ramírez, director general de Kaspersky Lab Iberia. Según el primero: "Por nuestra experiencia en la formación de pymes y en los diferentes congresos de empresarios en los que hemos participado, en muchas ocasiones las empresas no adquieren 'hábitos saludables' en ciberseguridad hasta que han sido objeto de algún incidente". 

Para Ramírez, "todavía muchas pequeñas y medianas empresas no cuentan con una estrategia de seguridad adecuada. Y es un problema, porque son uno de los objetivos principales de los cibercriminales, a pesar de que gran parte de ellas creen que están a salvo porque su tamaño no las hace interesantes frente a los ciberdelincuentes". 

Por todo ello, la Guía de Seguridad ICC para los negocios, publicada por la Cámara de Comercio Internacional, analiza esta situación: "Desde una perspectiva empresarial, es vital que la empresa –grande o pequeña– sea capaz de identificar sus riesgos para la ciberseguridad y gestionar eficazmente las amenazas a sus sistemas de información. Al mismo tiempo, todos los gerentes de negocios, incluyendo ejecutivos y directores, deben reconocer que la gestión del ciberriesgo es un proceso continuo, donde no hay, ni nunca la habrá, una seguridad absoluta".

Sobre este tema también se pronuncia Lozano, de Incibe, para quien la dirección de las empresas percibía, hasta hace poco, la inversión en ciberseguridad "más como un gasto que otra cosa". Afortunadamente, continúa, "este tipo de sensación ha cambiado y cada vez más se considera que el gasto en ciberseguridad es una inversión que puede permitir que el negocio, además de seguir operando con normalidad, genere más confianza frente a los clientes". No en vano, tal y como afirmó el presidente de CEPYME, Antonio Garamendi, durante la celebración de las IV Jornadas de Ciberseguridad en la empresa hace pocos meses, tras advertir acerca de los riesgos a los que se enfrentan las empresas: “Los empresarios queremos la ciberseguridad y tenemos que ser capaces de solventar las amenazas”.

Concienciación

Para ello, el primer paso que deben dar las pymes, según todos los profesionales consultados, es apostar por la concienciación de los empleados, algo en lo que poco a poco se va avanzando, sobre todo a raíz de los incidentes del ejercicio pasado, como puntualiza Lozano, de Incibe: "2017 fue el año en que las empresas se concienciaron en ciberseguridad, gracias a la difusión que la prensa dio al ataque de WannaCry. Esto permitió a muchas organizaciones tomar conciencia en relación a las amenazas y riesgos existentes en Internet".

Para Ramírez, de Kaspersky Lab Iberia, las pymes "cada vez son más conscientes de los riesgos y van implementando estrategias de ciberseguridad que ayuden a proteger sus infraestructuras, muchas veces gracias a la Seguridad como Servicio.

Y esto, además, viene acompañado de la puesta en marcha de una serie de estrategias corporativas para impulsar distintos planes de gestión de la seguridad, de continuidad de negocio y de cumplimiento legal, entre otros. Por todo ello, según Febrero, de Afa Solutions, "es muy importante que los directivos sean conscientes de la necesidad de implantar estas políticas en sus empresas".

Importancia de la formación

Aparte de tenerlo claro las altas jerarquías de las pequeñas y medianas empresas, también es importante que los empleados conozcan los riesgos a los que se enfrentan. No en vano, diversos estudios reflejan que entre el 70 y el 80 por ciento de los incidentes en ciberseguridad tienen un denominador común, las personas, pues son el elemento más vulnerable. Estos problemas, en su mayor parte no intencionados, a juicio de Lozano, de Incibe, "son generados en gran medida por el desconocimiento, la falta de concienciación y de formación para que, por ejemplo, un empleado sea capaz de detectar un phishing o una suplantación".

Por este motivo, es esencial mantener al empleado "alerta" para que sea capaz de identificar cualquier posible problema que se dé en cualquier escenario de la organización. "Esto solo se consigue formando y concienciando de manera adecuada y con un aprendizaje continuado en ciberseguridad, puesto que las amenazas evolucionan muy rápidamente", afirma Lozano, quien añade: "Las acciones formativas que habría que llevar a cabo deberán estar relacionadas con los servicios que maneja el empleado. De ese modo, sabrá cómo actuar para evitar la mayor parte de problemas de ciberseguridad relacionados con las tecnologías que gestiona".

