Dejar el ordenador encendido toda la noche, utilizar la clave que viene de serie para los sistemas (o una que se parezca a 1234), que el servidor o el router de la compañía estén a la vista y los sistemas sin actualizar, que los empleados accedan a la red interna con equipos personales, o a sus temas personales desde los equipos corporativos… Todo ello, tan cotidiano en muchas pequeñas y medianas empresas de este país, es una amenaza casi mayor que un ciberataque fortuito que nos toque por casualidad.
Las pymes son vulnerables, más aún que el resto. Lo dicen los informes, los propios interesados y la Guardia Civil, que afirma que el 70 % de los ciberataques los sufren este tipo de empresas. Y son uno de los blancos preferidos de los ciberatacantes porque, aunque el botín sea menor, la facilidad de «entrar y robar» es muchísimo mayor que en el caso de ataques avanzados; y mucho más acuciante la necesidad de pagar el rescate si sufren amenazas como un ransomware, porque solo el hecho de no poder trabajar ya les supone grandes pérdidas, que pueden derivar en el cierre de la empresa.
Muchas aún creen que una buena barrera (un firewall) puede evitar que entren los malos, pero lo cierto hoy día, es que esto supone un obstáculo muy pequeño para los atacantes, que están bien organizados y muy, muy bien formados tecnológicamente hablando.
La seguridad, cada vez más, ha de ser vista como un todo que parte del más alto nivel de la compañía. Y como tal, es necesario abordarla mediante un enfoque integral que comprenda a los sistemas, a las personas y a los datos que circulan entre unos y otros. Sin olvidar, por supuesto, las redes públicas, privadas y la nube, atendiendo rigurosamente a la legislación aplicable en cada caso (algo que muchas veces no se tiene en cuenta en esta estrategia de seguridad). Los primeros hay que actualizarlos, a las segundas, formarlas, y a los terceros, vigilarlos de manera constante y exhaustiva, en todo su recorrido por nuestros sistemas y fuera de ellos.
Un «todo» entretejido en los procesos
Así, en este mundo en el que la transformación digital está en boca de todos (y sobre ella leemos, estudiamos, valoramos y aprendemos) también deberían estarlo los riesgos y amenazas de este constante cambio. Las empresas grandes lo saben, algunas de las pequeñas o medianas aún no pero disponer de una estrategia de gobierno, riesgo, cumplimiento y continuidad es clave para garantizar la estabilidad de su negocio de la forma más eficaz y eficiente posible, sea cual sea el problema al que se enfrentan.
Este enfoque integral del que hablamos tiene una metodología clara que podemos tratar de aplicar a nuestra empresa. A grandes rasgos, consistiría en tener en cuenta y tratar los siguientes puntos: identificar, proteger, detectar, responder y recuperar. Así, lo primero, si no lo hemos hecho ya, sería realizar una auditoría de seguridad de la información, que nos permitirá saber cuáles son nuestras necesidades particulares, nuestros riesgos y amenazas específicas, y cómo abordarlo de una manera que nos resulte rentable y eficiente. Después, debemos protegernos con planes y estrategias de ciberseguridad contando con las herramientas necesarias para llevarlo a cabo, pero también del cumplimiento.
El paso de «detección»es el momento para mantenerse en constante vigilancia del entorno tratando de anticiparnos al golpe; mientras que el de «respuesta» sería mucho más tedioso, teniendo en cuenta que ya has recibido el golpe y tratas de responder a ello con todas las armas que has desplegado para ello, ya sean soluciones tecnológicas, como de proceso o formación. Por último, llegado el caso hay que estar preparados para la recuperación de los sistemas y volver a poner nuestro negocio en pleno funcionamiento a la mayor brevedad.
Pero antes de todo ello, es fundamental estar informado de los riesgos que amenazan a las empresas, ya que conocer es el primer paso para poner remedio, y esa información debe tenerla tanto la dirección como cada uno de los empleados de la compañía. Porque suele ser más peligroso y provoca más riesgo un sistema de contraseñas deficiente o meros descuidos por falta de concienciación de los trabajadores que una brecha de seguridad en uno de los dispositivos, por ejemplo.
Los momentos vacacionales, además de ser épocas de riesgo más alto a la hora de sufrir uno de estos ataques (sí, los ciberdelincuentes saben que descansamos y bajamos la guardia, y ellos no lo harán), también pueden ser instantes en que, lejos del rugir diario del negocio, podamos dedicar un tiempo a reflexionar sobre nuestra situación en cuanto a la ciberseguridad, a buscar ayuda y a poner en marcha las medidas necesarias con las que abordar el nuevo curso.
No se lo pongamos fácil. Estar atentos es también hacer copias de seguridad antes de irnos de vacaciones (especialmente si cerramos por completo unos días), instalar sistemas de vigilancia perimetral y de redes para, en caso de problemas, enterarnos rápidamente o prestar aún más atención a cualquier email sospechoso que, además, podemos estar consultando desde la playa en redes y entornos no seguros.
Gestionar la ciberseguridad de una empresa tiene su complejidad, y también requiere una inversión (que a buen seguro vamos a recuperar en forma de garantías). Pero se puede pedir ayuda: actualmente, y durante todo el verano, las pymes pueden beneficiarse del Kit Digital, un paquete de ayudas económicas de la Administración Pública para impulsar su digitalización, que incluye, claro, estos temas de ciberseguridad.
Proteger nuestro negocio es el primer paso para mantenerlo fuerte y listo para competir.
Rafael Tenorio
Cybersecurity service manager de Bidaidea
