Un reciente informe del Observatorio Vodafone de la Empresa ha detectado cierta preocupación existente entre las pymes por la seguridad. En concreto, se sitúa en el segundo aspecto más importante para las empresas digitalizadas, con un 83% de interés (al mismo nivel, por ejemplo, que la conectividad). Así, la ciberseguridad es además una de las áreas de trabajo donde más tienen previsto invertir las pequeñas y medianas empresas.

Y es que, dado que la cibernética está aumentando su presencia en nuestras vidas y su sofisticación no deja de crecer, está claro que las defensas tecnológicas sin más –o la mera inversión económica en las mismas– ya no son suficientes para proteger a una empresa de los ataques fraudulentos. El delito cibernético ha pasado de ser una actividad individual a una operación distribuida, extremadamente sofisticada y bien organizada, en la que los datos robados se intercambian por profesionales altamente especializados.

Al decir de todos los expertos en el tema, la seguridad en las empresas no es solamente una inversión económica, sino que implica el análisis exhaustivo de cada situación y realidad. El problema es que basta con que elegir la solución tecnológica adecuada para salir indemne del tema. Y, con todo nuestro respeto hacia los analistas que evalúan minuciosamente los nuevos softwares y soluciones para la seguridad cibernética, los intereses creados –en forma de ventas y beneficios a base de comercializar sistemas y hardware– ciega muchos ojos a la realidad: no existe la solución práctica empresarial única y válida para todos.

La ciberseguridad, en boca de todos

Entre otras cosas, el continuo avance de soluciones que mejores que la inmediatamente anterior refuerza la falacia de que la tecnología puede superar el delito cibernético. Éste no es sino una forma de delito, y el delito es un extendido mal social: si en siglos de investigación no se ha encontrado una cura para el resfriado común, no es probable que demos una cura para el delito cibernético de la noche a la mañana.

Y de ser así, será una combinación de remedios técnicos y de comportamiento humano. El delito cibernético es un fenómeno complejo. Muta y evoluciona. Será resistente a las soluciones que dependen total o fundamentalmente de la mera tecnología: la inteligencia artificial, el machine learning, el aprendizaje profundo…

No obtendremos una victoria decisiva sobre el delito cibernético simplemente desarrollando e implementando soluciones tecnológicas más grandes, mejores y más rápidas. ¿Es que “los malos” no han oído hablar también de la IA y el ML? Son tan inteligentes como los buenos, y en algunos casos están incluso más motivados.

Estrategia defensiva

La estrategia moderna de ciberseguridad –como ha ocurrido siempre: los vigilantes va siempre, por ley natural, un paso por detrás de la delincuencia– es esencialmente una estrategia defensiva. Siempre es más difícil defender que atacar; lo que significa que los buenos hacen guardia mientras los malos hurgan y buscan vulnerabilidades.

El problema es que, cuando las pymes piensan en seguridad, lo primero que se les viene a la mente son complejos sistemas informáticos que intervienen en el día a día del funcionamiento de las empresas y que suponen un gasto inasumible para la mayoría.

Sin embargo, siguiendo media docena de sencillos consejos es posible nivelar la contienda con los posibles ciberatacantes, sin invertir en nueva tecnología:

Media docena de pasos a seguir

  1. Concéntrese en los riesgos principales y no compre nada que no necesite. Por ejemplo, si está vendiendo bienes de consumo, probablemente no necesite mucha encriptación de datos sofisticada. Lo que no tienes no puede ser roto, robado o usado en tu contra.
  2. Identifique perfecta y totalmente sus activos. El conocimiento exhaustivo de los activos a controlar es vital para establecer un primer escenario en su plan de seguridad. La seguridad no solo se ha de basar en los ordenadores, sino en todo dispositivo que puede acceder a información online: servidores, portátiles, tablets, teléfonos inteligentes…
  3. Tipificación de los usuarios. Una vez identificados los activos y sus conexiones, en necesario controlar qué usuarios tienen acceso a cada activo y a sus conexiones. Verificar que las conexiones y acceso que están asignadas a cada usuario corresponde con su perfil profesional y que son las mínimas necesarias para que lleve acabo sus funciones de forma adecuada. Un usuario con unos accesos y permisos por encima de sus funciones, podría acceder por error o mala intención a información confidencial de la empresa y provocar un perjuicio enorme.
  4. Estudie al enemigo. Y no sea paranoico: los hackers del Este de Europa no están detrás de sus secretos empresariales. Pero no está de más identificar qué tipo de ataques tendría más posibilidades de sufrir su empresa.
  5. Eduque, entrene y recuerde. Debe enviar correos electrónicos regulares a toda la empresa para recordar a todos que no deben hacer clic en ningún enlace que parezca remotamente sospechoso. El phishing sigue siendo un problema enorme; siéntase cómodo recordándole a la gente a menudo evitar pulsar en enlaces sin mirarlos cuidadosamente primero. Y eso incluye sus perfiles de Facebook, Twitter, LinkedIn, Instagram… lo que sea.
  6. Establezca medidas de seguridad activas. La instalación y configuración de un firewall, la implantación y actualización constante de un antivirus, la secuguridad de su conexión a Internet… de nada sirven si no se ha hecho un adecuado análisis previo. También es vital contar con un proveedor adecuado, que proporcione toda la ayuda necesaria, con garantías, conocimiento y experiencia suficientes.

Tenga en cuenta que ninguna de estas recomendaciones implica comprar software o hardware costosos. En gran medida, el éxito de sus esfuerzos de seguridad cibernética dependerá de su capacidad de ser más hábil que sus oponentes.


Puedes descargar el Observatorio Vodafone de la Empresa pinchando aquí.

Dejar una respuesta