PYMES ¿Existe la ciberseguridad para ellas?

Cuando un hacker es capaz de robar datos clave a través de algo tan simple como la factura electrónica del proveedor de la calefacción, da igual el tamaño de la empresa. Sin embargo, la falta de preparación sitúa a las pymes en el punto de mira de estos delincuentes invisibles. La pregunta es: ¿está la ciberseguridad al alcance de estas empresas?

Hasta el momento, las noticias más comentadas por los medios de comunicación se han centrado en los ciberataques a grandes empresas. Sin embargo, cada vez es más frecuente que los hackers utilicen a las pymes como puerta de entrada a la cadena de suministro de compañías de mayor tamaño, logrando información crítica de varias sociedades al mismo tiempo y empleando diversas estrategias para lograr sus objetivos, fundamentalmente económicos.

En otras ocasiones, cuando la pyme es el objetivo directo, comienza a ser habitual la estrategia del Ransomware o secuestro de datos a cambio de un rescate; y muchas de ellas acaban cediendo al chantaje porque carecen de una copia de seguridad de sus datos debido a su falta de protocolos.

La realidad es que, independientemente del tipo de ataque, estudios recientes muestran que el 60% de las pymes que sufren un ciberataque desaparece en seis meses. A ello hay que sumar el hecho de que muchas multinacionales reconocen la importancia de contar con una amplia cobertura de ciberseguridad entre las empresas que forman parte de su cadena de suministro. Así, el Instituto Nacional de Ciberseguridad (INCIBE) lanzó hace apenas unos meses el “Decálogo para la pyme cybersegura” , en el que el INCIBE hace hincapié en que en última instancia, es la propia pyme quien debe gestionar " las personas, los procesos y la tecnología necesaria" para contar con una ciberseguridad efectiva y eficiente.

Personas: como sugieren muchos informes, son los propios empleados los que representan en muchas ocasiones la mayor amenaza para provocar infracciones cibernéticas. No siempre es intencionado: en ocasiones son engañados para que descarguen un malware haciendo clic en el enlace de un email o porque están utilizando inconscientemente contraseñas débiles o idénticas a las utilizadas en otros sistemas. Estas son algunas formas de mejorar la ciberseguridad entre los trabajadores:

• Formar a empleados, contratistas y terceros en ciberamenazas, poniendo de relieve el papel que juega cada uno de ellos en la seguridad. Todos deben estar advertidos para garantizar que los enlaces en los que hacen clic en los correos electrónicos y en los sitios web sean legítimos, empleen contraseñas seguras y eviten las redes Wi-Fi públicas para trabajar. Además, también se pueden utilizar ventanas emergentes con advertencias para proporcionar mensajes en tiempo real cuando los usuarios se involucran en procesos que aumentan los riesgos.

• Comprender quién representa la mayor amenaza para los activos corporativos confidenciales -incluidos altos ejecutivos, contratistas, proveedores y otros- y garantizar que haya procesos implementados para abordar posibles riesgos de seguridad (por ejemplo, control de acceso, monitoreo de grandes descargas de datos, etc.).

Procesos: muchas empresas tienen políticas pero no son efectivas a menos que implementen también procesos que respalden su cumplimiento. Los procesos podrían incluir:

• Incluir la seguridad de datos en los protocolos de despido y contratación de empleados. Cuando un empleado comienza en una empresa, debe conocer los protocolos de protección de datos confidenciales y recibir formación para evitar "trampas" informáticas comunes. Al salir de la empresa, las credenciales de los empleados o contratistas deben desactivarse y se debe denegar el acceso a todos los sistemas.

• Preparación: toda empresa debe tener un plan de continuidad de negocio e incidencia en caso de que los sistemas se vean en peligro. Esto incluye copias de seguridad de sistemas y datos, planes de comunicación y colaboración multifuncional.

• Imponer estándares sólidos para las claves de identificación y contraseñas de los usuarios.

Tecnología: El Instituto Nacional de Normas y Tecnología de EEUU (NIST, por sus siglas en  inglés) ofrece una guía muy útil de ciberseguridad para pequeñas y medianas empresas. Algunas acciones que dicha guía recomienda que todas las empresas deberían llevar a cabo son:

• Tener una política de actualizaciones para mantener la seguridad y el software al día así como aplicar automáticamente parches de seguridad de software para evitar la pérdida de actualizaciones importantes.

• Desarrollar una estrategia de defensa tecnológica que incluya el uso de firewalls de red, cifrado de datos y almacenamiento segregado para información confidencial. También es aconsejable, entre otras acciones, bloquear el acceso a sitios de Internet poco fiables.

• Hacer cumplir la protección por contraseña y utilizar recordatorios informativos cuando vaya a accederse a información confidencial.

• Asegurarse de que todos los dispositivos con acceso a la red y asegurarse de que todos los dispositivos están protegidos contra malware.

La ciberseguridad sí está al alcance de las pymes. Adoptar medidas proactivas como las mencionadas contribuirá en gran medida a desarrollar la resiliencia cibernética y a proteger tanto a las PYMES como a las grandes multinacionales, maximizando sus posibilidades de supervivencia y minimizando en lo posible el impacto en la economía global.