Más pequeño no significa menos visible. Las PYMES españolas, las cuales representan un amplio porcentaje de nuestro tejido empresarial, se encuentran en grave riesgo ante el aumento de la ciberdelincuencia, pero no todas ellas son conscientes de ello.
Las PYMES han formado parte intrínseca del evento Digital Enterprise Show 2021, celebrado en IFEMA entre el 18-20 de mayo. Una de las ferias más importantes de ciberseguridad en España ha vuelto con las pilas cargadas, y con ganas de dar a conocer las últimas novedades en la materia mencionada. Uno de los temas candentes ha sido los ciberriesgos empresariales que corren las PYMES y la poca conciencia sobre el peligro que corren. Para darlos a conocer, la ponencia ha contado con tres invitados de lujo; invitado que han hablado de aspectos como fraude al CEO, Phishing, Vishing o ciberataques.
Digital Enterprise Show 2021: PYMES españolas, ¿en riesgo extremo frente a ciberataques?
Según datos del Ministerio de Industria, Comercio y Turismo, el porcentaje del tejido productivo español está formado, casi en su totalidad, por PYMES. La cifra no es nada desdeñable ya que hablamos de un 99,2%. No es necesario mencionar el grado de importancia que tienen las PYMES para el PIB de España (el cual asciende a un 65%). Como tampoco lo que aporta a nivel de puestos de trabajo (75% del territorio nacional). A pesar del sumo grado de importancia, el conglomerado de PYMES tiene alguna tarea pendiente que solucionar, concretamente a nivel de ciberseguridad. Vivimos una época convulsa en el ámbito informático y cada vez son más los riesgos que se corren a la hora de digitalizar una empresa.
La falta de concienciación, formación, conocimientos del sector y, en cierto sentido, dejadez por parte del empresario, dan rienda suelta a los ciberdelincuentes. Un PC se ha convertido en algo más que una herramienta con la que trabajar o gozar de un rato de ocio; hoy en día es un arma en manos de aquellos que se dedican a los ciberataques. El número de ellos aumenta de forma exponencial año tras año, y cada vez son más frecuentes a micro, pequeñas y medianas empresas. En 2020, las PYMES se han convertido en el blanco preferido de los ciberdelincuentes, que han aprovechado la pandemia para derribar el débil escudo que sustenta su seguridad informática. ¿Qué hacer ante está terrible, y cada vez más frecuente, situación?
Un ransomware puede matar a una PYME de una tacada
Un ciberataque, sobre todo cuando se ejecuta contra una PYME, puede llegar a causar estragos difíciles de paliar. Un ataque de ransomware podría ser el causante de que los empleados de una compañía se vean en la calle, y la empresa quebrada. Bien por la imposibilidad de recuperar la información robada (ausencia de back-ups), o no poder pagar el rescate solicitado, la situación podría ser irreversible. Ante un panorama así, la mejor respuesta posible es edificar unas bases sólidas para enfrentarse a los ciberriesgos. Para conocer cómo paliar estos problemas, el DES2021 ha tenido a bien celebrar una ponencia dedicada precisamente a ellos. Una ponencia con invitados de lujo y cuyas opiniones vamos a ver en las próximas líneas.
Digitalización y aprovechamiento del proceso para reforzar la ciberseguridad.
*Moderado por: Marlon Molina, CWU Certification Officer de Computerworld University.
La ponencia contó con la presencia de tres expertos en materia de ciberseguridad, los cuales trataron diversos temas desde su experiencia. Uno de los aspectos clave tratados por los invitados fue la concienciación; un pilar fundamental para que los empleados de una empresa sepan cómo actuar para evitar problemas en un futuro. La ciberseguridad es un concepto que las empresas están asimilando cada vez más, y su refuerzo se antoja necesario de cara a la protección de la información. Evidentemente, no todas siguen las pautas marcadas y se meten en graves problemas. Con estos consejos, seguro que la cosa cambia un poco.
