Riesgos de Ciberseguridad en las pymes

Javier Perez García, Cybersecurity Business Development Manager Minsait (INDRA)

La ciberseguridad se ha convertido en una de las principales preocupaciones de los estados y CEOs a nivel mundial. Riesgos como los ciberataques, fuga de datos o ataques a infraestructuras críticas aparecen dentro de los principales riesgos que pueden afectar a la estabilidad económica mundial según el informe Global Risk Landscape del World Economic Forum. Esto ha derivado en una mayor presión regulatoria por parte de los legisladores estatales.

Estos riesgos no solo afectan a las grandes organizaciones y entes gubernamentales. Las consecuencias para las PYMES pueden ser catastróficas. Por ello, se requiere que las PYMES dispongan de una estrategia de ciberseguridad y unos planes de acción para mitigar dichos riesgos. Pero, ¿cuáles son las principales amenazas para empresas? Por un lado está la ciber-amenaza y por otro, la presión regulatoria. La ciber-amenaza se traduce en los siguientes riesgos: 

  • Ransomware: Software de carácter malicioso mediante el cual el ciber-delincuente «secuestra» la información del usuario cifrándola. Seguidamente el ciber-delincuente solicita un rescate económico para que los datos puedan ser recuperados.
  • Phising: Estafa cometida a través de medios telemáticos mediante la cual el estafador intenta conseguir, de usuarios legítimos, información confidencial (contraseñas, datos bancarios, etc.) de forma fraudulenta
  • APT – Advanced persistent threats: Se trata del más sofisticado de todos.  Una APT usa múltiples vías de ataque para conseguir un fin concreto. Por ejemplo, el acceso a una información altamente confidencial para la organización. Para ello, el atacante puede usar técnicas de ingeniería social, explotar vulnerabilidades, acceder a sistemas sensibles y por último proceder al robo de la información confidencial.

La Presión regulatoria se materializa en las siguientes legislaciones .

  • GDPR – Reglamento Europeo General de Protección de Datos.
  • Directiva NIS - Directiva sobre seguridad de las redes y los sistemas de información. Directiva que impactará en los proveedores de servicios digitales (mercados en línea, motores de búsqueda y servicios en nube) así como en los proveedores de servicios esenciales

Estas legislaciones llevan aparejadas además un régimen regulatorio con unas sanciones muy estrictas que pueden afectar a la cuenta de resultados de cualquier organización.

Ante esta situación de amenaza global las PYMES no pueden mirar para otro lado. La materialización de una amenaza de estas características puede tener consecuencias catastróficas para los negocios impactar en la cuenta de pérdidas y ganancias con costes económicos directos, de servicio, de reputación e imagen, por sanciones, etc. Es por ello que consideramos imprescindible que todas las PYMES dispongan de una estrategia de gestión de riesgos de ciberseguridad desde un doble enfoque:

  • Probabilidad: La implantación de controles de ciberseguridad debe partir de un análisis de riesgos. Para ello las organizaciones pueden partir de estándares internacionales como la ISO 27000.
  • Impacto: Disponer de procedimientos de detección y respuesta a incidentes de seguridad, copias de seguridad o planes de continuidad de negocio se convierten en controles necesarios para mitigar el impacto de cualquier incidente.

Minsait, la unidad de negocio de Indra que tiene como objetivo dar respuesta a los retos que la transformación digital plantea a empresas  e instituciones. Pero, ¿cómo se mitiga el impacto y cómo hacemos frente a las ciberamenazas? En primer lugar, mediante un decálogo para empresas que detalle los controles clave en materia de ciberseguridad.

  1. Disponer de una política de seguridad de la información
  2. Disponer de un inventario de controles que permita cumplir con la normativa de aplicación en materia TIC (privacidad, servicios de sociedad de la información, ciberseguridad, etc.)
  3. Disponer de mecanismos de control de acceso y una política de contraseñas seguras
  4. Disponer de tecnologías de protección antivirus
  5. Efectuar revisiones periódicas del nivel de ciberseguridad mediante técnicas de hacking ético.
  6. Desarrollar software seguro desde la concepción del mismo (privacy-by-default)
  7. Disponer de capacidades de detección y respuesta a incidentes de seguridad: Dichas capacidades pueden ser alcanzadas mediante servicios de monitorización de la ciberseguridad (también denominados SOC, Security Operations Center)
  8. Efectuar planes de formación y concienciación periódicos
  9. Efectuar copias de seguridad y almacenarlas en un lugar seguro
  10. Disponer de un plan de continuidad de negocio

Además, consideramos que la contratación de seguros de ciber-riesgo es una estrategia clave de cara a la mitigación del impacto de dichas amenazas. Nuestras pymes podrán desarrollar su actividad con mayor tranquilidad si ponen  en práctica este decálogo, van de la mano de un experto en materias de prevención que le presente una propuesta de valor adaptada a cada una de sus necesidades, e implemente internamente una estrategia en materia de ciberseguridad.