Una nueva guía conciencia a las pymes sobre los ciberriesgos y define unas sencillas pautas que les permitan prevenir y mitigar un incidente cibernético, así como recuperarse de sus consecuencias en caso de sufrirlo.
Todas las empresas, independientemente de su tamaño, están expuestas a los ciberriesgos. Basta con que un empleado reciba un correo electrónico y abra el documento adjunto o cliquee en un enlace sugerido para que se desate el caos. Sin él saberlo, ese e-mail aparentemente inofensivo contiene un software malicioso que bloqueará su dispositivo, impidiéndole acceder a los datos y la información almacenados en él. Y lo que es peor: los cibercriminales exigirán el pago de un rescate a la organización para que pueda regresar a la normalidad.
El expuesto es un caso de ransomware, uno de los recursos más utilizados por el cibercrimen. Como ejemplo de la actividad de este último, el Informe Anual de Amenazas Cibernéticas 2018 de SonicWall pone de manifiesto que esta firma estadounidense detectó 184 millones de ataques de ransomware en 2017, año en el que también identificó 932.000 millones de ataques de malware y descubrió más de 12.500 nuevas vulnerabilidades.
Y otra muestra de la relevancia del cibercrimen es el coste que tiene para las empresas. En este sentido, algunos estudios estiman que el mismo es de medio millón de euros, cifra equivalente al 0,8% del PIB mundial, y los expertos afirman que dicha actividad ya mueve más dinero que el tráfico de drogas.
Algo nada de extrañar si se tiene en cuenta que los cibercriminales se benefician de la falta de una regulación internacional en Internet, de la facilidad para moverse por esta última sin dejar huellas y, no menos importante, de la ingenuidad y falta de medidas de seguridad de muchos usuarios de la Red.
Ciberriesgos para pymes: nueva guía de referencia
A tenor de este panorama, y con el objetivo de ayudar a prevenir y gestionar los riesgos de origen cibernético entre las pequeñas y medianas empresas (pymes), la asociación Cepreven, la Confederación Española de la Pequeña y Mediana Empresa (Cepyme) y la Unión Española de Entidades Aseguradoras y Reaseguradoras (Unespa) han elaborado la guía “Ciberriesgos: su impacto en las pymes. Prevenir, mitigar, recuperar”.
Este nuevo volumen incluye una serie de buenas prácticas que permitirá a las empresas conocer cómo pueden enfrentarse a los ciberriesgos, protegerse ante incidentes cibernéticos, minimizar su impacto y recuperar la información que haya podido resultar dañada. En definitiva, la guía resultará de gran ayuda para asegurar la continuidad de las operaciones de una pyme –como, por ejemplo, una correduría de seguros– tras sufrir un ciberataque.
¿Cómo podemos proteger nuestra pyme?
Según la guía, la política de ciberseguridad de una pyme debe basarse en tres pilares fundamentales: los factores humanos y organizativos, las herramientas de protección y la capacidad de recuperación mediante herramientas de resiliencia.
Factores humanos y organizativos:
- En el caso del primero, al inicio del presente post ha quedado claro que el ser humano es el eslabón más débil de la cadena de la seguridad. Por ello es preciso que el personal de una pyme esté sensibilizado en la aplicación de normas y buenas prácticas.
- Para el acceso físico y remoto a los dispositivos han de utilizarse contraseñas individuales, secretas y robustas (complejas). Y, además, es aconsejable cambiarlas regularmente.
- Relacionado con el punto anterior, las contraseñas no deben dejarse a la vista en el puesto de trabajo (por ejemplo, anotadas en un post-it pegado en el ordenador o el monitor).
- A los trabajadores fijos, temporales o en prácticas se les debe recordar regularmente que han de evitar la utilización de dispositivos personales (USB o discos duros externos) y los accesos remotos o móviles no protegidos (wifi, Bluetooth, etc.).
- Y se tiene que establecer una política de utilización segura del correo electrónico para, entre otros, prevenir casos de ransomware.
Herramientas de ciberprotección:
- Los antivirus y los cortafuegos son la base de la protección de los sistemas de información y hay que actualizarlos regularmente.
- Además, deben complementarse con herramientas de filtrado como los sistemas de detección de intrusiones (IDS) y de protección de intrusiones (IPS).
- Y las intrusiones maliciosas no bloqueadas por estos últimos pueden detectarse con las herramientas de detección del comportamiento como el análisis de descargas u otras acciones sospechosas.
Herramientas de resiliencia:
- De cara a volver a la normalidad cuanto antes tras sufrir un ciberataque, es preciso llevar a cabo una correcta política de copias de seguridad. Entre otras acciones, se recomienda que las mismas se realicen diariamente en soportes independientes a los sistemas de información de la pyme.
- Y para ser resiliente, una empresa también tiene que implementar un plan de respuesta a incidentes y de continuidad de negocio.
¿Qué tipos de seguros existen para pymes?
Además de todas las medidas citadas, la guía “Ciberriesgos: su impacto en las pymes. Prevenir, mitigar”, recuperar también observa que existen distintos tipos de seguro para proteger el patrimonio y los activos de una empresa. Y entre ellos figuran los ciberseguros, de cuyas coberturas ya nos hemos ocupado en el blog de Senassur y cuyo objetivo es proveer protección ante una amplia gama de incidentes derivados de los riesgos en el ciberespacio, el uso de infraestructuras tecnológicas y las actividades desarrolladas en dicho entorno.
Igualmente, recomienda la citada guía, es muy importante contar con un seguro de responsabilidad civil que, en caso de ataque o incidente cibernético, cubra responsabilidades frente a terceros en materia de privacidad. En relación a esta última, recordamos que el nuevo Reglamento General de Protección de Datos (RGPD) insta a las organizaciones a aplicar una responsabilidad proactiva y endurece las multas por incumplimiento.
¿Qué hacer en caso de sufrir un ataque cibernético?
Ya que nos hemos referido al RGPD, las pymes de la mediación han de tener presente que un incidente cibernético puede considerarse una brecha de seguridad. Para aquellos que no estén familiarizados con la legislación de privacidad, desde la Agencia Española de Protección de Datos (AEPD) recuerdan que:
- “Se entiende por brecha de seguridad o violación de la seguridad de los datos personales todo aquel incidente de seguridad que provoque la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”.
Así pues, salvo que el profesional experto en protección de datos que trabaje en una pyme, o colabore con ella, considere que no constituyen un riesgo para los derechos y libertades de las personas físicas, las brechas de seguridad han de notificarse a la autoridad de control competente –en España, la AEPD– en un plazo máximo de 72 horas. Asimismo, si la brecha de seguridad entraña un alto riesgo para los derechos y libertades de los titulares de los datos, también habrá que comunicárselo a los afectados. No notificar una brecha de seguridad puede considerarse una infracción grave que conlleva multas administrativas sumamente elevadas.
Decálogo de buenas prácticas de ciberseguridad
Por último, lejos de conformarse con la elaboración de la guía “Ciberriesgos: su impacto en las pymes. Prevenir, mitigar, recuperar”, Cepreven, Cepyme y Unespa han complementado dicho volumen con el “Decálogo de buenas prácticas de ciberseguridad para pymes”. Se trata de una herramienta muy útil que incluye indicaciones de ayuda para proteger un negocio de ataques e incidentes cibernéticos sin tener que realizar grandes inversiones.