Chema Soler es CEO de Soler GDI, una empresa especializada en el desarrollo de aplicaciones, peritaciones y herramientas de seguridad informática. Para él “las grandes compañías y multinacionales son conscientes, desde hace mucho tiempo, de los peligros que implica transmitir su información a través de ordenadores, tablets o teléfonos móviles. Sin embargo, muchas pymes aún no han comprendido que también pueden verse gravemente afectadas por este problema”.
Y es que hay que tener en cuenta que, sólo en España, se producen en torno a 4.000 ciberataques al día. O lo que es lo mismo: que el 32% de ordenadores personales conectados a internet sufrieron, al menos, un intento de infección vía web, según se desprende del informe “Ciberseguridad: Tendencias 2017”, elaborado por Manel Medina, profesor del Máster en Seguridad Informática (UPC-VIU) de la Universidad Internacional de Valencia (VIU) y Mercè Molist, periodista especializada en ciberseguridad. Esto se traduce en las inversiones cada vez más altas que se realizan en materia de ciberseguridad, sobre todo por parte de la gran empresa. Iñaki Ortega, director de programas de Deusto Business School, cree que esto se debe a que las grandes corporaciones son multinacionales conscientes de sus puntos débiles en materia de seguridad informática e intentan protegerse: “esta preocupación es buena, porque demuestra que, ante un problema, se está dispuesto a tomar decisiones”.
Sectores como el financiero o empresas energéticas invierten enormes recursos en su seguridad. En cambio, las pymes, según el CEO de Soler GDI, ni están preocupadas ni preparadas: “incluso las que utilizan internet para vender sus productos y tienen en sus bases de datos información confidencial de clientes o proveedores. Sin embargo, cuando hablamos de empresas con plantillas inferiores a 250 trabajadores, suelen tener una percepción mucho menor de este riesgo”.
Un 50% de las empresas de menos de 10 trabajadores, sin ciberseguridad
Esto es lo que desprende de un estudio elaborado por Red.es y el Observatorio Nacional de las Telecomunicaciones y Sociedad de la Información (ONTSI). O, dicho en otras palabras: que son pocas (aunque, afortunadamente, cada vez más) las pymes que consideran importante invertir en la seguridad de sus equipos y archivos informáticos. Por esta razón, a nadie debería extrañarle que el 70% de los ataques informáticos que el año pasado se cometieron en España -unos 115.000, según datos del Instituto Nacional de Ciberseguridad- tuvieran como objetivo las pymes.
El argumento de que los piratas informáticos van a preferir entrar en una gran empresa, antes que en mi pyme, por el simple hecho de que la información que guardo en mis ordenadores es irrelevante, se cae por el propio peso de los datos... Y por el infausto recuerdo que dejó, en muchas pequeñas y medianas empresas el paso de Wannacry, un programa dañino de tipo ransomware que, tras infectar miles de ordenadores hace unos meses, dejó un rastro cuantificable en muchas empresas: los 250 euros en bitcoins que exigían los hackers para la liberación de cada ordenador infectado. Según explica el responsable de Soler GDI, “este modelo de rescate está pensado, especialmente, para la pyme. Y es que una cifra global para desbloquear todos los equipos afectados podría ser inasumible para una pequeña empresa. Con este sistema, el pago resulta asumible hasta para un particular”. Las pymes creen que no son objetivo de los hackers, pero lo cierto es que, normalmente, el ciberataque no es una persona atacando a otra persona, sino una máquina atacando a otra máquina, lo que lo convierte en algo indiscriminado. Chema Soler explica lo endeble de este argumento: ”con millones de sistemas informáticos en el mundo, por qué atacar los que están protegidos y no los desprotegidos”.
Cómo puede una pyme protegerse de los ciberataques
La pyme, por el simple hecho de serlo, tiene unas características que, a la hora de defenderse de un ciberataque, puede utilizar con eficacia. Según Ignacio Rocamora, analista en ciberseguridad, estos puntos a aprovechar serían:
-El ecosistema pyme, por lo general, no dispone de recursos como para dedicar tiempo y recursos exclusivos a la defensa de ciberataques. O sea, que es difícil que pueda contar, en plantilla, con la figura de un CISO (siglas en inglés que sirven para denominar al Responsable de Seguridad de Información). Sin embargo, sí que puede tener a alguien que se ocupe de esas funciones, ya sea en plantilla o subcontratado. Esta persona tendría que ser alguien que supiera dónde están los datos y a qué tipo de riesgos están sometidos.
-Actualmente el mercado ofrece soluciones adaptadas al tamaño y las necesidades de todo tipo de empresa. Dichas herramientas están diseñadas, por ejemplo, para cortar accesos innecesarios al sistema que puedan ser utilizados por los virus para colarse.
-Una ventaja fundamental de la pyme frente a la gran empresa es la velocidad de reacción. Una oficina con cinco empleados no tiene problemas para cortar la red diez minutos e instalar la última actualización de un sistema operativo, un proceso que en algunas multinacionales es tan tedioso como ineficiente.
Se dice que el hombre es el único animal capaz de tropezar dos veces en la misma piedra… Pero no parece que esto sea exactamente así cuando se trata de una pyme. Y es que, en muchos casos, después de haber sufrido un ciberataque -o haber sido testigos de que algo así le sucedía a alguien próximo- los administradores de una pequeña o mediana empresa suelen poner medidas para que no vuelva a ocurrir (o no les pase a ellos). Desde Soler GDI se aporta un dato: “según Acens, una empresa de servicios en la nube del grupo Telefónica, un 86% de las pymes involucradas en un ciberataque acabarán contratando características adicionales de seguridad, como cortafuegos, backup´s o servicios VPN”. Conclusión: la pyme que se forme e invierta en ciberseguridad podrá sobrevivir en el ciberespacio. Si no lo hace…