La primera pregunta de la conferencia estuvo relacionada con la transformación digital de una empresa y en cómo aprovechar ese proceso para reforzar la ciberseguridad. El encargado de recoger el testigo fue Ángel Pablo Avilés, Chief Security & Strategy Officer en Smart Human Capital, quien comentó: –“claro que podemos, y debemos, aprovechar este momento. Un cliente me dijo que, para ellos, no era el momento para adentrarse en la ciberseguridad. Dos semanas después se vio atacado por un ransomware que cifró 600 servidores. Creo que ahora es el momento idóneo de la digitalización de las empresas, empezando por el eslabón más débil: el usuario”–. Hasta que una empresa no se ve atacada por un ciberdelincuente, no valora los riesgos que corren tras la digitalización.
La concienciación no es el asunto; sí de inteligencia y normativa
Tras la intervención del señor Avilés, el siguiente en dar su opinión fue Enrique Ávila, Director del Centro de Análisis y Prospectiva de la Guardia Civil: –“utilizar el término concienciación es algo que intento evitar. El ser humano es el único capaz de tropezar un millón de veces con la misma piedra. Esto es un tema de inteligencia y de cumplimiento normativo; inteligencia en cuanto al uso de los recursos disponibles como: cámaras de perímetro, puertas blindada, personal de confianza… En cuanto a cumplimiento normativo, el Estado genera leyes que son necesarias; no son cuatro amigos tomando cervezas y crean un Esquema Nacional de Seguridad. Es una línea base de cumplimiento y jurídicamente existe un concepto de Diligencia Debida”–.
La última ponente en dar su opinión fue Rosa María Serrano, Head of Cyber Law and Data Protection en DLTCode, quien comentó: –“la transformación digital es un hecho. Supone un proceso evolutivo y recurrente, que es necesario constantemente estar adaptándonos y ser conscientes de esta realidad. Las empresas deben conocer qué hay unas vulnerabilidades muy sensibles que se ven afectadas: los datos de las personas, y los suyos propios. Son responsables del cuidado y protección de los mismos, y tener en cuenta el marco normativo que existe. No es lo mismo tratar datos de sanidad (muy sensibles) o el ámbito legal, que los datos que trata una panadería por ejemplo. Las empresas deben coger las riendas de la situación y llevar a cabo una buena planificación e implementación de medios”–.
¿A qué se enfrentarán las empresas tras las post-pandemia?
Ante esta pregunta, el primero en opinar fue Enrique Ávila, Director del Centro de Análisis y Prospectiva de la Guardia Civil, comentando: –“estamos en un mundo estúpido. Básicamente, estamos dedicando nuestros mejores recursos y crear armas y contra-armas. Estamos en un juego de suma cero, estúpido completamente, donde estamos dedicando nuestros mejores cerebros y mentes a cosas que generan eso. Tenemos un problema gordo, porque esas mentes están creando sistemas de ataque para los que tenemos pocas herramientas con los que defendernos de ellos. Estamos en una situación de riesgo a nivel global, y mitigarlo significa invertir en recursos y capacidades. Estamos en un problema porque la soberanía se puede ejercer sobre un territorio, pero no en el ciberespacio”–.
Tras la magistral explicación del señor Ávila, el turno pasó a Ángel Avilés, Chief Security & Strategy Officer en Smart Human Capital, comentando: –“la concienciación es, para mí, primordial. No estamos empleando demasiado en buscar sistemas de defensa muy sofisticados, ya que los atacantes están empleando cada vez más sistemas sofisticados para atacarnos. El principal protagonista es el ataque ransom; antes nos cifraban y ahora, además se llevan información para extorsionar. Los ciberdelincuentes son listos y utilizan técnicas no tan novedosas ya que siguen usando el e-mail, es decir, técnicas de ingeniería social. Hay que concienciar que los malos, cuando encuentran una infraestructura bien segurizada van a ir a por la persona encargada del mantenimiento”–.