Este problema también lo constatan en Kaspersky Lab, cuyo informe sobre ciberseguridad B2B de 2018 recoge que los especialistas internos no siempre tienen la suficiente experiencia o conocimientos para enfrentarse a este desafío. El 14 por ciento de las empresas entre 50 y 249 empleados confía la gestión de seguridad TI a personal que no es especialista en TI. Esto, en opinión de su director general en España, "puede dar lugar a la aparición de riesgos reales para la ciberseguridad de las empresas, que no siempre pueden o tienen tiempo para evaluar, al concentrar la mayor parte de su atención en el desarrollo de sus negocios".

Así también lo ve Ortiz, de McAfee, para quien uno de los principales retos a los que se enfrentan las organizaciones a la hora de implementar su estrategia de seguridad es "la falta de personal cualificado o la experiencia suficiente para diseñar y ejecutar esta estrategia". "Sin duda, la escasez de perfiles de ciberseguridad es un hándicap a nivel estratégico que tienen muchas de estas empresas", reconoce.

Además, a esto hay que sumar que muchos trabajadores ocultan aquellos incidentes en los que se han visto involucrados, provocando que las consecuencias sean más graves si los equipos de TI no llegan a identificar la amenaza a tiempo. Y es que la implementación de medidas de seguridad es un proceso técnico-administrativo. Por lo tanto, según Febrero, de Afa Solutions, "intervienen diferentes roles dentro de la empresa, siendo imprescindible contar con personal formado en ciberseguridad o empresas especializadas para poder definir la mejor estrategia dentro de la compañía dependiendo de sus necesidades".

Otras soluciones

Ahora bien, aparte de la concienciación y la formación, también hay otras claves para protegerse de las amenazas, las cuales pasan, por supuesto, por la tecnología. "Para hacer frente a la cada vez mayor sofisticación de los ataques, es necesario tener una visión holística de la seguridad y abordar el ciclo completo de defensa frente a amenazas ('proteger-detectar-corregir'). En ese sentido, técnicas avanzadas como el aprendizaje automático o el análisis de comportamiento de usuarios son de gran utilidad", sostiene Ortiz, de McAfee, quien también considera que contar con arquitecturas más abiertas y la compartición de inteligencia de amenazas son aspectos fundamentales para responder ante cualquier ataque de forma eficaz y facilitar que el entorno de las pequeñas y medianas empresas sea más seguro.

Ramírez, de Kaspersky Lab Iberia, ve necesario trabajar en "un enfoque de seguridad adaptativa para reducir de forma significativa el riesgo de ataques y también los daños que pueden ocasionar, basado en una estrategia que previene, detecta, responde y predice". Por otro lado, se muestra convencido de la importancia de la Seguridad como Servicio, que "abre una puerta a las pymes a plataformas de seguridad capaces de proteger toda su información con una menor inversión y recursos dedicados".

Apoyo institucional

En todo este camino que han de recorrer las pymes para proteger sus sistemas de la información, también desempeñan un papel importante las instituciones como bastón sobre el que apoyarse durante su viaje hacia la protección total. En este sentido, Incibe es uno de los organismos públicos más activos a la hora de dotar de herramientas de salvaguarda a este tipo de empresas. "Desde el año 2014, ofrecemos de manera específica servicios de ciberseguridad con carácter gratuito y dirigidos exclusivamente a empresas del ámbito pyme a través de nuestra página web", apunta Lozano.

Además, esta institución cuenta con multitud de iniciativas y acciones para promover el uso seguro de las tecnologías, así como divulgar y concienciar en ciberseguridad. En primer lugar, proporciona servicios de información a través de un blog para ofrecer toda la actualidad relativa a cuestiones en ciberseguridad que afectan a las empresas, con avisos de seguridad que permiten reaccionar rápidamente ante amenazas. Además, cuenta con dosieres de ciberseguridad que explican desde la necesidad de implementar un plan director de seguridad, hasta cómo contratar los servicios, pasando por la protección de las páginas web de la empresa.

Aparte de esto, tienen herramientas de autodiagnóstico para trazar una línea base de la situación actual en la empresa en lo relativo a la ciberseguridad, y un kit de concienciación. En palabras de Lozano, "se trata de una utilidad que se ha diseñado para elevar el nivel de concienciación en ciberseguridad en una empresa a través de las diferentes acciones que se proponen y que van desde el ataque dirigido inicial, hasta la formación específica en diferentes ámbitos, pasando por una labor de educación continua".

Formación sectorial, actividades de gamificación, servicio de respuesta ante incidentes o celebración de talleres y seminarios son otras de las acciones de que dispone INCIBE para hacer que las pymes continúen mejorando en ciberseguridad. 

Palabras clave:

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual