El reto de la ciberseguridad para las pymes y los autónomos
12 de septiembre de 2018
El reto de la ciberseguridad para las pymes y los autónomos
Tener una buena estrategia contra la ciberdelincuencia no es exclusivo de grandes empresas. Las pymes, micropymes y autónomos son un blanco fácil para los hackers. Hay medios sencillos y baratos para reducir el riesgo.
En un mundo cada vez más conectado, incluso los negocios más tradicionales necesitan asentar su presencia en la red para alcanzar el éxito. Gracias a la tecnología, el emprendedor puede mantener una comunicación más fluida con sus clientes y proveedores, mientras que la banca digital le ayudará a gestionar sus números de una forma más ágil y cómoda. En resumen, una pyme que esté conectada está viva, tiene más potencial y será más competente.
No obstante, el entorno digital no está exento de ciertos peligros. Como ocurre en un negocio físico, toda pyme o micropyme necesita una instalación de ciberseguridad que mantenga su información y sus bienes a salvo de cualquier riesgo. Y es que los hackers están girando sus miras hacia la pequeña empresa, de tal modo que, a día de hoy, casi la mitad de ataques se dirigen contra ellas. Algo suficientemente importante para tener en cuenta, ya que las microempresas, pymes y autónomos constituyen cerca del 90% del tejido empresarial en España.
Soluciones a la medida, fáciles y baratas
Tener un equipo dedicado a la seguridad de la empresa en la red es un ideal que los pequeños negocios no pueden permitirse. Pero eso no significa que un autónomo o una pyme quede expuesta. De hecho, hay soluciones preventivas baratas -e incluso gratuitas- que pueden evitar un disgusto. La mayoría de estas recomendaciones pasan por lo que el Instituto Nacional de Ciberseguridad (INCIBE) denomina "hábitos recomendables", como la "adopción de unas medidas de ciberseguridad adecuadas”, "la optimización continua de su seguridad" y una política empresarial sobre el tema.
Su mensaje es que el emprendedor debe ser proactivo y estar al día, en la medida de sus posibilidades, de las alertas que pudieran afectarle. De hecho, tantos estas recomendaciones como otras por parte de otros organismos y consultores en ciberseguridad coinciden en que la primera barrera frente a hipotéticos ataques depende del mismo empresario, de su responsabilidad y de su sentido común. Es sencillo entender que, de la misma manera que nadie se dejaría su local abierto cuando acaba el horario laboral y se va a casa, algo parecido debe hacerse en el entorno informático.
Más allá de estas recomendaciones generales, empresas especializadas en la seguridad en Internet afinan más la estrategia. Una firma británica con presencia en España, ha elaborado un decálogo en el que la máxima es el control del entorno y del acceso de sus empleados, siempre con usuario y contraseña propios e incluso -muy recomendable- con algún tipo de confirmación biométrica. Incide en la vigilancia de los accesos a la red de la empresa, los puertos abiertos, las conexiones y los recursos compartidos; y aporta dos claves relativas al factor humano: el “definir los derechos de usuario adecuados para las distintas tareas” y la llamada a descargar archivos solo desde sitios de confianza.
La primera barrera frente a hipotéticos ataques depende del mismo empresario, de su responsabilidad y de su sentido común
Otra de las firmas más prestigiosas en la materia, añade otra recomendación que suele pasar desapercibida: la de no usar memorias USB de origen desconocido, ya que pueden ser una fuente potencial de peligro para los equipos y las redes. Además, introduce otro concepto, el del phishing o suplantación de identidad, un método de engaño que sirve para estafar y robar dinero a particulares pero que, en el ámbito empresarial, también se usa para el secuestro de datos sensibles.
Incluso la Guardia Civil, a través de su Unidad de Delitos Telemáticos, ha elaborado una serie de consejos específicos para empresas que añade la atención a los dispositivos móviles. Concretamente, alerta sobre la poca seguridad de redes wi-fi públicas y el peligro que supone exponer datos profesionales en esas circunstancias.
La educación en ciberseguridad es básica
Por todo ello, y al margen de las soluciones profesionales de las firmas y asesores especializados, para una empresa es vital que sus empleados tengan unos conocimientos y una formación adecuada para el uso responsable de los equipos y de las conexiones a Internet que minimicen los riesgos derivados de sus acciones.
