redseguridad 082

48 red seguridad tercer trimestre 2018 reportaje pymes monográfico negocio, además de seguir operando con normalidad, genere más confian- za frente a los clientes". No en vano, tal y como afirmó el presidente de CEPYME, Antonio Garamendi, duran- te la celebración de las IV Jornadas de Ciberseguridad en la empresa hace pocos meses, tras advertir acerca de los riesgos a los que se enfrentan las empresas: “Los empresarios que- remos la ciberseguridad y tenemos que ser capaces de solventar las amenazas”. Concienciación Para ello, el primer paso que deben dar las pymes, según todos los profesionales consultados, es apostar por la concienciación de los empleados, algo en lo que poco a poco se va avanzando, sobre todo a raíz de los incidentes del ejercicio pasado, como puntualiza Lozano, de Incibe: "2017 fue el año en que las empresas se concienciaron en ciberseguridad, gracias a la difusión que la prensa dio al ataque de WannaCry. Esto permitió a muchas organizaciones tomar conciencia en relación a las amenazas y riesgos existentes en Internet". Para Ramírez, de Kaspersky Lab Iberia, las pymes "cada vez son más conscientes de los riesgos y van implementando estrategias de ciberseguridad que ayuden a proteger sus infraestructuras, muchas veces gracias a la Seguridad como Servicio. Y esto, además, viene acompañado de la puesta en marcha de una serie de estrategias corporativas para impulsar distintos planes de gestión de la seguridad, de continuidad de negocio y de cumplimiento legal, entre otros. Por todo ello, según Febrero, de Afa Solutions, "es muy importante que los directivos sean conscientes de la necesidad de implantar estas políticas en sus empresas". Importancia de la formación Aparte de tenerlo claro las altas jerarquías de las pequeñas y medianas empresas, también es importante que los empleados conozcan los riesgos a los que se enfrentan. No en vano, diversos estudios reflejan que entre el 70 y el 80 por ciento de los incidentes en ciberseguridad tienen un denominador común, las personas, pues son el elemento más vulnerable. Estos problemas, en su mayor parte no intencionados, a juicio de Lozano, de Incibe, "son generados en gran medida por el desconocimiento, la falta de concienciación y de formación para que, por ejemplo, un empleado sea capaz de detectar un phishing o una suplantación". Por estemotivo, es esencial mantener al empleado "alerta" para que sea capaz de identificar cualquier posible problema que se dé en cualquier escenario de la organización. "Esto solo se consigue formando y concienciando de manera adecuada y con un aprendizaje continuado en ciberseguridad, puesto que las amenazas evolucionan muy rápidamente", afirma Lozano, quien añade: "Las acciones formativas que habría que llevar a cabo deberán estar relacionadas con los servicios que maneja el empleado. De ese modo, sabrá cómo actuar para evitar la mayor parte de problemas de ciberseguridad relacionados con las tecnologías que gestiona". Este problema también lo constatan en Kaspersky Lab, cuyo informe sobre ciberseguridad B2B de 2018 recoge que los especialistas internos no siempre tienen la suficiente experiencia o conocimientos para enfrentarse a este desafío. El 14 por ciento de las empresas entre 50 y 249 empleados confía la gestión de seguridad TI a personal que no es especialista en TI. Esto, en opinión de su director general en España, "puede dar lugar a la aparición de riesgos reales para la ciberseguridad de las empresas, que no siempre pueden o tienen tiempo para evaluar, al concentrar la mayor parte de su atención en el desarrollo de sus negocios". Así también lo ve Ortiz, de McAfee, para quien unode los principales retos a los que se enfrentan las organizaciones a la hora de implementar su estrategia de seguridad es "la falta de personal cualificado o la experiencia suficiente para diseñar y ejecutar esta estrategia". "Sin duda, la escasez de perfiles de ciberseguridad es un hándicap a nivel estratégico que tienen muchas de estas empresas", reconoce. Además, a esto hay que sumar que muchos trabajadores ocultan aquellos incidentes en los que se han visto involucrados, provocando que las consecuencias sean más graves si los equipos de TI no llegan a identificar la amenaza a tiempo. Y es que la implementación de medidas S eis medidas de seguridad esenciales La Guía de Seguridad ICC para los negocios , publicada por la Cámara de Comercio Internacional, y editada en España por Telefónica, recoge las prin- cipales seis medidas de seguridad que las pymes deben poner en marcha para proteger y prevenir los ataques a sus sistemas. Son estas: 1.- Realizar copias de seguridad de la información del negocio y validar el pro- ceso de restauración, teniendo en cuenta que el material de respaldo debe disfrutar, al menos, del mismo nivel de protección que los datos en origen. 2.- Los sistemas y software de todo tipo, incluidos los equipos y dispositivos de red, deben actualizarse a través de los parches y las actualizaciones de firmware disponibles. 3.- Invertir en formación, lo que garantiza que el personal con acceso a la información y los sistemas entiende sus responsabilidades diarias a la hora de manejar, proteger y apoyar las actividades de seguridad de la información de la empresa. 4.- Las empresas deben implementar sistemas y procesos para asegurarse de que son alertadas en caso de que suceda un incidente de seguridad de información. 5.- La protección efectiva contra virus, software malicioso o dispositivos y ciberdelincuentes requiere varias capas de medidas defensivas para reducir el riesgo de un incidente de seguridad de información. 6.- Prepararse para cuando la brecha ocurra. Esto implica tener un plan organizativo para adoptar buenas decisiones rápidamente y coordinar las acciones necesarias para tomar el control de un incidente.