#MenudasEmpresas


Primer paso ante las ciberamenazas: un plan director de seguridad


Primer paso ante las ciberamenazas: un plan director de seguridad

Adrian D.C.M | Madrid


La ciberseguridad es uno de los desafíos más grandes para el sector empresarial. En los próximos años sólo en nuestro país empleará a más de 83.000 personas. El reto no es algo ajenos a los pequeños negocios.

Mikel Rufián es Docente y Global Director, especializado en Ciberseguridad, Ciberinteligencia y Seguridad Integral. Actualmente es Director Global de Cybersecurity, Intelligence & Industry 4.0 en Bidaidea y uno de los conferenciantes más reconocidos del sector. Con él hablamos sobre los efectos de las ciberamenazas en los pequeños negocios. 

Mikel, ¿Cuáles son las principales ciberamenazas a las que vamos a tener que hacer frente este 2023?  

Ahora mismo estamos viviendo un proceso de digitalización muy fuerte en nuestra comunicación, nuestro trabajo… Todo lo que nos rodea es digital. 

Tenemos desde el malware sofisticado, tipo ransomware o fishing, y esas campañas seguirán. A lo mejor conocemos a un tercero que ya le ha pasado, pero este 2023 nos puede ocurrir a nosotros y por eso hay que estar preparado. 

Luego también, tenemos la dependencia de la nube. Muchas veces nosotros tenemos acceso a una herramienta o a un software que compramos a un tercero y está en una nube. Eso implica ciertos riesgos ya que no tenemos el control y debemos tener las medidas adecuadas o tener proveedores adecuados que, a nivel normativo, brinden un servicio eficaz. 

¿En la industria puede haber riesgos? 

Respecto a la industria 4.0, hemos visto que se están digitalizando empresas que a lo mejor fabrican papel y tienen máquinas de hace cincuenta años. Lo malo que ese entorno es tan antiguo que a lo mejor no se permite apagar, encender o actualizar, entonces es un problema a nivel de ciberseguridad. Eso puede derivar en una parada en una fábrica y eso tiene un impacto económico bastante fuerte, no es solo un robo de información, sino una parada ya física de tu producción. 

Y por último, ya todo el mundo tiene una huella digital o tiene una página web y está expuesto para vender sus productos o su imagen personal corporativa. Ahí se dan ataques web, por una mala configuración, un mal parcheo desde un WordPress o un robo de cuentas de redes sociales. 

¿Cómo ves el nivel de madurez que tenemos en España respecto a la ciberseguridad? 

Aunque te parezca mentira, el nivel de madurez que tenemos en España es bastante elevado con respecto a otros países, incluso a nivel europeo. 

En Latinoamérica están madurando en ese aspecto, pero se están poniendo las pilas muy rápido. Eso quiere decir que pasan de cero a diez y están muy concienciados que tienen que invertir. Algo que aquí en España, sobre todo, a un autónomo, a una mediana pequeña empresa, le cuesta ver el retorno. 

Ya que has mencionado al a los autónomos, a las pequeñas y medianas empresas, supongamos que una pequeña empresa, se hace la pregunta de, ¿y por dónde empiezo yo? 

Muchas veces no es cuestión de hacer una inversión económica, sino empezar por un plan director de seguridad, que muchas veces son políticas y medidas básicas que podamos empezar a instalar en los equipos.

Y muchas veces es más sentido común, luego vendrá la inversión tecnológica, desde un antivirus, un firewall… Tampoco hay que hacer tanta inversión inicial, sino que es empezar a rodar, incluso hay diferentes tipos de normativas, como la ISO. 

Quieras o no, si empezamos a hacer una adecuación dentro de nuestra compañía, aunque seamos una pequeña PYME, nos va a empezar a obligar a mejorar esas prácticas y el día de mañana cubrir esa necesidad de riesgos bastante más completo. 

Dentro de ese plan director de seguridad y de ese sentido común el que apelabas hace un momento, ¿qué consejos prácticos le podemos dar a nuestros empleados los empleados de nuestra pequeña, de nuestra mediana empresa, para no incurrir en amenazas? 

Muchas veces la amenaza viene más de dentro que de fuera, incluso muchas veces de los incidentes que tenemos a día de hoy, el noventa por ciento los provocamos de forma interna, porque a lo mejor nos llegó un correo fraudulento y pinchamos. 

Entonces, siempre en ese plan director de seguridad tiene que haber un apartado que es formación concienciación. Esto no es solo una charla, un PowerPoint, sino hay que hacer una especie de lluvia fina, con que tenemos una responsabilidad, que es de todos y no solo del área de informática. Tenemos que ser capaces de detectar estos incidentes que nos puede llegar, desde nuestras redes sociales, nuestros correos, esos ficheros que nos puedan enviar… 

Hay que tener mucho cuidado con a quién le abrimos la la puerta. Sí. 

Claro, ¿cuáles son los pecados más habituales que que veis en vuestro día a día en esa relación entre cyber cyberseguridad de eCommerce? 

Sobre todo, es querer ahorrar en este en esta inversión, usando herramientas gratuitas que nos no están construidas a nivel de ciberseguridad. 

Se trata de sistemas muy abiertos y si tú no corriges esos fallos, dejas brechas y puertas traseras que pueden utilizar terceros. Es muy importante utilizar plataformas robustas, que haya una capa de soporte detrás y unas actualizaciones. Si te puedes permitir eso, o sino una herramienta donde haya un equipo detrás y que te vaya diciendo ya hay que actualizar, por qué hemos corregido estos fallos, estos parcheos, etcétera. 

Todo para que no tengamos ningún susto, y que el usuario, haga la compra final y que no le puedan clonar ni los datos bancarios, ni nada de eso. 

Durante toda la entrevista estamos hablando de la la ciberseguridad, como una inversión en la empresa. Sin embargo, habrá muchos gestores, propietarios de de pequeñas empresas, con presupuestos muy ajustados, que lo vean casi como un gasto. ¿Cómo podemos cambiar esa percepción? 

Claro, pues tienen que ver que lo que supone un fraude de esas características, por ejemplo, si tenemos una venta online y es nuestro principal foco de facturación, el 95% por ejemplo, Tener la página caída toda la semana o tener un incidente y que no salgan los pedidos o no tener visibilidad de la de esto, pues tiene un impacto bastante grande en ese en ese aspecto. 

Si al final necesitamos una máquina, un ordenador para trabajar, no tenerlo ¿Qué supone para nosotros esa parada de productividad? Ese coste indirecto. 

Conozco un caso muy reciente de una clínica dental que les ha entrado un ransomware y no tenían copias de seguridad y no sabían a quién me habían citado o no, y han estado durante un mes, pues esperando a ver quién venía. 


Si te ha interesado este post, puedes consultar esta entrevista con Ricardo de Ena: «Las pequeñas empresas están menos preparadas y son el objetivo número uno de los ciberataques»

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *