Por Luis Ojeda, CEO de Centribal, empresa internacional de Ciberseguridad y Omnicanalidad.
Hablemos de ciberseguridad y de pymes, o de microempresas y pymes, para utilizar correctamente los términos y no dejar fuera a ninguna de ellas, aunque englobaremos a todas dentro del término “pymes” para hacerlo más sencillo. Y sí, en la misma frase encontramos “ciberseguridad” y “pymes”, ya que al contrario de lo que se pueda pensar, las micro, pequeñas y medianas empresas sufren este tipo de problemática, y aunque para muchas de ellas parezca ser un tema ajeno, la realidad existe y no se puede mirar para otro lado. Tarde o temprano, y más bien esto último, las empresas que no dispongan de las medidas oportunas de seguridad sufrirán un incidente, y en ese momento ya será tarde.
Ni mucho menos se trata de alarmar sobre este asunto, simplemente se trata de plasmar la realidad y ponernos frente a ella. Hay muchos datos al respecto, y podríamos verterlos uno tras otro, pero como lo breve si bueno dos veces bueno, pongamos sólo alguno que pondrá de manifiesto lo grave del asunto:
- El 70% de los ataques cibernéticos lo sufren las pymes.
- Tan solo un 35% de las pymes tienen establecidos protocolos básicos de seguridad.
- El coste medio de un ciberataque a una pyme es de 35.000 euros.
- El 60% de las pymes cierra seis meses después de haber sufrido un ciberataque.
Si vamos haciendo concatenación de estos simples datos, veremos que hay un objetivo claro y que además no está bien defendido: las Pymes.
Por tanto, conocemos el contexto actual en el que nos movemos y “se mueven”, y además tiene bastante sentido que sea este, porque la percepción entre las pymes de que existe este riesgo es casi inexistente, lo cual es un caldo de cultivo más que propicio para que se conviertan en objetivos prioritarios, ya que si un ente no tiene sensación de peligro no está prevenido frente a él (para los que tenemos una edad, esto lo explicaba bien Felix Rodriguez de la Fuente en el mundo animal).
Por dar algún detalle más de cómo suelen ser estos ataques hoy en día, citemos dos aspectos muy relevantes. Uno de ellos se refiere a que los ataques son menos dirigidos y más masivos, es decir, se lanzan a discreción sobre muchas víctimas potenciales y son poco complejos técnicamente.
«Un ejemplo de este tipo es el llamado “fraude del CEO”, que consiste en hacerse pasar por el CEO de una empresa, y escribiendo al departamento financiero lograr que se haga una transferencia a la cuenta de los ciberdelincuentes».
El segundo aspecto a destacar, de los citados ataques actuales, es que se aprovechan de la falta de concienciación de usuarios y empleados, esperando a que “alguien haga clic en un enlace malicioso, o abra un adjunto, etc.”
Muchas Pymes han perdido dinero con este tipo de ataques
Así las cosas, teniendo identificado el problema, conociendo el contexto actual, los tipos de ataque que se llevan a cabo, el objetivo de estos, la siguiente pregunta sería “¿y qué podemos hacer?”. Pues volviendo al dicho de “lo bueno si breve…”, quiero destacar algo bastante simple pero que sería la recomendación que haría a un empresario en este sentido, y sería pensar y trabajar sobre estos dos puntos:
- ¿Qué medidas puedo tomar para evitar, en la medida de lo posible, un ataque?
- Y en caso de que me suceda (o, mejor dicho: Cuando me suceda, porque probablemente ocurra), ¿qué plan de acción tendré instaurado para revertir el incidente en el menor tiempo posible?
Y aquí podríamos empezar a explicar con mucho detalle cada uno de los puntos y teóricamente cuales son las respuestas, pero no es el foco de este artículo llegar hasta esa profundidad, pero SÍ que las pymes tomen conciencia de que deben tener respuesta a esas dos cuestiones, porque en esas respuestas pueden estar la subsistencia de estas.
Obviamente, las respuestas no las debe tener el empresario, o sí, pero al menos saber que tiene que rodearse de especialistas que sean quienes tengan esas respuestas y quienes las lleven a término. Esto debe ser tan importante como tener un buen financiero para llevar las cuentas de la empresa y los impuestos, bien sea como empleado o de forma externa a través de una gestoría.
«Invertir, que no gastar, en sistemas preventivos para que una empresa esté menos expuesta frente a los ciberataques, debe ser una prioridad en la Pyme de Hoy».
El hecho ya, de disponer de estos sistemas preventivos, es la base para estar mejor posicionados en la segunda pregunta que hacíamos, y es que, el ataque cuando llegue será de menor gravedad, será detectado en menor tiempo, será mitigado de forma menos costosa, se podrá retomar la actividad en mucho menos tiempo, en definitiva, hará que la Pyme pueda subsistir y dedicarse a su negociado, y no a pelearse con ceros y unos.
