La ciberseguridad no acaba de entrar en los planes de las empresas pequeñas
Las pymes españolas, sobre todo las de tamaño reducido, tienen menos recursos para adoptar protección pero, fundamentalmente, lo que les falta es tener conciencia de los riesgos que corren y que son tan vulnerables como el resto
La digitalización se aceleró con la pandemia y, con ello, la delincuencia cibernética. Sin embargo, gran parte de las empresas pequeñas siguen sin asumir que adoptar medidas de ciberseguridad de forma permanente es una necesidad vital para su actividad. Esta falta de concienciación de las pymes, sobre todo de las más reducidas que son mayoría en España, sus riesgos y sus soluciones han sido objeto de debate en la tercera sesión del ciclo Acción Sostenible, organizada por Cinco Días en colaboración con BBVA, titulada Las pymes ante el reto de la ciberseguridad: claves para estar protegido.
La responsable global de Concienciación y Formación de Ciberseguridad en BBVA, Begoña García, expone la situación: “La importancia de la ciberseguridad es directamente proporcional al nivel de digitalización que hayan experimentado las pymes en los últimos años”. “ Hay mayor exposición al riesgo, hay más ataques y más sofisticados y es relevante que se ocupen más que nunca de la ciberseguridad”. Por ello, “en tanto sus negocios tengan una dependencia de sistemas de información tienen que ir tomando conciencia y aumentando ese nivel de protección que necesitan”.
García destaca que muchas pymes han adoptado estrategias de imagen para posicionarse en redes sociales o en internet , con lo que “tienen que cuidar este aspecto reputacional”. El problema es que las pymes “no tienen tantos recursos como tenemos las grandes y deben recibir mucho apoyo de sus proveedores de servicios”.
En tanto un negocio tenga dependencia de sistemas de información tiene que tener conciencia y aumentar la protección
Begoña García, responsable global de Concienciación y Formación de Ciberseguridad en BBVA
Javier Martínez, sales engineering manager de Google Cloud, está de acuerdo en que la ciberdelincuencia se acelera al mismo ritmo que la digitalización y ofrece estos datos de un informe reciente de su compañía: “El 70% de las pymes están viendo un incremento de ciberataques desde el año pasado pero solamente un 10% piensa que van a ser objetivo de ellos. Y solo tres de cada 10 cree que tiene capacidad de reacción. Esto es el peor peligro que podemos tener”.
El directivo de Google Cloud explica que hay dos tipos de ataques, los dirigidos y los masivos “en los que el posible objetivo somos todos”. Por lo que, al igual que Begoña García, insiste en que la concienciación sobre este problema “es muy importante”.
Existen los ataques dirigidos y los ataques masivos, los que van a ver quién pica, y éstos tienen como posible objetivo a todo el mundo Javier Martínez, sales engineering manager de Google Cloud
Menor preparación
Elena Maestre, socia responsable de Ciberseguridad en Consulting de EY, subraya que “las pymes tienen un nivel de preparación menor ante los ciberdelincuentes y el nivel de sofisticación para poderles atacar es también menor”, lo que provoca que cada vez más sean un objetivo. La realidad es que disponen de menos equipos especializados de defensa y de menos presupuesto. Lo peor “es que la concienciación también es menor”, concluye Maestre.
La buena noticia es que “los fondos europeos nos están dando una posibilidad buenísima como ayuda para meter a las pymes en esta dinámica”, al igual que el canal 017 del Incibe, aunque hay que tener presente que el kit digital, programa de subvenciones para digitalización de las pequeñas compañías, “tiene fecha de caducidad” mientras que el mantenimiento no la tiene. Para la directiva de EY, “el desafío es que estamos en un punto de inflexión sobre cómo se enfrenta el problema en un futuro”.