Muchos empresarios piensan que, para protegerse, basta con una copia de seguridad de la información. Pero aunque tal práctica sea más que recomendable, no es así. Y es que el exceso de confianza juega en contra, desde el director de la empresa hasta el último de sus empleados. Según el último informe Pandalabs, hay emprendedores que piensan que su negocio no sería un buen objetivo por su tamaño o su tipo de actividad: el 68% se sentían a salvo, según confirma otro estudio.
Pero la realidad es que, si le toca y le pilla desprotegido, rehacerse es un gran problema: hasta el 60% de las empresas atacadas no se recuperan del mismo, según este mismo informe. Randed, empresa especializada en ciberseguridad, confirma estos números e incluso cifra en, al menos, 35.000 euros solo el coste medio directo que cada ataque le supone a una empresa, una cantidad inasumible para muchas de ellas...
El exceso de confianza juega en contra: muchos empresarios creen que su negocio no sería un objetivo rentable para los ciberdelincuentes. La realidad es muy distinta
El Centro Criptológico Nacional (CCN) también es una de las autoridades en cuanto a delitos informáticos. En su informe del pasado mayo ‘Ciberamenazas y Tendencias’ señala que, durante 2017 se atendieron más de 25.000 incidentes. No todos atañen a empresas, pero entre los motivos que hay para atacarlas destacan la sustracción económica, el ataque al prestigio de la firma o directamente la incapacitación de esta, al menos digitalmente.
En cualquier caso, y aunque no se disponga de un presupuesto muy elevado para hacer frente a estas amenazas, hay trucos para minimizarlas de forma económica y sencilla. Un paquete antivirus+firewall es básico. Es una inversión mínima frente a los perjuicios que evitaría, sobre todo si se mantiene adecuadamente actualizado. Tener la última versión de programas, sistema operativo y hardware, es una premisa para esquivar problemas, ya que la obsolescencia genera brechas de seguridad muy tentadoras para los ciberdelincuentes.
El exceso de confianza juega en contra: muchos empresarios creen que su negocio no sería un objetivo rentable para los ciberdelincuentes. La realidad es muy distinta
En otras ocasiones, los atacantes se limitan a explotar agujeros de seguridad generados involuntariamente desde dentro de la empresa por motivos diversos. Uno de los desencadenantes tienen que ver con la estanqueidad de la red local; o, dicho de otro modo, el hasta qué punto se tiene un control sobre la propia red y los dispositivos ajenos que se conectan a la misma, cuándo, cómo y para qué.
En esta categoría de 'fuego amigo' es donde el empleado de la pyme o microempresa es, al mismo tiempo, problema y solución. Lo más importante es que la empresa, por su propia política, fomente la responsabilidad en el manejo de las redes y en el uso de Internet desde el puesto de trabajo, tratando de evitar el uso personal de la red. Esto ayudará a minimizar los riesgos, a no ser descuidado con las contraseñas y a realizar copias de seguridad del material sensible con la mayor frecuencia posible y ajustándose a la estrategia 3-2-1, que consiste en tener los datos por triplicado, en al menos dos formatos de almacenamiento diferentes, y con una de estas copias fuera del lugar de trabajo.
Íntimamente relacionado con ello hay que mencionar el concepto de malware, programas generalmente gratuitos y aparentemente inocuos que instalan en la máquina receptora un código pernicioso que abre algún tipo de 'puerta trasera' para intrusos. Evitar estos programas es tan sencillo como no instalarlos. Sin embargo, una de las diferencias entre una empresa que se toma en serio este apartado y otras que no, independientemente de su tamaño, es la posibilidad de impedir la instalación de programas no autorizados que pueden poner en riesgo la seguridad de la red local y repercutir en su rendimiento.
Además, todo negocio y especialmente aquellos que manejen virtualmente información estratégica y económica, deben también apostar por métodos de encriptación adecuados. Hay que desconfiar de plataformas de dudosa reputación y apostar por aquellos intermediarios que ofrezcan una certificación cualificada. Las cosas, cuanto más transparentes, mejor, y más en este entorno. Hay que cuidarse, por tanto, de revelar información confidencial clave o contraseñas sin estar absolutamente seguro de encontrarse ante un interlocutor fiable. No es una cuestión de tener miedo sino de aplicar el sentido común y la prudencia.