Las amenazas contra la ciberseguridad son, por desgracia, una realidad: el dan fe de ello. Cualquiera puede verse afectado, desde comerciantes autónomos hasta corporaciones multinacionales y las repercusiones económicas de una infracción son importantes, . Por tanto, es fundamental que todas las empresas estén preparadas para el momento en que sus actividades sufran un ataque.
¿Qué significa esto? En el caso de las pequeñas empresas, la idea de tener que invertir más en medidas de ciberseguridad puede resultar abrumadora. Por naturaleza, el acceso que tienen las pequeñas empresas a los recursos necesarios es limitado en comparación con las grandes empresas, como indica un estudio de Symantec. Este estudio revela que, pese a enfrentarse a las mismas amenazas que las grandes empresas, las PYMES carecen de su mismo nivel de conocimientos y de otros recursos de seguridad.
Afortunadamente, en lo que a ciberseguridad se refiere, mejorar la capacidad de una empresa para contrarrestar las amenazas es cuestión tanto de cambiar la actitud y cultura como de adoptar las últimas tecnologías. Aunque es fundamental mantener actualizados los sistemas y el software, también lo es asegurarse de que todos los empleados de la empresa entienden el papel que deben desempeñar para mantener la seguridad.
Para ayudarle, hemos elaborado estos siete consejos fundamentales para mejorar su resiliencia frente a la ciberdelincuencia:
Ya se trate de una realizar una buena gestión de contraseñas, efectuar copias de seguridad de los datos o mantener actualizadas las licencias de software, las medidas más básicas constituyen lo que toda empresa debería hacer por descontado. Debe hacerse de forma sencilla: desde asegurarse de que los empleados actualicen sus contraseñas periódicamente hasta implantar un proceso de actualización y sustitución de activos de software (el 54 por ciento de los CIO del mundo consideran que los riesgos de ciberseguridad constituyen el principal motivo para evitar el software sin licencia), realizar bien las tareas primordiales mejora la resiliencia frente a la ciberdelincuencia ya que se minimiza el riesgo de error humano (mencionado a menudo como el punto débil de las estrategias de ciberseguridad).
La tecnología y las amenazas avanzan al unísono. A pesar de que todo el mundo, desde el presidente del consejo hasta el último becario, tiene la obligación de proteger la empresa, resulta patente que no se hace lo suficiente para que se conciencien de ello. El noventa y cinco por ciento de las violaciones de ciberseguridad se debe a errores humanos, y las amenazas de ingeniería social (como el phishing), que se aprovechan de las debilidades personales, ocupan el primer lugar de los ataques más habituales. Las empresas deben invertir más en la formación de todos sus miembros para que aprendan a actuar con mayor seguridad. Existen organizaciones gubernamentales que ofrecen formación gratuita.
Al igual que sucede con muchos aspectos de un negocio, puede resultarle complicado mantener la objetividad a la hora de plantearse su seguridad. Sus aplicaciones de misión crítica están completamente a salvo, ha limitado los accesos en los ámbitos necesarios y sus sistemas están actualizados, pero ¿se ha dejado alguna brecha sin querer? Piense en esta analogía: ¿ha echado la llave de la puerta principal, pero se ha dejado abierta la ventana del aseo del sótano? Los ciberdelincuentes buscarán el punto de menor resistencia: esa aplicación de marketing puede ser innecesaria ahora que ha acabado la campaña, pero si de algún modo está ligada a su empresa y no la ha contemplado en su estrategia de seguridad, podría en efecto quedar expuesto.
Invertir en algo que no genere ingresos directamente puede ser difícil de digerir para algunos, pero las consecuencias de la inacción podrían derribar cualquier empresa. Estar preparado para lo peor garantiza que, cuando se produzca un ciberataque (no se trata de si ocurrirá, sino de cuándo), exista un plan para repelerlo o, al menos, para mitigar sus efectos.
Las principales organizaciones internacionales cuentan con departamentos de seguridad de la información, presupuestos específicos de centenares de millones y equipos dedicados exclusivamente a la seguridad de la información, unos recursos con los que las PYMES solo pueden soñar. Pero esto no significa que no puedan disponer de alguien que se ocupe de su ciberseguridad. De hecho, es algo indispensable. Aunque todo el mundo debe conocer sus responsabilidades, contar con alguien que entienda los protocolos normativos, legislativos y de gobernanza necesarios para la empresa garantiza que la seguridad que se implante los proteja no solo ante las amenazas, sino frente a otras consecuencias en el caso de sufrir una violación de los datos a gran escala.
Dadas las graves infracciones que se producen con frecuencia, la concienciación pública de la necesidad de ciberseguridad y de la responsabilidad de las organizaciones es más elevada que nunca. Añadamos a esto la aprobación de legislación destinada a la protección de los datos personales, como el RGPD, y que la seguridad ya forma parte de la actividad cotidiana de muchos negocios, independientemente de si reporta o no beneficios económicos. Viéndolo desde esta perspectiva y no como un mal necesario, se facilita la integración de la seguridad en las actividades normales de la organización y, a su vez, se mejora la resiliencia frente a la ciberdelincuencia a todos los niveles.
La ciberseguridad es una cuestión nacional y muchos gobiernos ofrecen formación y asesoramiento gratuitos, además de listas de expertos acreditados con certificación en seguridad. En el Reino Unido, el National Cyber Security Center dispone de ingentes recursos en línea para las pequeñas empresas, tales como una herramienta de autoevaluación que permite a las organizaciones comprobar los controles de seguridad de TI más críticos de la infraestructura de sus empresas y ofrece la posibilidad de obtener la certificación de ciberseguridad. Este certificado confirma a los clientes que se toma la seguridad en serio y le permite conocer sus propias fortalezas y debilidades.
A medida que las empresas dan el salto al mundo digital, también aumenta el riesgo de sufrir ciberataques. Hoy resulta inconcebible un negocio no digital, por lo que resulta fundamental mostrar resiliencia frente a las ciberamenazas. Exige mucho esfuerzo y, en algunos casos, un importante cambio de cultura y actitud, pero hacer caso omiso es tentar al desastre. Solo mediante la integración de principios de seguridad en el tejido de la empresa pueden las organizaciones cosechar los frutos de la digitalización, con la certeza de haber gestionado el riesgo de sufrir violaciones de la seguridad lo mejor posible.