Las pequeñas empresas están menos preparadas y tienen menos presupuesto. Necesitan orientación para defenderse Elena Maestre, socia responsable de Ciberseguridad en Consulting de EY
El experto en Alerta Temprana de Incibe-Cert, Daniel Fírvida, indica que “esa falsa sensación de que la ciberseguridad no va conmigo es un error muy grande. La ciberseguridad es innata a la digitalización”. Fírvida asegura que, en este asunto, “estamos volviendo para atrás” respecto a hace dos años.
Los datos de Incibe-Cert muestran que en 2021 y 2022 siguió creciendo el número de incidentes. Fírvida recuerda que existe un canal específico, llamado Protege tu empresa, para ofrecer “concienciación, formación, ayuda y soporte” a las pymes. “Para cuestiones ajenas a su negocio, como puede ser la ciberseguridad, las pymes han de buscar ayuda de otras empresas que se dediquen a ella”. Por eso, añade, desde la Administración se intenta desarrollar un tejido industrial en materia de ciberseguridad.
Hay que buscar ayuda en otras compañías que saben de ciberseguridad. Se está creando un tejido industrial especializado Daniel Fírvida, experto en Alerta Temprana de Incibe-Cert
Para Carlos López Blanco, presidente de la Comisión de Digitalización de la Cámara de España, “el problema es que el mundo de las pymes españolas es muy complejo, va desde la microempresa hasta la de 250 empleados”. Según una encuesta de Cámara de España entre pequeñas empresas, “la digitalización no solo se ve ya como importante, sino también urgente. Con una excepción, la ciberseguridad”.
Otra cuestión, a su juicio, es que hay que explicarles a las pymes “que en el mercado hay medios de sobra, no es un problema de tecnología”. La dificultad está en que la cultura de la ciberseguridad es muy fastidiada para una pequeñas empresa, porque exige un gran nivel de disciplina interna y estar encima de los empleados”.
A las pymes hay que explicarles que hay medios de sobra. Su problema es de cultura porque la seguridad exige una gran disciplina
Carlos López Blanco, presidente de la Comisión de Digitalización de la Cámara de España
Daniel Fírvida señala que, en la actualidad, no hay amenazas nuevas sobre las pymes. Lo que ocurre es que sufren más volumen de amenazas “y están son muy indiscriminadas, los delincuentes van al peso, lanzan los ataques y a ver quién cae”. El experto informa de que los ataques más frecuentes son el ransomware y el phishing a través de los correos electrónicos, “ese el gran foco de entrada a las pymes”, aunque también los hay por las redes sociales.
Cadena de suministros
El último estudio anual de EY, comenta Elena Maestre, atestigua que la ciberseguridad “es un tema a debatir en los grandes consejos de administración pero el mundo de las pymes está muy retrasado”. La consesuencia negativa es que se genera un problema en la cadena de suministros que afecta a todas las empresas cuando se produce un incidente de seguridad en una pyme. Maestre declara que es básico que las pymes, y más las que trabajan con otras de mayor tamaño, “tengan un plan perfectamente estructurado”. “Ya no es algo solo de ellas, es que se traslada al ecosistema”. En su opinión, si no lo hacen, puede llegar la obligación vía regulación.
Carlos López Blanco dice que en las grandes empresas, la ciberseguridad “ha pasado del responsable sectorial a las mesas de presidentes y consejeros delagados ya que el daño reputacional de una brecha en esta materia es insorportable”. Y la ciberseguridad en las pymes “cada vez tiene un carácter más sistémico”. “A veces, los ciberdelincuentes, para atacar a una empresa grande, atacan a las pequeñas que contratan con ella por lo que la vulnerabilidad en la cadena económica está donde el nivel de ciberseguridad es más pequeño”.
Por tanto, el papel de las grandes compañías es fundamental. “Si para contratar con una pyme, la grande le dice te tienes que someter a esta plataforma tecnológica que exige unos niveles de ciberseguridad determinados, eso tiene un efecto extraordinario”. Otro mecanismo, agrega López Blanco, “es una política de fomento, de concienciación”.
