La ciberseguridad en las pymes: un gran reto por alcanzar
Juan Luis Rubio
Vicerrector de Relaciones Universidad- Empresa de la UDIMA
Tecnología
La sociedad actual está fuertemente marcada por la inmersión tecnológica en todos los ámbitos que queramos plantearnos. Podemos pensar en cualquiera de las actividades cotidianas que realizamos de forma consciente o inconsciente y rápidamente encontraremos la influencia de la tecnología o la completa dependencia de la misma: comprar un regalo, hacer una gestión bancaria, pagar una multa, enviar un mensaje, consultar las ofertas de viajes, comprar fondos de inversión, reservar un hotel, pedir cita para el médico, pagar el peaje de una autopista sin detener el vehículo o actividades de mayor complejidad como buscar casa o establecer relaciones sociales.
Todos los ejemplos anteriores se centran en transacciones realizadas por el cliente o usuario final. Existen asimismo muchos otros ejemplos de tareas realizadas desde empresas para su actividad diaria: lanzar órdenes de compra a proveedores en tiempo real, fabricación de automóviles bajo demanda, presentación de liquidaciones de impuestos online o poder comprar o vender activos financieros en tiempo real y en cualquier parte del mundo son solo algunas de las muchas opciones que tienen las empresas. Es, en definitiva, lo que conocemos como "inmersión tecnológica".
Sin embargo, toda esta actividad que se está trasladando desde el mundo físico al mundo virtual no ha sido acompañada de una securización de los procesos adecuada. De modo que todas aquellas actividades que antes se realizaban con presencia física de una forma más o menos segura se han "virtualizado" y han sido expuestas a todo tipo de riesgos al no haberse puesto las medidas de ciberseguridad apropiadas. El sentimiento de seguridad que proporciona la opacidad de estas actividades en unos casos y el anonimato en otros expone al usuario o empresa a ciberriesgos sin que se llegue a ser consciente en algún momento de ello. Es lo que podemos denominar "ciberexposición generalizada".
En este contexto es importante enfatizar que los piratas informáticos o hackers encuentran precisamente en las microempresas un objetivo fácil y apetecible: los usuarios domésticos no suelen ser un gran botín y las grandes empresas disponen de departamentos enteros que securizan la infraestructura tecnológica. En cambio, las pequeñas empresas representan una presa con mayor atractivo que una persona física y con muchas menos medidas de seguridad que cualquier empresa mediana o grande.
Acceder a las cuentas bancarias de una pequeña empresa, paralizar el sistema productivo de una compañía de la competencia, robar los datos de sus clientes o acceder y modificar el comportamiento del sistema en explotación son retos suficientemente atractivos para muchos expertos en informática.
Los sistemas actualmente implantados en muchas empresas carecen de los necesarios mecanismos de cibersecurización y ciberprotección. Esto es, si cabe, más reseñable en las pequeñas empresas que generalmente carecen de recursos para atender este tipo de necesidades: las pequeñas empresas tienen un horizonte temporal suficientemente limitado además de una evidente escasez de recursos humanos como para detenerse a mitigar o eliminar este tipo de riesgos. Este concepto se asocia a la ausencia de estrategia tecnológica de forma generalizada en las pequeñas empresas.
La combinación de los elementos anteriores -inmersión tecnológica, ciberexposición generalizada y ausencia de estrategia tecnológica- debería obligar a las empresas pequeñas a concienciarse de la necesidad de establecer mecanismos de cibersecurización. Cabe preguntarse: ¿por qué muchos comercios con 8-10 empleados disponen de un vigilante de seguridad y sin embargo no son comercios ciberseguros? ¿Acaso piensan que lo que un ladrón puede llevarse en efectivo o en material vale más que lo que les pueden hurtar por internet? ¿Por qué muchas oficinas cierran sus puertas con llave? ¿Acaso valen más lo pocos documentos físicos que los miles de documentos accesibles vía wifi sin necesidad de entrar en sus instalaciones?
Recientes estudios muestran la propensión de las empresas, especialmente en España, a realizar inversiones en tecnologías de la información sin demasiado criterio, sin llegar a utilizar finalmente las infraestructuras adquiridas y sin establecer métodos y procedimientos que securicen dichos activos. Es por ello que la ciberseguridad en las pequeñas empresas sigue siendo hoy un reto por alcanzar.
Y este reto es cada vez más difícil de conseguir. Estamos a las puertas de un nuevo paso en la revolución tecnológica que estamos viviendo. Ya hemos empezado a ver cómo nuevos dispositivos se conectan a la red y con ello seguimos abriendo nuevas puertas en el mundo virtual a aquellos que desean causar algún mal en una organización. En breve será común disponer de puertas electrónicas, ascensores conectados a internet, drones que realizan labores de vigilancia y salvamento o ambulancias que circulan solas por la ciudad. Y cuando llegue todo esto ¿seguirán teniendo las pequeñas empresas la misma sensación de seguridad?, ¿se habrán concienciado las pequeñas empresas de que la ciberprotección no es un capricho sino una cuestión de supervivencia? Atendiendo a los datos, mucho nos tememos que no.
Recientemente ha sido publicado el libro "Haz clic aquí para matarlos a todos. Un manual de supervivencia" de Bruce
Schneier, editado por Planeta, en el que se citan cientos, sí, repito, cientos de casos de ciberincidentes de todo tipo. En el mismo se exponen cómo todos los delitos que venían ocurriendo en el mundo físico se han trasladado al mundo virtual y cómo los ataques entre países se han trasladado al mundo ciber. El hilo conductor del libro nos debería hacer reflexionar sobre la indefensión en la que estamos: si los Estados están librando batallas en el mundo virtual (espionaje industrial, ataques a infraestructuras críticas, sabotajes, etc.) y a pesar de los ingentes recursos dedicados a ciberprotegerse vemos cómo naciones enteras sucumben a los ciberataques, las empresas -sobre todo las pequeñas- son un objetivo muy atractivo para muchos ciberdelincuentes. Y no vale pensar que los grandes ciberataques necesitan gente mucho más experta: los mecanismos por los que se ataca a las grandes corporaciones y a las infraestructuras de los países son los mismos que los que se emplean para atacar pequeñas empresas.
Es un error considerar que los ataques entre países requieren muchos más recursos y son mucho más costosos que ataques entre particulares o entre organismos a pequeña escala. Y es que el mundo virtual se caracteriza precisamente por eso: ha eliminado la barrera de entrada que suponía el tamaño (tamaño de país, tamaño de empresa…) al realizar un ataque. Ahora da igual atacar una infraestructura, una gran empresa o una pyme. Los mecanismos de ataque, los conocimientos y los recursos necesarios son igualmente válidos para objetivos tan diversos como los indicados. La diferencia entre todos ellos es el grado de cibersecurización que adoptan los organismos susceptibles de ser atacados.
Todo lo anteriormente expuesto no debe servir más que para concienciar a las pequeñas empresas que el riesgo existe y está ahí. Tal y como se acepta de forma generalizada que la protección de la información se basa en tres pilares: recursos técnicos, formación y sensibilización, debemos comenzar por este último, pues es el que mayor potencial desarrolla. Y es que no se puede proteger algo si no se tiene la suficiente sensibilidad hacia el riesgo al que está expuesto.
Existen multitud de cursos y opciones para sensibilizar y concienciar a empleados, proveedores, clientes y partners de la importancia de la cibersecurización y no es mala idea incluir a los colectivos antes citados en seminarios, jornadas, congresos, conferencias, etc. que promuevan la concienciación en comportamientos ciberseguros.