La ciberseguridad se consolida entre las pymes

Las micro, pequeñas y medianas empresas asumen los ciberataques como un riesgo de negocio

28 junio 2021 10:37 | Actualizado a 28 junio 2021 12:16
Se lee en minutos
Para guardar el artículo tienes que navegar logueado/a. Puedes iniciar sesión en este enlace.
Comparte en:

El Diari de Tarragona celebró una nueva edición de su ciclo de jornadas ‘Els Esmorzars-Col·loquis del Diari’, en formato remoto y titulado en esta ocasión Ciberseguretat per a pimes. En la jornada se analizaron las principales tendencias en esta materia, con la colaboración de cuatro expertos del mundo empresarial, académico e institucional que expusieron su visión sobre una realidad a la que hace tiempo que no son ajenas las micro, pequeñas y medianas empresas.

La ingeniería social destaca como el principal riesgo para las pymes en materia de ciberseguridad, donde el engaño a los trabajadores y proveedores, unido a muchas carencias en conocimientos y formación, ofrecen oportunidades para la ciberdelincuencia. Tomar consciencia de ello es el primer paso. Pasar a la acción desde la pyme, utilizando los recursos propios y externos, preparándose para el futuro, son los siguientes.

El engaño a trabajadores y proveedores es actualmente el mayor riesgo para las pymes en materia de ciberseguridad

De todo ello hablaron en esta jornada Oriol Torruella, director de la Agència de Ciberseguretat de Catalunya, Manel Medina, catedrático de la Universitat Politècnica de Catalunya (UPC), fundador y director de esCERT-UPC y director de los másters de Gestión de la ciberseguridad y de Blockchain en la UPC, Andreu Bru, director de Tecnología e Innovación de Pimec, y Laura del Pino, Senior Manager en Data & People Information Security en BBVA.

Tomar consciencia
Oriol Torruella, director de la Agència de Ciberseguretat de Catalunya, es claro: «Todas las empresas, incluidas las pequeñas y las medianas, están sujetas a las ciberamenazas que hay en el ámbito digital, y el hecho de ser impactados por ciberataques depende no tanto del tamaño como del nivel de digitalización de la empresa».

«Todas las empresas deben entender que la ciberseguridad es un riesgo de negocio, no tecnológico» (Oriol Torruella, Agència de Ciberseguretat de Catalunya)

«Al final, la importancia de implantar la ciberseguridad en el día a día de cualquier empresa -prosigue Torruella- no es el volumen de facturación, sino su nivel de dependencia de la tecnología». Pero, si bien todas las empresas están expuestas a la ciberdelincuencia sin importar su tamaño, no toda la ciberdelincuencia ataca por igual.

«Los ciberataques -prosigue Torruella- son hoy terriblemente diversos, y mientras que por ejemplo el ransomware (secuestro de datos) se ha ‘targetizado’ en las grandes empresas, el phishing (el engaño a través de correos electrónicos) y el robo de identidades no ha entendido de tamaños».

«Es más: en muchos casos, como que las pymes han invertido menos en ciberseguridad que las grandes empresas -añade Torruella-, y la capacitación y formación de sus trabajadores es inferior, al final la capacidad de atacar a este tipo de pymes con éxito es mucho más grande».

«Muchas empresas saben quién les puede ayudar con un escape de agua, pero no con un ataque ‘ransomware’» (Manel Medina, Universitat Politècnica de Catalunya)

Manel Medina, de la Universitat Politècnica de Catalunya, destaca que, si bien el nivel de conocimiento sobre los riesgos ha aumentado entre las pymes, persiste todavía con fuerza ese pensamiento en el que, «sobre todo en las empresas pequeñas, hay la tendencia a decir ‘bueno, si surge algún problema, ya lo resolveremos’. El problema es que [cuando eso sucede], las empresas no tienen capacidad de respuesta ante esos ataques».

Ante esta situación, Medina recomienda «intentar definir patrones de seguridad a nivel sectorial, y difundir herramientas y buenas prácticas. Esto es algo que también puede ayudar a las empresas, en el caso de que haya un incidente de seguridad, a demostrar que están cumpliendo con los estándares del sector y evitar que tengan multas elevadas de las autoridades pertinentes».

«La pérdida de reputación, datos y dinero es por lo que una empresa debe autoprotegerse» (Andreu Bru, Pimec)

Andreu Bru, de Pimec, coincide en que «las microempresas y las pymes no han acabado de tener niveles de sensibilización suficientes» y que «el tamaño no importa», porque «todos estamos expuestos». Bru confirma también que «la sofisticación de los ciberdelincuentes hace que el cibercrimen sea cada vez más segmentado» y destaca que «el punto más débil de las empresas son las personas, principalmente a través del correo electrónico».

«Esa falta de conocimiento y sensibilidad -prosigue- hace que una persona baje la guardia y abra un correo que no toca. Por eso es importante mejorar el conocimiento entre los trabajadores, para minimizar esos ataques informáticos». La pregunta que se plantea Andreu Bru, sin embargo, va más allá de las razones que llevan a esa vulnerabilidad de las pymes. Se trata de «por qué una pyme debería establecer pautas o protegerse». La respuesta es simple: «Por su negocio y su reputación».