A este respecto, Begoña García expresa que el papel de las grandes empresas es de primer orden “porque tenemos experiencia, conocimiento, hemos pasado ya todo este proceso que ahora llega a las pymes, tenemos áreas concretas con gente preparada, con perfiles expertos, tenemos recursos, medios y tecnología para dotar a las pequeñas de esas claves que necesitan para defenderse, igual que a la sociedad en general”.
Javier Martínez está en la misma línea y defiende, además, el papel de la difución y la comunicación desde las grandes.”Nosotros sufrimos en 2009 un ataque que se conoce como Aurora y fuimos una de las primeras grandes corporaciones que dimos a conocer lo que había pasado. Hay cierto secretismo porque revelas que has tenido un punto débil o que ha podido haber fuga de información. Salimos a decir esto está pasando y hay que protegerse entre todos”. Actualmente tenemos una web con cinco consejos fundamentales para cualquiera.
Sobre las amenazas concretas, el experto de Incibe-Cert insiste en que la gran mayoría llegan a través del correo electrónico “y ahí es donde entra la disciplina y la formación que han de tener los empleados”. No hay que olvidar, advierte, “que los delincuentes se aprovechan del momento en que bajamos la guardia, de ahí la disciplina”. Tener capacidad para analizar los mensajes que están llegando y su origen es muy importante recalca Fírvida, ya que la tecnología ofrece muchas posibilidades pero sin disciplina puede haber descuidos.
En cuanto a los pasos que hay que dar, Elena Maestre manifiesta que es esencial “la orientación en ciberseguridad, ya que las pymes no tienen personal para establecer un plan concreto a medida. Hay muchas circunstancias y necesitan que se les oriente, un plan director, un análisis de dónde están mi negocio, mis activos prioritarios, cuál es la infraestructura y cuáles mis vulnerabilidades”. Es posible contratar, aunque sea de forma temporal, a un responsable de seguridad que realice esa orientación pues hay que conocer muy bien cada caso, explica.
Carlos López Blanco cree que “las pymes necesitan tres cosas: información, concienciación del problema y cultura de ciberseguridad”. Las orientaciones “hay que dárselas desde fuera y en eso juegan un papel fundamental los asesores tecnologicos, los digitalizadores previstos en el kit digital” cuya finalización lamenta.
Papel de los bancos y qué hacer si hay un ataque de los ciberdelincuentes
Apoyo bancario. Begoña García afirma que “el gran reto del sector bancario es proteger las finanzas de las personas”. Para las pymes, su entidad organiza “sesiones formativas específicas, algunas abiertas al público y otras para clientes. Además hacemos sesiones para autónomos, particulares y grandes empresas”. Agrega que “estamos haciendo un tour con Google por todo el territorio nacional, en el que estamos dirigiéndonos directamente a pymes” con la intención de dar unas primeras claves. También, continúa, “ofrecemos cursos gratuitos que están subidos en la plataforma Cursera y de forma recurrente publicamos información sobre tendencias, ataques, claves para protegerse y consejos de actualidad en todos nuestros canales oficiales, web, redes sociales y app”.
Tendencias. Soluciones de autenticación o autentificación, protección en las comunicaciones con las entidades financieras, y sobre todo, servicios en la nube son las nuevas tendencias de ciberseguridad que están contribuyendo a ayudar a las pymes.
Después del incidente. Cuando una pequeña empresa es objeto de un ataque, Daniel Fírvida recomienda pedir ayuda, contactar con el 017 del Instituto Nacional de Ciberseguridad (Incibe) y denunciar el hecho a las Fueras y Cuerpos de Seguridad del Estado. Javier Martínez aclara que denunciar sí que sirve. Carlos López Blanco recomienda ser conscientes de que se ha sufrido un ataque y “no pensar no pasa nada, es poco”.
Copias de seguridad. Elena Maestre aconseja disponer siempre de copias de seguridad. “Si no existen esas copias ni las Fuerzas de Seguridad ni nadie va a poder ayudar”.
Parte activa. Begoña García insiste en que debe haber implicación. La directiva de BBVA sostiene que en su entidad “necesitamos que los clientes sean parte activa de la protección”.