La d¨¦bil apuesta de las pymes por la seguridad inform¨¢tica

La mayor¨ªa de las grandes multinacionales son conscientes de los riesgos que asumen al manejar su informaci¨®n a trav¨¦s de ordenadores, m¨®viles o tabletas y lo reflejan con cada vez mayores inversiones en ciberseguridad. Probablemente, varias de ellas incluso hayan aumentado sus esfuerzos despu¨¦s de escuchar (o padecer, en el peor de los casos) la noticia del virus WannaCry. Sin embargo, la percepci¨®n de este peligro en empresas m¨¢s peque?as es reducida y son pocas las que tienen entre su lista de prioridades proteger sus sistemas.

• Un problema de concienciaci¨®n

Las pymes ocupan a diez millones de trabajadores en Espa?a y suponen m¨¢s del 60% del PIB nacional, seg¨²n datos del Ministerio de Econom¨ªa. La Confederaci¨®n Espa?ola de la Peque?a y Mediana Empresa puede presumir de que estas compa?¨ªas conforman la pr¨¢ctica totalidad del tejido empresarial del pa¨ªs. Por eso, no es de extra?ar que el 70% de los ataques inform¨¢ticos que se produjeron el a?o pasado ¡ªque rondan los 115.000, seg¨²n estimaciones del Instituto Nacional de Ciberseguridad¡ª estuvieran dirigidos a pymes. El Gobierno de Reino Unido ofrece un dato relevante sobre la vulnerabilidad de estas empresas: una de cada tres fue ciberatacada durante 2015.

Como hemos podido comprobar, la reticencia de las compa?¨ªas con menos de 250 empleados no se justifica con datos. El argumento de que los piratas inform¨¢ticos van a preferir entrar en las grandes porque su informaci¨®n les parece m¨¢s relevante no tiene vigencia. Una de las cuestiones que WannaCry ha dejado en evidencia para los que no conoc¨ªan el dato es el precio que exigen los hackers tras el secuestro: algo m¨¢s de 250 euros en bitcoins por cada ordenador infectado. Este modelo de rescate tiene su fundamento en la proporcionalidad. Una cifra global para desbloquear todos los equipos perjudicar¨ªa a los m¨¢s peque?os; con este sistema, el pago resulta asumible incluso para un particular. La ciberdelincuencia est¨¢ dise?ada para afectar a todo el mundo.

Con cientos de miles de sistemas, ?por qu¨¦ ir al que est¨¢ protegido?

Manuel Cazorla, director general de Sistel

¡°Las pymes piensan que no son objetivos de los hackers, pero la realidad es que normalmente estos no son personas atacando ordenadores, sino m¨¢quinas atacando a m¨¢quinas; es totalmente indiscriminado. Adem¨¢s, con cientos de miles de sistemas, ?por qu¨¦ ir al que est¨¢ protegido?¡±, expone Manuel Cazorla, director general de Sistel, una consultora inform¨¢tica alicantina que estima que solo una de cada diez peque?as empresas hace regularmente copias de seguridad.

Con todo, la pyme no suele tropezar dos veces con la misma piedra. Muchas han aprendido la lecci¨®n despu¨¦s de haber sufrido un ataque o tras haber visto como otras a su alrededor lo sufr¨ªan. Concretamente, el 86% querr¨¢ agregar caracter¨ªsticas de seguridad adicionales como cortafuegos, backup o servicios VPN a su cloud, seg¨²n un estudio de Acens, una empresa de servicios en la nube propiedad de Telef¨®nica.

• Necesitamos un analista

La falta de concienciaci¨®n es el motivo principal por el que las compa?¨ªas no destinan recursos a prevenir ataques, pero no el ¨²nico. A veces, sencillamente, no los tienen. El ecosistema de pymes dispone, por lo general, de medios reducidos y no puede dedicar tiempo y esfuerzos a esta tarea. Ignacio Rocamora, analista de ciberseguridad en Techco Security, recomienda que cuenten con la figura de responsable de seguridad de informaci¨®n (CISO, por sus siglas en ingl¨¦s). ¡°Una pyme no puede invertir en una figura as¨ª¡±, asume, ¡°pero alguien debe tener esas funciones, ya sea en plantilla o subcontratado¡±.

Rocamora destaca entre las habilidades que debe poseer esta persona un amplio conocimiento t¨¦cnico y legal y que sepa convertirse en una figura de control. ¡°El CISO, o su equivalente, tiene que saber d¨®nde est¨¢n los datos y a qu¨¦ riesgos est¨¢n sometidos. Es importante conocer c¨®mo tenemos nuestra casa¡±.

Respecto al coste, en apariencia inasumible para los comercios m¨¢s modestos, este experto considera que no es necesaria una gran inversi¨®n para estar protegido. ¡°A veces, una auditoria peque?a les puede dar unos pasos a seguir y le pueden bastar. No todas las empresas tienen las mismas necesidades¡±.

• Soluciones para todos los tama?os

Los virus aprovechan cualquier v¨ªa de entrada para colarse en un sistema y, en el caso de los peque?os negocios, la primera medida a tomar es tan sencilla como cortar accesos innecesarios. Cazorla, de Sistel, lo explica con un ejemplo: ¡°Es como proteger una vivienda en una urbanizaci¨®n: cuantas menos puertas tengas, el grado de seguridad ser¨¢ mayor¡±, comenta. ¡°As¨ª que, si no tengo oportunidades de negocio en China, corto el tr¨¢fico procedente de China y me ahorro potenciales problemas¡±.

La ventaja fundamental de estas empresas frente a las grandes es su velocidad de reacci¨®n. Una oficina con cinco empleados no tiene problemas para cortar la red diez minutos e instalar la ¨²ltima actualizaci¨®n de un sistema operativo, un proceso que en algunas multinacionales es tan tedioso como ineficiente.

Una de las opciones que barajan muchas compa?¨ªas es la del seguro. Pero las aseguradoras, igual que no pueden cubrirte un coche que no ha pasado la ITV, dif¨ªcilmente lo har¨¢n si tus ordenadores no tienen ni un triste antivirus. Normalmente, realizan an¨¢lisis de vulnerabilidad de los sistemas que potencialmente van a cubrir para buscar tus deficiencias antes de centrarse en la prevenci¨®n.

Las soluciones en la nube evitan en parte el problema de la seguridad y garantizan una mayor disponibilidad, pero algunas empresas tienen reparos con alojar su informaci¨®n en un servidor que no les pertenece. ¡°Usar este tipo de alojamiento con los datos en claro implica que estas cediendo el control de esos datos al proveedor¡±, explica Valle Fern¨¢ndez, fundadora de SMiD. Su startup ha desarrollado un dispositivo que conectas al ordenador, lo sincronizas con tus cuentas de nube y encripta todos los archivos que subes para que solo t¨² tengas acceso a la informaci¨®n. ¡°Lo que hacemos es que nada salga de tu espacio sin cifrar¡±, resume.