redseguridad 082

Gestión de riesgos de proveedores para pymes A tendiendo a las cifras proporcio- nadas por el Ministerio de Empleo y Seguridad Social en enero de 2018, en España tenemos 1.307.776 pymes, de las cuales, la gran mayoría, 1.135.064, resultan ser micropymes (de 1 a 9 asalariados), 149.320 son pequeñas empresas (de 10 a 49) y 23.404 son medianas (de 50 a 249 asalariados). Y solamente 4.487 son grandes empresas de más de 250 empleados. Esto se complementa con más de 1,5 millones de autónomos (considerados pymes sin asalariados). Con este entorno no es de extrañar que las pymes sean un gran caldo para la proliferación de los cibera- taques, que en número creciente venimos experimentando en todo el mundo. Por su menor preparación, las pymes representan un gran atrac- tivo para ataques de tipo ramsonware al ofrecer a los 'malos' un enorme campo para desarrollar su actividad criminal. He leído recientemente una analo- gía interesante sobre este particular atractivo de las pymes, comparándolo con los robos de los bandidos Butch Casidy y Sundance Kid en pequeños bancos de Bolivia, que atracaban con suma facilidad, mientras que la compañía ferroviaria y grandes ban- cos que gustaban atracar en el pasa- do, obteniendo suculentos botines, se protegían fuertemente contra los ladrones. De hecho, se les atribuye la frase "si nos pagasen lo que se gastan para que no les robemos, dejaríamos de robarles". El Instituto Ponemon realizó en 2017 una segunda edición del estu- dio sobre el estado de la cibersegu- ridad en las pequeñas y medianas empresas 1 (que en su caso llevan hasta los mil empleados), en el que muestran que hasta un 64 por ciento de las empresas entrevistadas decla- ran haber sufrido algún ciberataque, con un 54 por ciento habiendo con- cluido con fugas de información. Podemos poner este dato en com- paración con el obtenido en la segun- da edición del estudio Empresas y Ciberseguridad, realizado por Leet Security y el Club de la Excelencia en Gestión en 2018 2 , en el que el 38 por ciento de los participantes eran conscientes de haber sido objetivo de ciberataques (frente al 55% que lo hicieron en 2017, probablemente causado por el gran alcance que tuvo WannaCry). En cualquier caso, estos porcentajes ponen de manifiesto la división de las empresas entre las que han sido atacadas y las que lo van a ser (o las que aún no lo saben). Causas de incidentes Siempre resulta interesante conocer las causas de los incidentes. El gráfi- co 1 muestra las respuestas propor- cionadas en la encuesta de Ponemon (con la posibilidad de indicar múltiples opciones). Los errores o negligencias del per- sonal parecen estar al frente de las causas, tanto en este como en otros estudios. Por ello, uno de los capí- tulos en los que mayor énfasis debe seguir haciéndose es el de la forma- ción y concienciación del personal, puesto que resulta una de las solu- ciones más económicas de poner en práctica debido a que puede evitar desagradables sucesos con caras consecuencias. Lamentablemente, esta faceta, al igual que otras de carácter organizativo, resulta más difícil de poner en práctica en las entidades de menor tamaño, ya que suelen contar con menores niveles de madurez en su gestión que aquellas organizaciones más grandes, en las que existe personal especializado y responsable de la ciberseguridad. 58 red seguridad tercer trimestre 2018 Alfonso Pastor Director comercial y de Marketing de Leet Security opinión pymes monográfico