A la hora de lanzarse a emprender, el foco siempre se pone en cómo materializar una idea de negocio, algo que supone atender a infinidad de vertientes sea cual sea el sector en el que se emprenda.
Los riesgos que percibe el emprendedor suelen estar relacionados con aspectos relativos a la futura marcha del negocio, pero por lo habitual no tiende a valorar como tales a las amenazas de ciberseguridad, por considerarlas algo remoto, en buena medida porque la información que le llega al respecto es sobre ciberataques cometidos contra grandes compañías e incluso gobiernos.
De hecho, de acuerdo a un estudio de Google, el 99,8% del tejido empresarial español no se considera un objetivo atractivo para un ciberataque...
Sin embargo, en el ecosistema de negocio hiperdigitalizado actual, los ciberriesgos son un factor muy a tener en cuenta, porque un ataque de esta naturaleza tiene un potencial devastador, al poder comprometer tanto la información interna crítica de la empresa como los datos personales de los clientes, lo que puede afectar a la continuidad de las operaciones, provocar una crisis reputacional irreparable y, eventualmente, a tener que afrontar responsabilidades en caso de que no se hubiesen implementado las medidas de protección requeridas por normativas como la LOPDGDD.
En otras palabras, todo el esfuerzo invertido para levantar un proyecto se puede ir al traste de un día para otro, ya que un ciberataque potente de ransomware (secuestro y encriptación de datos para pedir un rescate por el descifrado) que tenga éxito es capaz por sí mismo de arruinar cualquier negocio.
Así lo acreditan datos como que en torno al 60% de las PYMES europeas que sufre un ciberataque quiebra en los seis meses siguientes al incidente, cifrándose el coste medio que suelen suponer en 35.000 euros.
Además, los ciberdelincuentes tienen en el punto de mira a las pequeñas empresas, por la simple razón de que son un blanco más fácil que grandes organizaciones que cuentan con departamentos de ciberseguridad (dirigidos por un director de ciberseguridad o CISO), o bien tienen este ámbito gestionado con un servicio externo (Cyber Security as a Service).
Por todo ello, la previsión de la ciberseguridad debe ser un aspecto básico a la hora de lanzar cualquier proyecto emprendedor, porque si no, haciendo un paralelismo sencillo, sería como poner todo el esfuerzo en construir la casa de nuestros sueños y dejar la puerta sin cerradura.
Medidas básicas de ciberseguridad para emprendedores
La evaluación previa de riesgos, la concienciación y formación de los equipos sobre la materia, la adopción de políticas de ciberseguridad adecuadas, los sistemas de copias de respaldo en la nube, la articulación de planes de respuesta a incidentes… son solo algunos de los ejes claves para la protección de cualquier futuro negocio que pretenda sobrevivir en el ecosistema actual de ciberamenazas.
1-Evaluación de riesgos
Antes de que los sistemas TI de la empresa estén operativos, es muy importante hacer una evaluación de riesgos potenciales. La profundidad de la misma dependerá de la naturaleza de cada proyecto y de la complejidad de su infraestructura tecnológica.
Como punto de partida se pueden utilizar herramientas como la que ofrece el INCIBE(el organismo encargado de velar por la ciberseguridad en España), para tener una primera idea de las amenazas a los que estaría expuesta la empresa, de acuerdo al uso que vaya a hacer de ordenadores, teléfonos móviles, tabletas, bases de datos, líneas de comunicaciones, etc.
Con todo, lo más idóneo sería realizar estudios de vulnerabilidades más exhaustivos, como los de metodología de análisis y gestión de riesgos Magerit, que ha sido desarrollada por el Centro Criptológico Nacional, pero está integrada en diversas herramientas comerciales como GxSGSI, homologada por la Agencia de la Unión Europea para la Ciberseguridad.
Y si se quiere ir con la mayor seguridad posible, encargar una auditoría de ciberseguridad a una empresa especializada es una decisión con la que siempre se acertará.
2-Concienciación y formación
Los expertos destacan que la ciberseguridad en cualquier empresa depende de un triángulo conformado por la tecnología, el personal y los procesos de trabajo.
El eslabón más débil de la cadena serían precisamente las personas, porque nuestra naturaleza humana nos hace vulnerables a los tipos de engaños que suelen aplicar los ciberdelincuentes para conseguir sus objetivos. Es lo que se conoce como técnicas de ingeniería social, y son cada día más sofisticadas en el fingimiento de credibilidad.
Por ello, es muy importante primero concienciar al equipo embarcado en el proyecto sobre la amenaza que suponen los ciberataques, y luego formarles sobre los distintos modos en los que los intrusos pueden intentar franquear las barreras para acceder a datos críticos. Hablamos de:
- Ataques de phishing para recabar información de forma fraudulenta
- Spoofing o suplantación de identidad
- Ataques de keylogger para monitorizar las pulsaciones en el teclado y así hacerse con contraseñas
- Malvertising, con malware introducido en anuncios
Y el que es más peligroso por el potencial devastado que tiene, el ataque de ransomware para secuestrar la información crítica de la empresa, cifrarla para que sea inaccesible y luego pedir un rescate bajo amenaza de imposibilitar la operativa normal de negocio o de hacer públicos datos personales, con lo que ello implica a efectos legales y reputacionales. De hecho, estudios realizados en Estados Unidos, establecen la esperanza de vida promedio de una PYME que ha sufrido un ataque de este tipo en tan solo de 3 a 7 días.
