El tamaño define a la empresa. Más de 250 empleados constituye una gran empresa; con menos, estamos ante una pequeña y mediana. El 99,87% de las compañías de nuestro país son pymes.
Al margen de la cifra de trabajadores, una de las diferencias más notables entre unas y otras tiene que ver con su seguridad. Las grandes marcas destinan grandes partidas presupuestarias a la defensa de la privacidad de sus usuarios, la estabilidad de sus plataformas o blindar las comunicaciones entre sedes. Las pymes, no; y sin embargo las amenazas a las que se enfrentan son las mismas. Entonces, ¿qué pueden hacer las pymes españolas para ponerse al mismo nivel de seguridad que las grandes empresas?
¿Están protegidas las pymes españolas en materia de ciberseguridad?
No, no lo están, pero la situación no solo es local. Según el último estudio publicado por la consultora EY bajo el título Global information security survey 2018-19, el 87% de las pequeñas empresas a nivel global “sigue sin contar con el presupuesto necesario para poner en marcha sistemas efectivos de ciberseguridad”. Hace un año era el 89%.
“Hay un desajuste entre la cultura de seguridad con respecto al objetivo”
El problema no solo es puramente económico. En el Cibersecurity culture report, que el CMMI Institute publicó hace unos meses, podemos leer cómo “el 95% de las organizaciones admitió que hay un desajuste entre la cultura de seguridad [del personal] con respecto al objetivo”. La ciberseguridad también es una cuestión cultural, y casi todos los lectores tendrán en mente la larga contraseña de seguridad alfanumérica que descansa en un post-it.
Javier Candau, jefe de Ciberseguridad del CNI, afirmó hace unas semanas que las empresas apenas rozan el aprobado en el cumplimiento de la última ley de protección datos. De hecho, “los datos recogidos por la solución INES (Informe Nacional del Estado de la Seguridad) evidencian la necesidad de seguir invirtiendo recursos para mejorar los niveles de seguridad”.
¿Puede copiar la pequeña empresa estrategias de las grandes?
Sin duda, sí, a escala y costes proporcionales. Las pymes necesitan invertir recursos, pero hemos de ser honestos: no disponen del capital que puede tener una gran empresa, aunque tampoco tienen el mismo número de líneas telefónicas, visitas web o descuidos de empleados. Eso sí, comparten, por ejemplo, un mismo reglamento de seguridad electrónica para preservar datos.
“Comprender o no cómo funciona la tecnología que protege el negocio de ciberataques no va ligado al hecho de que sea necesario”
Estos puntos en común, unidos al factor de escala, permiten copiar algunas estrategias de empresas más grandes —y más rígidas— a un entorno flexible. Especialmente gracias a innovaciones de mercado que hacen posible adquirir soluciones a medida: una empresa con 5.000 empleados requerirá mil veces más ancho de banda protegido que una con cinco, por poner un ejemplo.
Estas fueron algunas de las conclusiones a las que expertos en pequeñas empresas y ciberseguridad llegaron en el evento IDG Cyber Xecurity Day. Organizado por X by Orange de la mano de IDG Research y con el apoyo de Check Point y Nokia, el objetivo era dar a conocer iniciativas para blindar a las pymes y equiparar su ciberseguridad a las grandes marcas. Porque la tecnología ya lo ha hecho posible.
¿Tienen por qué saber las pymes de ciberseguridad?
¿Cuánto de contabilidad o seguros tiene que saber una pyme? La mayoría de ellas no disponen de un departamento de contabilidad o un gabinete jurídico. Sin embargo, recurren a expertos en estos campos para llevar su negocio, sea cual sea. Del mismo modo, hoy es posible adquirir un paquete que englobe IPSEC y conectividad VPN entre sedes para que la información entre empleados no salga del circuito.
“La cuestión ahora no es si tu empresa va a sufrir un ataque o no, la cuestión es cuándo”
La persona responsable de una pyme podría leer “VPN” y no entender la mecánica interna que rige este túnel virtual entre servidores. Sin embargo, puede usarla con éxito y blindar la información de sus clientes. Del mismo modo, términos como protección frente al malware de día cero o bloqueadores anti-ransomware pueden quedar muy lejos de sus habilidades informáticas.
