La débil apuesta de las pymes por la seguridad informática

La mayoría de las grandes multinacionales son conscientes de los riesgos que asumen al manejar su información a través de ordenadores, móviles o tabletas y lo reflejan con cada vez mayores inversiones en ciberseguridad. Probablemente, varias de ellas incluso hayan aumentado sus esfuerzos después de escuchar (o padecer, en el peor de los casos) la noticia del virus WannaCry. Sin ...

La mayoría de las grandes multinacionales son conscientes de los riesgos que asumen al manejar su información a través de ordenadores, móviles o tabletas y lo reflejan con cada vez mayores inversiones en ciberseguridad. Probablemente, varias de ellas incluso hayan aumentado sus esfuerzos después de escuchar (o padecer, en el peor de los casos) la noticia del virus WannaCry. Sin embargo, la percepción de este peligro en empresas más pequeñas es reducida y son pocas las que tienen entre su lista de prioridades proteger sus sistemas.

• Un problema de concienciación

Las pymes ocupan a diez millones de trabajadores en España y suponen más del 60% del PIB nacional, según datos del Ministerio de Economía. La Confederación Española de la Pequeña y Mediana Empresa puede presumir de que estas compañías conforman la práctica totalidad del tejido empresarial del país. Por eso, no es de extrañar que el 70% de los ataques informáticos que se produjeron el año pasado —que rondan los 115.000, según estimaciones del Instituto Nacional de Ciberseguridad— estuvieran dirigidos a pymes. El Gobierno de Reino Unido ofrece un dato relevante sobre la vulnerabilidad de estas empresas: una de cada tres fue ciberatacada durante 2015.

Como hemos podido comprobar, la reticencia de las compañías con menos de 250 empleados no se justifica con datos. El argumento de que los piratas informáticos van a preferir entrar en las grandes porque su información les parece más relevante no tiene vigencia. Una de las cuestiones que WannaCry ha dejado en evidencia para los que no conocían el dato es el precio que exigen los hackers tras el secuestro: algo más de 250 euros en bitcoins por cada ordenador infectado. Este modelo de rescate tiene su fundamento en la proporcionalidad. Una cifra global para desbloquear todos los equipos perjudicaría a los más pequeños; con este sistema, el pago resulta asumible incluso para un particular. La ciberdelincuencia está diseñada para afectar a todo el mundo.

Con cientos de miles de sistemas, ¿por qué ir al que está protegido?

Manuel Cazorla, director general de Sistel

“Las pymes piensan que no son objetivos de los hackers, pero la realidad es que normalmente estos no son personas atacando ordenadores, sino máquinas atacando a máquinas; es totalmente indiscriminado. Además, con cientos de miles de sistemas, ¿por qué ir al que está protegido?”, expone Manuel Cazorla, director general de Sistel, una consultora informática alicantina que estima que solo una de cada diez pequeñas empresas hace regularmente copias de seguridad.

Con todo, la pyme no suele tropezar dos veces con la misma piedra. Muchas han aprendido la lección después de haber sufrido un ataque o tras haber visto como otras a su alrededor lo sufrían. Concretamente, el 86% querrá agregar características de seguridad adicionales como cortafuegos, backup o servicios VPN a su cloud, según un estudio de Acens, una empresa de servicios en la nube propiedad de Telefónica.

• Necesitamos un analista

La falta de concienciación es el motivo principal por el que las compañías no destinan recursos a prevenir ataques, pero no el único. A veces, sencillamente, no los tienen. El ecosistema de pymes dispone, por lo general, de medios reducidos y no puede dedicar tiempo y esfuerzos a esta tarea. Ignacio Rocamora, analista de ciberseguridad en Techco Security, recomienda que cuenten con la figura de responsable de seguridad de información (CISO, por sus siglas en inglés). “Una pyme no puede invertir en una figura así”, asume, “pero alguien debe tener esas funciones, ya sea en plantilla o subcontratado”.

Rocamora destaca entre las habilidades que debe poseer esta persona un amplio conocimiento técnico y legal y que sepa convertirse en una figura de control. “El CISO, o su equivalente, tiene que saber dónde están los datos y a qué riesgos están sometidos. Es importante conocer cómo tenemos nuestra casa”.

Respecto al coste, en apariencia inasumible para los comercios más modestos, este experto considera que no es necesaria una gran inversión para estar protegido. “A veces, una auditoria pequeña les puede dar unos pasos a seguir y le pueden bastar. No todas las empresas tienen las mismas necesidades”.

• Soluciones para todos los tamaños

Los virus aprovechan cualquier vía de entrada para colarse en un sistema y, en el caso de los pequeños negocios, la primera medida a tomar es tan sencilla como cortar accesos innecesarios. Cazorla, de Sistel, lo explica con un ejemplo: “Es como proteger una vivienda en una urbanización: cuantas menos puertas tengas, el grado de seguridad será mayor”, comenta. “Así que, si no tengo oportunidades de negocio en China, corto el tráfico procedente de China y me ahorro potenciales problemas”.

La ventaja fundamental de estas empresas frente a las grandes es su velocidad de reacción. Una oficina con cinco empleados no tiene problemas para cortar la red diez minutos e instalar la última actualización de un sistema operativo, un proceso que en algunas multinacionales es tan tedioso como ineficiente.

Una de las opciones que barajan muchas compañías es la del seguro. Pero las aseguradoras, igual que no pueden cubrirte un coche que no ha pasado la ITV, difícilmente lo harán si tus ordenadores no tienen ni un triste antivirus. Normalmente, realizan análisis de vulnerabilidad de los sistemas que potencialmente van a cubrir para buscar tus deficiencias antes de centrarse en la prevención.

Las soluciones en la nube evitan en parte el problema de la seguridad y garantizan una mayor disponibilidad, pero algunas empresas tienen reparos con alojar su información en un servidor que no les pertenece. “Usar este tipo de alojamiento con los datos en claro implica que estas cediendo el control de esos datos al proveedor”, explica Valle Fernández, fundadora de SMiD. Su startup ha desarrollado un dispositivo que conectas al ordenador, lo sincronizas con tus cuentas de nube y encripta todos los archivos que subes para que solo tú tengas acceso a la información. “Lo que hacemos es que nada salga de tu espacio sin cifrar”, resume.