Pymes vulnerables y ciberseguridad

Con el objetivo de generar confianza y tranquilidad resolvemos algunas de las cuestiones más recurrentes sobre ciberseguridad.

Susana González Ruisanchez
Directora de hiberus LegalTech & CyberSec
Pymes vulnerables y ciberseguridad

Cuestiones sobre Ciberseguridad

Cómo ser preventivo en Ciberseguridad

Tan solo hace unos meses gran parte del tejido empresarial mundial entró en pánico y sufrió las consecuencias del ataque masivo de ransomware Wannacry. El 12 de mayo de 2017 habrá pasado a los anales de la historia con la marca de “El ciberataque masivo de wannacry”.

Se estima que Wannacry afectó a más de 220.000 sistemas de 150 países en apenas tres días. Se trató de la propagación de un malware a versiones de Microsoft Windows que no habían realizado la actualización de seguridad de marzo de 2017 (MS17-010).

Tras ello, todos fuimos testigos de otras sonoras noticias relacionadas con ciberataques, tales como el robo de la película de Disney “Piratas del Caribe: la venganza de Salazar”, exigiendo un rescate y amenazando liberar fragmentos de la película antes de la fecha de estreno y de forma sucesiva, si la compañía no pagaba el rescate en bitcoins.

Conocimos también cómo desde Israel se comunicaba haber sufrido un bloqueo informático importante que afectó a entidades gubernamentales y organizaciones del sector financiero, energía, telecomunicaciones, química, aviación civil y tecnología de la información, debido a un ataque vía phishing (recibido a través del correo electrónico mediante un archivo adjunto de Word que contenía una vulnerabilidad 0 Day).

Nadie está a salvo de un ciberataque. Incluso a finales de agosto veíamos con sorpresa como la cuenta oficial de Twitter del Real Madrid daba la bienvenida a Leo Messi por su “fichaje” por la entidad blanca tras haber sido suplantada a manos de ciberdelincuentes.

El impacto, tanto económico por la paralización de la actividad/producción en la empresa, como reputacional, alcanza valores inimaginables. Las causas, procedentes de un entorno tan falto de regulación y control como el ciberespacio, nos llevan a concluir que, en la actualidad, la inmensa mayoría del tejido empresarial, tanto nacional como internacional, no está preparado para responder ante un ciberataque masivo y global.

Sin embargo, en Europa, al menos, todas las empresas se ven abocadas legalmente a asumir la responsabilidad de la falta de control que pueda llegar a suponer una brecha de seguridad con fuga de datos personales en cantidades millonarias tras la entrada en vigor del Reglamento Europeo de Protección de Datos Personales.

Esta primera consecuencia evidente, nos invita a ser sumamente preventivos en ciberseguridad, buscando proteger de forma proactiva la información digital.

Ciberamenazas a las pymes y su prevención proactiva

En la actualidad, la mayor parte de las pymes españolas pueden encontrar sus máximas amenazas en los posibles ataques a su red privada o a su infraestructura de red y, con ello, asumir, minimizar o externalizar el riesgo de robo de información, sanciones y daños reputacionales.

Sin embargo, ser preventivos es el primer esquema básico para minimizar los riesgos y, para ello, es importante que la empresa tenga definidos sus planes de seguridad tecnológica.

Las pymes suelen destinar menos recursos (económicos, de personal y de tiempo) a estructurar sus inventarios de activos y a considerar las medidas de seguridad y estructura necesarias para prevenir en ciberseguridad, en poner en marcha planes de sensibilización, concienciación y formación en seguridad a su personal e incluso asegurar su riesgo con pólizas especializadas en ciberseguridad. Las cifras demuestran que sólo una de cada diez empresas de menos de 10 trabajadores tiene definidas sus políticas de seguridad y plan de respuesta ante un ciberataque o plan de contingencia. Esto puede parecer grave, pero si extrapolamos estos datos, el porcentaje de empresas de entre 50 y 249 trabajadores que no disponen de ningún tipo de política de seguridad ni plan de contingencia alcanza casi el 50%.