Comprender o no cómo funciona la tecnología que protege el negocio de ciberataques no va ligado al hecho de que sea necesario. En palabras de Chema San José, CTIO de X by Orange, “la cuestión ahora no es si tu empresa va a sufrir un ataque o no, la cuestión es cuándo”.
De modo que las pymes han de preocuparse de su seguridad interna, pero esto no significa que deban hacer como las grandes empresas y desarrollar tecnología propia. A ninguna pyme se le ocurriría desarrollar un editor de textos: para eso invierten en Word, usan Google Docs o prueban soluciones abiertas como Open Office.
La pyme puede usar inteligencia artificial en su defensa
“Es importante que haya quien se encargue de convertir las tecnologías avanzadas de las que hacen uso las grandes empresas”
Una de las últimas soluciones comerciales en aparecer en el mercado, y pionera en el mercado español, es X Security, un servicio de redes seguras que incluye, por una parte, la creación de una Red Privada Virtual entre las sedes de la empresa y, por otra, el análisis y filtrado de todo el tráfico de cada sede hacia Internet gracias a un potente conjunto de firewalls en la nube. Esto garantiza que todo el tráfico que viene o sale a Internet es analizado y filtrado, mientras que toda la comunicación entre las sedes estará cifrada y autenticada.
Como ya se ha comentado, el trabajador de una pyme, la persona encargada de su seguridad o su dueño no tienen por qué conocer las bases bajo las que funcionan estos sistemas informáticos, pero sí aprender a usarlos con seguridad. Por eso es importante que haya quien se encargue de convertir las tecnologías avanzadas de las que hacen uso las grandes empresas y que las transforme en servicio que las pymes necesitan.
Así nació X by Orange, la “nube fácil para empresas” que busca facilitar la vida a las pymes y que incluye, por ejemplo, un motor de inteligencia artificial que ayuda a detectar al usuario en base al comportamiento. Una huella digital única y personal que no puede ser imitada. Esta empresa, filial de la teleco, dispone de cuatro verticales orientados a la pyme: digitalización, colaboración, conectividad y privacidad, la que centra estas líneas .
Educar en seguridad, una apuesta innegable
A lo largo de 2018, la compañía de seguros Hiscox analizó miles de incidentes con ciberdelincuentes. Según sus datos, el 67% de los incidentes tuvo como causa algún error del personal: el 23% había dejado pasar ransomware, el 16% había provocado pérdida o mal uso de información y el 12% había sido víctima de phishing, una técnica de suplantación de identidad.
“El 67% de los incidentes tenía como causa un error del personal”
Volvemos al post it con la contraseña, pero sin olvidar la ingeniería social o técnicas más sofisticadas de ataques. Muchos de ellos culminan con éxito gracias a despistes o desconocimiento, un campo en el que las pymes pueden trabajar formando a sus trabajadores: verificar la información del remitente, memorizar contraseñas cada poco tiempo, no establecer permisos de administrador en los dispositivos…
Educar en seguridad es una apuesta innegable que da sus frutos. Pero invertir en soluciones de defensa —de nuestros datos y los de nuestros clientes— constituye una necesidad actualmente. Especialmente ahora que el RGPD europeo marca unas directrices más estrictas que hace unos años.
Plataformas como X by Orange facilitan soluciones escalables y modulares a medida en base al tamaño de la pyme, su tipo de negocio, qué herramientas necesitan o cuáles son sus objetivos de crecimiento. Una pequeña tienda de barrio ahora puede disponer de herramientas de seguridad antes vetadas por su incapacidad para hacer frente a determinadas partidas presupuestarias. No serán las mismas que implante una gran empresa, pero tendrán el mismo fin: garantizar la seguridad los datos que manejan y las infraestructuras con las que cuentan.
Imágenes | iStock/Deagreez, Marten Bjork, Emilio Garcia