Para muchas pymes, la ciberseguridad es algo por lo que se pasa de puntillas y un gasto que no se entiende hasta que se sufre un ciberataque. Es entonces cuando muchos responsables de estas empresas corren como pollos sin cabeza sin saber bien qué hacer o a quién acudir. Es posible incluso que muchos confiasen únicamente en una solución de seguridad adquirida hace tiempo y que nadie se ha preocupado de revisar o incluso de actualizar.
Incluso algunas pymes pueden llegar a pensar que, debido a su reducido tamaño, no son un objetivo atractivo para los delincuentes. Craso error. Los atacantes saben que las empresas pequeñas y medianas son, por lo general, mucho más vulnerables que las grandes a sus ciberataques, debido, principalmente, a la falta de concienciación en materia de ciberseguridad, algo que redunda en unos presupuestos más limitados que destinar a su protección.
Por si fuera poco, los planes de recuperación ante este tipo de incidentes muchas veces brillan por su ausencia, y son varios los casos de empresas que se han visto abocadas a su cierre por no poder recuperarse tras un ciberataque que ha dejado inaccesible la información esencial para continuar con el buen funcionamiento de la compañía.
Por los motivos mencionados, a la hora de elaborar un presupuesto de ciberseguridad de nuestra empresa hemos de empezar por dejar de verlo como un gasto y contemplarlo como una inversión, que va a ayudarnos a impedir que nuestra empresa sufra un incidente que afecte a su reputación o comprometa la seguridad de los datos relacionados con su funcionamiento, sus clientes y proveedores.
Además, no es solo la constante amenaza de los ciberataques lo que planea sobre las pymes españolas, ya que estas están sujetas a la regulación del país y de la Unión Europea, con el Reglamento General de Protección de Datos (RGPD) a la cabeza. El obligado cumplimiento de este reglamento hace que muchos delincuentes estén, desde hace años, amenazando a las empresas con publicar información robada de sus redes (y exponiéndose la empresa a las cuantiosas multas que el RGPD establece) si no se cumplen sus exigencias.
Los retos actuales de las pymes en materia de ciberseguridad
Los desafíos a los que han tenido que hacer frente las pymes a lo largo de los años han ido evolucionando, y eso hace que muchas de estas empresas tengan que adaptarse, a pesar de que otras tantas no consiguen hacerlo y quedan más expuestas a los ciberataques. Actualmente hay varios retos a los que se enfrentan las pymes españolas y que pasamos a comentar a continuación:
Teletrabajo y trabajo híbrido: la crisis provocada por la pandemia de la COVID-19 fue una prueba de fuego para muchas empresas que, de la noche a la mañana, se vieron obligadas a cerrar sus oficinas y proporcionar materiales y formación a sus empleados para poder seguir funcionando. Hoy, cuando solo queda un recuerdo de esa situación crítica, muchas empresas han adoptado el teletrabajo en formato completo o híbrido para sus empleados, aunque no en la cantidad que muchos pronosticaron, y aunque este concepto no sea nuevo, aún queda mucho por hacer para que las pymes españolas estén completamente preparadas para todo lo que este formato laboral implica. Claros ejemplos de la necesidad de continuar desarrollando sus políticas de seguridad en estos formatos de trabajo son la necesidad de prestar atención a todo lo relacionado con el acceso remoto a la red corporativa, las mejoras de seguridad en el acceso y manejo de los archivos y servicios ubicados en la nube y en la implementación de las soluciones de seguridad como servicio.
Aumento de la superficie de ataque debido a los dispositivos IoT: el modelo de defensa perimetral que tomaba como ejemplo las fortalezas medievales hace años quedó obsoleto. Ahora, las empresas tienen que lidiar no solo con los empleados que se conectan remotamente, sino también con un número mayor de dispositivos de todo tipo conectados a la red corporativa, dispositivos que demasiadas veces son ignorados a la hora de aplicar las políticas de seguridad y que nadie se encarga de revisar y mantener. Este tipo de dispositivos, muchos de ellos englobados dentro de lo que se conoce como Internet de las cosas, se han ido introduciendo paulatinamente en las empresas, y de no estar gestionados adecuadamente, pueden ser la puerta de entrada de los ciberdelincuentes a nuestra información más valiosa.
Nuevas soluciones de seguridad avanzadas, pero poca gente cualificada para gestionarlas: admitámoslo: demasiadas veces la persona encargada de gestionar la ciberseguridad de una pyme es la misma que se encarga de que las impresoras funcionen correctamente, o de reparar los equipos informáticos en caso de que estos tengan algún problema. La sobrecarga de trabajo de estos profesionales y la falta de contratación de perfiles específicos especializados en ciberseguridad hace que muchas empresas adquieran soluciones de seguridad como MDR o XDR, pero no tengan a nadie en su plantilla que sepa sacarles todo el jugo. Para ayudar a solucionar este problema, las empresas de seguridad como ESET ofrecen la posibilidad de gestionar estas herramientas, aportando décadas de conocimiento en materia de ciberamenazas y con especialistas formados en su detección y manejo de incidentes.
Acceso y gestión de la información crítica
Por desgracia, no son pocas las empresas que no llegan ni a identificar cuál es la información crítica sin la que no pueden seguir funcionando, algo que sí saben los ciberdelincuentes y de lo cual se aprovechan, por ejemplo, en los ataques de ransomware. Es crucial aprender a reconocer esta información esencial y aplicar todas las medidas a nuestro alcance para proteger su integridad, accesibilidad y evitar que se filtre. Para ello debemos revisar primero quién tiene acceso a esta información, limitando los permisos de aquellos usuarios que no deban acceder a ella, segmentando las redes de nuestra empresa para evitar que un atacante campe a sus anchas por ella y cifrando la información más sensible para evitar que una posible filtración afecte a la reputación de nuestra empresa, comprometa datos de nuestros clientes y proveedores y exponga la empresa a cuantiosas multas.
Estos son algunos de los retos más importantes a los que se exponen las pymes actualmente y, viendo el panorama, volvemos a insistir en la necesidad de invertir en ciberseguridad y dejar de considerarlo como un gasto. Son muchas las opciones disponibles en el mercado y que se adaptan a las necesidades de cada empresas, independientemente de su sector o tamaño, por lo que no hay excusa para aplicarlas, empezando, eso sí, desde lo más básico e ir añadiendo capas adicionales de ciberseguridad según nuestras necesidades.