Aunque cada vez se tiene mayor conciencia del riesgo cibernético como inasumible, todavía hay un camino por recorrer hasta conseguir concienciar a las empresas de la importancia de su seguridad tecnológica más allá de contar con un antivirus.

Prevenir es el recurso mejor invertido que, además, será siempre dimensionado a nuestro tamaño y escala de prioridades.

Principales riesgos que preocupan a las pymes

  • La destrucción o corrupción de datos por ataque o incidente
  • La revelación de datos confidenciales por intrusión, phishing, pharming, descuido o incumplimiento de normas internas por parte de su propio personal
  • La falta de disponibilidad de servicios TIC que provoquen una parada de la producción con la consiguiente pérdida de productividad e incumplimiento de contratos
  • Todas las soluciones financieras

Prevención en ciberseguridad es un proceso

Es vital que la ciberseguridad se integre dentro de los procesos empresariales como algo vivo, diario, revisable, actualizable dentro de un entorno en constante cambio e innovación, tanto en el ataque como en la respuesta.

La ciberseguridad implica prevención, detección y reacción o respuesta ante el ciberataque.

Debe incluir siempre una buena dosis de formación sobre las decisiones tomadas en la empresa para hacerlas llegar y cumplir hasta el último eslabón de nuestros equipos de trabajo.

Se trata de interiorizar un proceso de mejora constante determinado por el análisis del riesgo, su importancia para la empresa y sus prioridades, así como por la necesaria actualización a los desafíos actuales y a más corto plazo para la ciberseguridad empresarial (información en smartphones, Cloud Computing, Big Data, Internet de las Cosas e inteligencia artificial aplicada a procesos industriales y riesgos regulatorios sobre la seguridad y confidencialidad de datos, entre otros).

Pymes vulnerables

Pymes vulnerables, prevención en ciberseguridad. Hiberus Legaltech

Recomendaciones para la toma de decisiones en la prevención, detección y respuesta

  • Debemos ser capaces de conocer cuáles son nuestros activos tecnológicos y el tipo y valor de la información que tratamos en los mismos o transferimos a terceros. Mal podremos controlar qué nos sucede sobre nuestra estructura tecnológica e información si no la conocemos, controlamos y, algo muy importante en la actualidad, le asignamos un valor.
  • Prevenimos tomando decisiones sobre los activos y la información, definiendo roles y responsabilidades de acceso y gestión de identidades. No todos los miembros de la empresa deben tener acceso a todo tipo de equipos e información, siendo una medida de control determinar las responsabilidades.
  • Debemos prevenir mediante inversión en medidas técnicas contra la detección y fuga de datos y la seguridad de infraestructura de red de la empresa (soluciones antimalware y antifraude, soluciones de seguridad perimetral y protección de comunicaciones, control de contenidos y control de tráfico, copias de seguridad, control de acceso a los recursos, actualizaciones y parches; medidas de seguridad que garanticen el cumplimiento normativo, etc).
  • Debemos procurar la implicación de personal especializado o con conocimientos suficientes sobre el funcionamiento de las herramientas de seguridad para conseguir que la inversión en medidas técnicas sea realmente eficaz.
  • Y siempre debemos ser preventivos mediante la información y la formación. Cada día amanecemos con nuevas noticias sobre alguna nueva modalidad de intento de ataque. Estar informados de las amenazas, fraudes y estafas más comunes y las posibles soluciones frente a las mismas, nos ayudará a mantenernos alerta, a transmitir el mensaje de prudencia a todos los equipos en la empresa y con ello evitar ser víctimas de un ciberataque.
  • A partir de ahí, es vital ser capaces de detectar, conocer y gestionar nuestras vulnerabilidades y monitorizarlas.
  • Y, para el caso de producirse un incidente, es esencial contar con un procedimiento claro de actuación que evite pérdidas de tiempo y económicas inestimables, además de sistemas de recuperación y contramedidas.

En Hiberus LegalTech & CyberSec somos especialistas en ciberseguridad y derecho tecnológico, aportando la tranquilidad y seguridad que toda empresa necesita para mantener sus datos y los de sus clientes a salvo de ataques, incidencias y fugas de información así como para evitar cuantiosas sanciones y pérdidas reputacionales.

NRI: IBE0502203-180006