«Un ataque dirigido a una pyme -explica Bru- puede significar la parada de un servicio o la pérdida de datos, y por lo tanto la pérdida de confianza de los clientes. La pérdida de reputación, datos y dinero es por lo que una empresa debe autoprotegerse, tanto por medios tecnológicos como por la sensibilización de los trabajadores».

«La mayor debilidad de las empresas es pensar que sus sistemas o datos no son atractivos para la delincuencia» (Laura del Pino, BBVA)

Laura del Pino, de BBVA, resume todo esto en una frase: «La ciberseguridad no solo nos debe preocupar, sino ocupar a todos». En su opinión, un ciberdelincuente siempre encontrará un beneficio en un ciberataque. Sea porque las ganancias son altas, en el caso de una gran empresa, o sea porque son fáciles de conseguir, en el caso de pymes más desprotegidas.

«Atacar a una gran empresa -explica Del Pino- puede tardar meses, mientras que en una pequeña el resultado es inmediato. La mayor debilidad de las empresas es pensar que sus sistemas o datos no son atractivos para la delincuencia. Por eso es necesario tener una estrategia tecnológica y de concienciación de las personas».

La capacitación y formación de los empleados es un primer paso fundamental para implantar una cultura de la ciberseguridad

Es precisamente el componente humano lo que, según esta experta en seguridad, ofrece las mayores vulnerabilidades hoy. «El mayor riesgo -explica Laura del Pino- es la ingeniería social, engañando a la víctima para que se descargue un archivo malicioso con el que pedir después un rescate, o suplantando al CEO de la empresa o a un proveedor, pidiendo que cambie la cuenta de destino del pago habitual de un servicio». De ahí la importancia, en su opinión, de concienciar y formar a las personas.

Pasar a la acción
Interiorizadas esas necesidades, es el momento de pasar a la acción, con la vista puesta en que, de no hacerlo, el primer perjudicado será el negocio. «Todas las empresas deben entender que la ciberseguridad es un riesgo de negocio, no tecnológico», insiste Oriol Torruella, de la Agència de Ciberseguretat de Catalunya. Por eso «la ciberseguridad debe introducirse como un elemento más de los procesos en la empresa, desplegando una cultura de la ciberseguridad con un programa de formación, pero con los directivos en primer lugar, porque son los que deben liderar».

El punto más débil en la seguridad de las empresas son las personas y sus correos

«La formación y la concienciación es la herramienta más efectiva -coincide Manel Medina, de la UPC-, porque la ingeniería social es hoy la forma más usada: es más fácil que alguien te dé una contraseña que llevar a cabo un ataque de fuerza bruta. Por eso las pymes tienen que hacer ciberejercicios, a otra escala, de recuperación de datos o de simulación de ataques de phishing o fraudes del CEO».

«La segunda cosa -aconseja este catedrático- es tener a mano una agenda de contactos de gente que te pueda ayudar en caso de tener una incidencia. Muchas empresas saben quién les puede ayudar en caso de que tengan un escape de agua o un problema eléctrico, pero no si son víctimas de phishing o ransomware. Y la probabilidad de sufrir un ataque de ransomware es más alta que un escape de agua».

Catalunya concentra una de cada tres pólizas aseguradoras ante ciberataques que se firman en España, según datos del BBVA: la ciberseguridad gestionada, como un proveedor más de servicios a la empresa, es un sector al alza

De la misma opinión es Laura del Pino, de BBVA: «Hoy es más probable que una empresa sea atacada que no que tenga un incendio. Y cuando atacan a mi empresa, ¿a quién llamo?». La contratación de ciberseguros es una solución al alza. Pero requiere también de un cambio cultural. Igual que notificamos un siniestro, es necesario « denunciar ante las autoridades competentes un ciberataque, lo mismo que si hay un traspaso de fondos en un incidente hay que comunicarlo al banco lo más rápido posible», explica Del Pino. «Notificar un incidente de ciberseguridad -coincide Manel Medina, de la UPC- no tiene por qué ser un problema reputacional».

Andreu Bru, de Pimec, habla aquí de «ciberseguridad gestionada», donde «igual que tenemos contratada una empresa de alarmas, tenemos una de ciberseguridad conectada, donde subcontratamos esos servicios para ofrecer niveles de ciberseguridad adecuados, como complemento del seguro». Se trata de «pasar de una cultura reactiva a una preventiva», añade Laura del Pino, de BBVA, que si bien destaca la importancia de la formación y la concienciación, matiza que «hay medidas más técnicas que, si no se tienen los conocimientos, deben hacer otros».

Sin olvidar hacer primero los propios deberes: «Muchas empresas ponen firewall, antivirus... pero luego le preguntas a los directivos y no tienen ni idea de qué antivirus usan», alerta Andreu Bru, de Pimec.

Comentarios
Multimedia Diari