Las pymes, al igual que las grandes empresas, buscan dar respuesta a las necesidades del mercado y de la sociedad, y aquí, la digitalización tiene mucho que decir. Sin embargo, esta transformación digital también lleva asociada riesgos, como los ataques informáticos, por lo que la ciberseguridad debe ser una de las prioridades a tener en cuenta en todas las organizaciones.
A la hora de poner en marcha sus ataques, los ciberdelincuentes ya no hacen distinción por tamaño de empresa; su objetivo reside en obtener beneficios económicos con las acciones que perpetran. Las pymes, por tanto, hace tiempo que se han convertido en blanco frecuente de los ciberataques, debido en gran parte a que tienen menos recursos que las grandes organizaciones para invertir en ciberseguridad, y menos personal especializado en esta área.
La ciberseguridad, asignatura todavía pendiente
Aunque la ciberseguridad es cada vez más importante para las pymes y la concienciación sobre este tema es mayor, muchas aún se enfrentan a desafíos significativos en la implementación de prácticas efectivas de ciberseguridad.
La falta de percepción de riesgo y la escasa implementación de medidas de prevención efectivas, así como contar con equipos obsoletos, son algunas de las causas por las que el 44% de las pymes españolas sufrieron un ciberataque el año pasado, según un informe de Hiscox.
Por otro lado, llama a atención que alrededor del 60 % de las pymes que sufre un ciberataque quiebra en los seis meses siguientes al incidente, tal y como se desprende del informe encargado por Google: Panorama actual de la ciberseguridad en España: retos y oportunidades para el sector público y privado. Cada ataque, además, tiene un coste medio de 35.000 euros, cantidad que puede amenazar la supervivencia de una pyme.
Este contexto, la falta de planificación o estrategia para estar preparados y responder a incidentes de seguridad, lleva a la pyme a recurrir a soluciones de seguridad gratuitas, o a veces de bajo coste, que no son las más adecuadas para cubrir sus necesidades y que, por tanto, que pueden ser poco efectivas. Pero la seguridad ha evolucionado y las herramientas tradicionales deben dejar paso a nuevas propuestas de plataformas que permitan eliminar los silos de información y aporten un enfoque más inteligente y unificado de la seguridad, a la vez que simplifican la gestión y facilitan la correlación de datos.
En el punto de mira de los ciberdelincuentes
Conscientes ya de que las pymes son un objetivo atractivo para los ciberdelincuentes por sus todavía insuficientes controles de seguridad, también debemos tener en cuenta que estas empresas pueden ser proveedores de servicios o socios comerciales de organizaciones más grandes, lo que las convierte en un punto de entrada potencial para los ciberdelincuentes que buscan acceder a información confidencial de la compañía de mayor tamaño. No hay que olvidar que, uno está protegido tanto como lo está el eslabón más débil de su cadena.
Entre los tipos de vulnerabilidades a los que las pymes deben enfrentarse destacan los ataques de phishing, de forma que los ciberdelincuentes pueden enviar correos electrónicos fraudulentos, que parecen legítimos, para engañar a los empleados y hacer que revelen información confidencial o descarguen malware. Los ciberatacantes también recurren al ransomware para cifrar los datos de las empresas y exigir un rescate para desbloquearlos, sin olvidar los ataques de ingeniería social, haciéndose pasar por empleados o partners de negocio y obtener acceso no autorizado a información crítica. Además, las pymes también pueden ser víctimas de los ataques de fuerza bruta, cuando los ciberdelincuentes pueden intentar adivinar contraseñas débiles o fácilmente predecibles para acceder a sus sistemas.
Buenas prácticas
No obstante, existen una serie de buenas prácticas fundamentales que las pymes pueden tener en cuenta para mejorar su protección contra los ciberataques. Sin lugar a duda, la primera y primordial se basa en crear una conciencia de seguridad entre los empleados, lo que pasa por mantenerles bien informados sobre los ciberriesgos, y capacitados para poner en marcha procedimientos de seguridad en el entorno laboral.
Un segundo paso es proteger todos los dispositivos, incluidos los endpoints -ordenadores, portátiles, smartphones, tablets…- con contraseñas robustas y sistemas de autenticación multifactor, así como actualizaciones regulares de software y parches de seguridad. También resulta muy importante que las empresas dispongan de un plan regular de copias de seguridad para sus datos críticos, que les permitirá recuperarlos en caso de sufrir una pérdida o ataque de ransomware.
Por último, es de vital importancia proteger la red con firewalls y filtros de contenido web, y que se implementen políticas de seguridad sólidas para el acceso a la red. En definitiva, las pymes, como cualquier otra organización, necesitan establecer una estrategia de ciberseguridad de base que, además de protegerlas, las permitan cumplir con la cada vez más estricta normativa de ciberseguridad.
MSSP, un aliado para las pymes
Dado el panorama cambiante de la ciberseguridad, los continuos avances por parte de la industria para combatir las amenazas, y la situación de escasez de recursos y profesionales expertos en esta materia, las pymes pueden encontrar una solución a estos temas en la figura del proveedor de servicios se seguridad gestionada (MSSP).
Con el fin de protegerse contra las ciberamenazas y blindar su negocio, las pymes tienen la posibilidad de recurrir a un experto externo para que realice una evaluación de riesgos e identifique los puntos débiles en la seguridad de red y endpoint de la compañía. Este MSSP puede recomendar las soluciones adecuadas incluyendo herramientas de prevención de intrusiones, sistemas de detección de amenazas, software de seguridad para el endpoint, MFA y mucho más, manteniendo una adecuada ciberhigiene. Esto pasa por una correcta actualización, mantenimiento, gestión, configuración y atención de los productos, pues de nada sirve contar con las mejores soluciones si estas no son atendidas, para ello también podemos contar con este MSSP.
Igualmente, puede ofrecer formación y capacitación a los empleados de la empresa sobre las mejores prácticas de ciberseguridad a aplicar, y monitorizar continuamente la red para gestionar cualquier amenaza de seguridad que se detecte.
En definitiva, los MSSP pueden ayudar a las pymes a prepararse para posibles incidentes de seguridad y ofrecer apoyo en caso de que ocurran, además de colaborar activamente en el cumplimiento de normativas y regulaciones aplicables en materia de seguridad TI. Proporcionan una amplia variedad de servicios de seguridad que permiten a las pymes mejorar su postura de seguridad y proteger sus activos críticos y, por tanto, su negocio.
Amador Ortega
Director del Área de Ciberseguridad de ITE