La Guardia Civil estudia la funcionalidad y eficiencia de los procesos de gamificación
El señor Ávila tuvo una segunda participación en esta ronda, en la cual fue inquirido sobre cómo reaccionar ante algo así. Director del Centro de Análisis y Prospectiva de la Guardia Civil comentó: –“En la Guardia Civil estamos viendo la funcionalidad y eficiencia de los procesos de gamificación avanzada, no para concienciar sino para automatizar las respuestas de los usuarios. Con esto vemos si la dirección coincide con la cabecera del mensaje, si hay alguna malformación en el mensaje, el no dar datos personales en las redes, etc. Hemos visto que son mucho más eficientes si se automatizan a través del juego. Estamos comprobando/evaluando vía I.A. las capacidades, respuestas y fallos de una organización”–.
Rosa María Serrano, Head of Cyber Law and Data Protection en DLTCode, ante la pregunta planteada, respondió: –“en una empresa, un empleado entra y sabe que al salir tiene que cerrar la puerta con llave. Llevado al ámbito digital, esto es lo mismo pero no es tangible Los empleados no son conscientes del alcance que tiene usar los dispositivos de la empresa (cuentas de usuario, etc.). El empleado es responsable de todos los datos que se usan en la empresa. Las compañías deben invertir en todos los procesos de material de ciberseguridad, estableciendo protocolos que los empleados sepan aplicar y entender; lo mismo para los altos cargos. Es necesario que las empresas hagan una inversión económica, en tiempo e información para trasladarlo a los empleados”–.
¿Deber ser la ciberseguridad parte de esa entrada a la organización?
Ángel Avilés, Chief Security & Strategy Officer en Smart Human Capital, ha comentado al respecto: –“en mi empresa no podemos ser herreros y tener cuchillos de palo. Cuando se incorpora un huevo trabajador, se le da un manual del empleado y dentro hay un apartado específico de ciberseguridad. Hacemos campañas internas de concienciación a través de mini-charlas, enviando píldoras o incluso tomando el café. Hay que concienciar, acompañarlos desde el inicio porque, al menos en Smart, están usando la conectividad, la tecnología. Nuestro trabajo es remoto y, desde el primer momento, se les dan pautas para la forma de trabajar”–.
Enrique Ávila, Director del Centro de Análisis y Prospectiva de la Guardia Civil, respondió a la pregunta planteada que: –“el tema de la ciberseguridad no son PC-citos puestos encima de una mesa ni CPD’s llenos de servidores. Tenemos una cosa que se llama internet de las cosas. La PYME de España es… vamos a decir industrial. Toda su industria tiene máquinas ya conectadas, es decir, las proyecciones de concienciación en materia de ciberseguridad que manejamos quedan, como mínimo, obsoletas según sectores. Estamos en el que si yo me conecto a un portal y compro un Smartphone de X características me dejan subir mi propio firmware; esto es extrapolable a otros dispositivos. ¿Cómo protejo eso si ya se da serie? ¿Y la cadena logística? Hemos creado una red para la resiliencia y no para la seguridad; es un problema que hay que resolver”–.
La empresa debe ser consciente de los riesgos a los que se expone
Rosa María Serrano, Head of Cyber Law and Data Protection en DLTCode fue la encargada de cerrar la ponencia: –“lo primero es analizar que ventanas tienes abiertas, cuáles son los peligros y cómo se encuentra el sector (más o menos vulnerable). Una vez hecho todo el análisis recurrir a la legislación aplicable (nacional o internacional), los proveedores, la legislación de los clientes y aplicar. La ley no puede regular todos los peligros ya que estos surgen en el día a día, y la ley va un poco por detrás. La propia empresa tiene que ser consciente de que si se expone a esos riesgos saldrá perdiendo, y necesitará adoptar medidas para ello; buenas conductas y costumbres, invertir en prevención y en protocolo. No hay una medida genérica ya que la forma de actuar de las empresas son diferentes”-.
