Alberto Fernández, experto en Cloud y Seguridad para empresa de Telefónica España habla en una entrevista con elEconomista.es sobre las amenazas y riesgos a los que se enfrentan las empresas tras haber participado en la jornada '#TxDigital ¡Hazlo en la nube, hazlo seguro!' en la Cámara de Comercio de Teruel. Ransonware, malware o ataques Zero Day son algunas de las amenazas más habituales de las que las pymes no se escapan porque el 70% de los cibertaques tuvieron como objetivo pequeñas y medianas empresas.
¿Están concienciadas hoy en día las pymes sobre la importancia de implementar medidas de seguridad en la empresa?
Yo diría que no lo suficiente. Por un lado, hay una falta de concienciación. Tenemos la sensación de que una pyme no va ser objeto de ataque y nada más lejos de realidad. Por otro, los pequeños empresarios dedican la mayor parte de sus esfuerzos y presupuesto a sacar el negocio adelante, por lo que no siempre es fácil colocar la seguridad en un plano prioritario. Y sí debería serlo. De hecho hay datos que indican que un 70% de las empresas que sufren una pérdida de datos cierran en menos de 1 año.
¿Cuáles son las principales amenazas o riesgos de seguridad en la empresa?
En realidad son varias y depende mucho del tamaño y tipo de empresa. Las pymes están sufriendo en gran medida el impacto del ransomware, que es cuando un atacante consigue introducir un malware que cifra información por la que luego pedirá un rescate. Es lo que se viene a llamar secuestro de información. En empresas más grandes, además del ransomware, las amenazas pueden venir de ataques Zero Day, que son aquellos que no son reconocidos aún por las soluciones de seguridad y explotan las vulnerabilidades de un sistema. También es relevante la fuga de información ya sea por algún atacante, en los que en muchos casos es el propio personal interno, o bien por imprudencia o descuido. Además, los grupos de hacktivistas continúan estando muy activos utilizando habitualmente ataques de denegación del servicio con los que tiran abajo la web de las empresas u organizaciones en función del objetivo que hayan elegido.
No hay que olvidar que la pyme compone el grueso de la fuerza empresarial en España (siendo el 60% del PIB nacional) y, de hecho, el 70% de los ataques que se produjeron en 2016 iban dirigidos a pymes según estimaciones de INCIBE (Instituto Nacional de Ciberseguridad).
¿Cuáles son los errores más habituales que las empresas cometen en la implantación de medidas de seguridad? ¿Se olvidan de actualizarlas o de mantenerlas una vez las han implementado?
Va un poco por ahí. La seguridad no es algo estático en la que implantamos una serie de medidas y pensemos que nos van a servir para siempre. Es fundamental tener un plan de revisión y mejora continua: revisión para ver si las medidas adoptadas están funcionando adecuadamente, y de mejora para adaptarnos a las nuevas amenazas que vayan surgiendo.
Además, la implantación de medidas de seguridad no está sólo relacionada con aplicar tecnología. Las labores de concienciación y formación de todos los miembros de la empresa son fundamentales. De nada sirve tener la mejor tecnología, sino se usa adecuadamente. Imagina una empresa que tiene medidas de seguridad razonables, pero en la que un empleado decide compartir información crítica subiéndola a un servicio de almacenamiento en la nube no profesional ni securizado por su empresa.
¿Supone un elevado coste introducir medidas de seguridad en la empresa?
Voy a responder con otra pregunta. ¿Qué coste le supone a una empresa un incidente de seguridad, habida cuenta de que algunas han cerrado por este motivo? Hay soluciones adaptadas para todas las tipologías y tamaños de empresa. Con un presupuesto razonable, se pueden hacer muchas cosas.
Al final, cuando haces un análisis de las medidas a adoptar, tienes una relación coste-beneficio, aplicando además diferentes soluciones según lo crítico que sea cada uno de los elementos a proteger. Esto, por ejemplo, es lo que hacemos en Movistar a través de Digital 1st donde creamos un plan de seguridad a medida de cada necesidad, de cada pyme.
¿Qué consejos pueden darse a las pymes para introducir medidas de seguridad en la empresa de forma correcta?
Lo primero es concienciarse, saber que tienes que estar protegido. Además, hay que identificar necesidades y revisar qué activos e información debes proteger en tu empresa.
Es importante prevenir antes que curar e implantar las medidas de seguridad necesarias para detectar y prevenir situaciones de riesgo, así como apoyarse en socios tecnológicos de confianza que tengan el expertise necesario para ganar en tranquilidad.
También hay que mantener y actualizar las medidas de seguridad adoptadas y, por último, y no menos importante, hay regulaciones que las empresas deben cumplir, como es el caso de RGPD (Reglamento General de Protección de Datos), para empresas que manejen datos de carácter personal y que tiene como fecha de aplicación el 25 de mayo de este año.
