¿Qué riesgos corren las pymes si no invierten en ciberseguridad? En esta entrevista descubrirás cómo evitar pérdidas económicas, daños en la reputación y sanciones legales. También conocerás pasos prácticos para proteger tu empresa, herramientas gratuitas del INCIBE y ejercicios como simulaciones de phishing para preparar a tus empleados.
- ¿Qué riesgos enfrentan las pymes si no invierten en ciberseguridad?
El primer riesgo principal para mí son las pérdidas financieras, que pueden ser pues en modo de dinero o en modo de datos, también. Para que nos hagamos una idea, el 60% de las pymes españolas que sufren un ciberataque no se recuperan del mismo. Con lo cual, eso nos da una gran idea de que esto, pues es un riesgo real y amplio.
¿Qué otro riesgo puede haber? Daño en la reputación. Si yo soy una pyme y tengo un incidente de seguridad, puede afectar a la confianza de mis clientes. Puede afectar a la imagen de mi empresa porque no tengo suficientemente segurizado todos mis sistemas y entonces los servicios que yo doy se pueden ver afectados.
Y por último, también, pues sanciones legales. Hay normativas como puede ser el Reglamento General de Protección de Datos, que si nosotros no tenemos bien segurizados nuestros sistemas o se interpreta que hemos tenido una filtración por no tener segurizados nuestros sistemas, ahí puede haber multas y sanciones legales bastante cuantiosas.
- ¿Qué pasos debe dar una pyme para ser más cibersegura?
Educar y formar. Para mí es la base de la ciberseguridad. El poderle dar formación a nuestros empleados. Y muchas veces esa formación pasa por unas buenas prácticas, unos conceptos básicos, un sentido común. Es decir, ¿qué hago yo en mi vida física, que luego no comparto en mi vida virtual?
Luego, es bueno evaluar los riesgos, es decir, identificar qué cosas tengo yo en mi empresa, qué activos, como se llaman en ciberseguridad, qué cuestiones de valor tengo yo en mi empresa y evaluar, ¿a qué están expuestos? Es decir, no es lo mismo que yo tengo simplemente una ofimática a que si yo tengo además un dispositivo conectado a una base de datos grande en la nube, que ahora está muy de moda. Entonces tengo que ver qué es lo que yo tengo, qué es importante para mí y a qué estoy expuesto.
Luego implementar medidas básicas de seguridad, como puede ser instalación de firewalls, antivirus, copias de seguridad. Como por ejemplo lo que hablábamos al principio de los secuestros, de estos ransomwares. Muchas empresas no son capaces de recuperar los datos porque el consejo es que no cedas ante el chantaje, porque nadie te asegura que vas a recuperar tu información y aunque lo recuperes, pues estás fomentando una serie de prácticas ilegales. Pero, si yo tengo una copia de todo mi sistema y la tengo probada y sé que funciona, cuando yo me veo comprometido puedo restablecer todo el sistema e implantar esa copia de cero.
Y luego, pues recursos gratuitos. Es decir, Internet está lleno de recursos. Pero bueno, Incibe, que es el Instituto Nacional de Ciberseguridad, tiene todo un apartado para empresas y sobre todo para pymes, que ofrece materiales, ofrece guías de manera gratuita que son muy fáciles de seguir.
- ¿Qué herramientas pueden utilizar las pymes para evaluar su nivel de ciberseguridad?
Por ejemplo, Incibe en ese apartado de pymes y de empresas tiene una serie de herramientas gratuitas, como puede ser un excel muy básico o tienen una herramienta que es “Revisa tus riesgos en 5 minutos”.
¿Qué conseguimos con eso? Bueno, pues saber dónde tengo que mirar, saber que es lo importante. Normalmente, lo que tenemos que pensar en este tipo de auditorías es,
¿qué es lo más importante para mí? ¿con qué yo no podría seguir operando? Vale, y ¿qué me haría más daño si es atacado? Eso es en lo primero que yo tengo que pensar, y una vez que yo tenga la respuesta es ahí donde tengo que poner mis recursos y mis esfuerzos, tanto a nivel económico como a nivel de personal.
- ¿Qué ejercicios prácticos pueden realizar las pymes para preparar a sus empleados ante ciberataques?
Las simulaciones de phishing, ¿qué es un phishing? Un phishing es un correo malicioso, normalmente, o un mensaje en el cual me hacen realizar una acción como persona de pinchar en algún sitio, descargarme un archivo para acceder a mi ordenador y a partir de mi ordenador, acceder al resto de mi empresa, de los sistemas. Entonces simular esos correos maliciosos de vez en cuando y poner a prueba a los empleados ahí hace que ellos estén más alerta.
Para mí es fundamental el poderles hacer practicar, que no se lo esperen, que no lo sepan, que sea un correo como uno más y que tenga algo descargable que digamos oye, cuántas personas pinchan y luego que podamos medir. Es súper importante que nosotros podamos medirlo, porque si lo hacemos pero luego no medimos y no sabemos los resultados, no con el objetivo de buscar quién ha pinchado, sino de buscar si oye, si mayoritariamente estoy viendo que mis empleados tienen ciertas debilidades pues pongamos más énfasis en esa formación.