3-Políticas de seguridad
Asimismo, resultará crucial la definición de una política de protección a través de un plan director de ciberseguridad, para el que puede servir de guía el manual de buenas prácticas del INCIBE.
Estas políticas de seguridad deben ser asumidas por todo el equipo, y enfocarse en aspectos clave que irían desde la manera de utilizar los recursos tecnológicos de la empresa hasta el modo en que se gestionan los datos.
3.1 Acceso y control de usuarios
Es esencial delimitar distintas capas de acceso a los sistemas de información en función de las tareas que realice cada usuario, así como el empleo de contraseñas robustas basadas en autenticaciones por múltiples factores, MFA, (esto es definidas no solo por algo que el usuario 'sabe' como pueda ser una password, sino también por algo que solo él 'tiene'. Por ejemplo, cuando sacamos dinero en un cajero, empleamos un pin que sabemos y una tarjeta que tenemos).
3.2 Uso de softwares de seguridad y actualizaciones
Igualmente, también es muy importante la implementación de softwares de seguridad como antivirus (en versiones desarrolladas para empresas), firewalls, sistemas IDS/IPS de prevención y respuesta, etc.
Pero tan crucial como emplear estas herramientas es mantener actualizados los sistemas, aplicaciones y endpoints (dispositivos de la empresa ya sean ordenadores, móviles, etc.). Al igual, que ir instalando los parches que vayan apareciendo, ya que en la mayoría de ocasiones su desarrollo obedece a la subsanación de vulnerabilidades detectadas.
3.3 Protección de datos
Además, se debe blindar tanto la información crítica de la operativa de la empresa como los datos sensibles de los clientes, con medidas como el uso de redes VPN y el cifrado de la información, para que cualquier brecha de seguridad solo pueda exponer datos que resulten ilegibles.
Asimismo, hay que tener en cuenta la restrictiva legislación en vigor sobre la materia (en el caso de España sería la LOPDGDD, en cuya última actualización adapta a la legislación española al Reglamento Europeo de Protección de Datos (RGPD), que establece la responsabilidad de la empresa con respecto a la confidencialidad de los datos que maneja de personal, clientes y proveedores, previendo importantes penalizaciones y multas para aquellas que no los custodien adecuadamente.
3.4 Sistemas de respaldo y recuperación
Las soluciones de respaldo que ofrecen copias de seguridad en la nube son un recurso imprescindible, ya que en caso de ataque o catástrofe, si bien no se preservaría la confidencialidad de la información, al menos se garantizaría la continuidad de operaciones.
Las soluciones más avanzadas combinan nube pública, privada e híbrida, y utilizan infraestructuras físicas de data centers que brindan las máximas garantías de seguridad, algo fundamental porque en último término, aunque hablemos de servicios cloud, dependen de servidores que almacenan la información.
3.5 Plan de respuesta a incidentes
Asimismo, a la hora de trazar las políticas de ciberseguridad de un negocio, es necesario tener previsto un plan de respuesta a incidentes, ya sean ciberataques o accidentes catastróficos.
Este plan ha de recoger las medidas con las que se responderá ante la identificación de una brecha de seguridad o un percance serio que afecte a la integridad de la información, e incluso las pautas a seguir para comunicarlo con los usuarios o clientes afectados, y eventualmente a las autoridades competentes en los casos contemplados por la legislación vigente.
Como hemos podido ver, la complejidad de todo lo relativo a la ciberseguridad puede ser un quebradero de cabeza importante para un emprendedor que está dando los primeros pasos con su proyecto.
Por ello, dependiendo de cada caso, puede ser una buena opción buscar el soporte de un servicio de ciberseguridad, lo que se conoce como CaaS o CyberSaaS (Cyber Security as a Service), tratando de dar con una solución que concilie la obtención de la protección requerida con unos costes asumibles para una empresa naciente. Algo que debe de ofrecer el mercado teniendo en cuenta la cantidad de emprendedores que se encuentran en esta misma situación…
Adicionalmente, se puede valorar la contratación de coberturas que ya están disponibles como las de los ciberseguros, que protegerían tanto de las repercusiones directas de un ciberataque como de sus posibles consecuencias. Si bien esto no permite despreocuparse de hacer los deberes en materia de ciberseguridad, al resultar precisamente una cláusula obligatoria para la validez de la póliza, en sintonía con lo que ocurre con los seguros de cualquier tipo.
En definitiva, protegerse lo mejor posible frente a cualquier eventualidad y recibir soporte profesional es la política más inteligente para cualquier negocio incipiente que quiera mitigar los riesgos de ciberseguridad, sin que el emprendedor tenga que dedicarle un tiempo ingente a esta cuestión, restándoselo a la creación de valor, que es lo que va a decidir el éxito de su proyecto.
Con todo ello y con un enfoque proactivo en materia de ciberseguridad que involucre a todo el equipo, se podrá alejar el fantasma de un ataque devastador que eche por tierra lo que con tanta ilusión y esfuerzo se está construyendo.
Alejandro Betancourt