Ciberseguridad para pymes: manual de supervivencia
Las pymes que conforman gran parte del tejido productivo español han visto acelerada su digitalización; por ello, Huawei y la Universidad de León han definido una guía de buenas prácticas contra ciberamenazas.
En el contexto de la era digital, la transformación tecnológica ha revolucionado la manera en que interactuamos, trabajamos y nos comunicamos. Este avance, sin embargo, también ha traído consigo nuevos desafíos; en este escenario, la ciberseguridad emerge como una cuestión crítica que es imprescindible abordar. Y se debe hacer con especial foco en las pequeñas y medianas empresas (pymes) que han visto en los últimos años acelerada su digitalización a causa de factores como la pandemia derivada por la Covid-19.
En este sentido, Huawei y la Universidad de León han aunado esfuerzos para elaborar un manual de supervivencia contra las ciberamenazas que ponen en jaque a las pymes que conforman gran parte del tejido productivo español y europeo. Un documento que ahonda en la necesidad de formación y concienciación en términos de seguridad cibernética con el propósito de que las pymes prosperen en un entorno digital cada vez más desafiante.
Desafíos clave
Una de las principales preocupaciones de las pymes es mantener o ampliar sus oportunidades de negocio y hacerlo de forma segura. Para lograr este objetivo, deben tener en cuenta a la evolución del panorama de las ciberamenazas. Entre los principales retos relacionados con la ciberseguridad de las pymes figuran aspectos como el factor humano, la falta de cualificación y competencia o la inversión.
Según el informe 2023 Data Breaches Investigations de Verizon, el 74% de las brechas de datos implican un factor humano. Esto está relacionado con la falta de concienciación sobre ciberseguridad de algunos empleados y usuarios. Resulta difícil abordar este problema subyacente: el comportamiento y los hábitos humanos. Asegurar los datos sensibles y protegerlos contra el robo debería ser un elemento esencial de la formación en capacidades en materia de ciberseguridad de los empleados.
Por otro lado cabe mencionar que las pymes se enfrentan a dificultades para acceder a profesionales de la seguridad capacitados para un asesoramiento a medida sobre la integración de la ciberseguridad en sus operaciones. Según un estudio del ISC2 Cybersecurity Workforce Study 2022, en Europa faltaban más de 300.000 especialistas en ciberseguridad (60.000 de ellos en España). Todo ello conlleva una mayor responsabilidad para los directivos y empleados de las pymes de mantenerse al día en un escenario de ciberseguridad complejo y en constante cambio.
El Informe Fortinet Cybersecurity Skills Gap Report 2022 reveló que el 80% de las organizaciones han sufrido una o más brechas que podrían atribuirse a la falta de habilidades de ciberseguridad y/o a la falta de concienciación sobre ciberseguridad en el entorno laboral. ENISA publicó en abril de 2022 el Marco Europeo de Competencias en Ciberseguridad. Este marco identifica el conjunto de habilidades críticas de ciberseguridad que se requieren para el entorno laboral. También proporciona las herramientas adecuadas para que el personal de RR.HH comprenda mejor qué se necesita exactamente para contratar personal de ciberseguridad.
En lo relativo a la inversión merece la pena recordar que el 93% de las pymes son microempresas, con menos de 10 empleados y sin personal dedicado a las TI o la seguridad. Hacerles ver que invertir en este ámbito es crucial para su supervivencia desde los comienzos puede ser una tarea complicada que abordar, pero sin duda es necesaria. Se debe poner fin a las situaciones en las que las empresas se dan cuenta de la necesidad de la ciberseguridad sólo después de un incidente importante, evidentemente cuando ya es demasiado tarde.
Medidas prácticas a adoptar
Según el manual de supervivencia, existen cuatro medidas clave que deben tenerse en cuenta a la hora de crear una estrategia de seguridad y que pueden ayudar a las pymes a minimizar riesgos. Por un lado, identificar los procesos y recursos críticos de la empresa, las amenazas a la seguridad, las vulnerabilidades y los riesgos. Por otro lado, implantar medidas de seguridad, como un estricto control de acceso, concienciación y formación, gestión de vulnerabilidades y parches, y procesos de copia de seguridad y recuperación de datos. Además, potenciar el uso de procedimientos actualizados antimalware, de detección de incidentes de seguridad y de notificación al personal y a los usuarios. Por último, mantener los planes de recuperación ante incidentes y catástrofes y establecer las estructuras de comunicación adecuadas para interactuar con las partes interesadas.
Qué deben hacer las pymes para reducir las ciberamenazas
Los tipos más comunes de ataques a las pymes incluyen malware, phishing, ataques basados en web, ransomware y denegación de servicio distribuido (DDoS). He aquí siete cosas que pueden llevar a cabo las pymes con el propósito de reducir los diferentes tipos de amenazas.
Control de acceso estricto: gestión segura de contraseñas
Más del 60% de las violaciones de la ciberseguridad afectan a las credenciales de los usuarios. Las prácticas deficientes y débiles en materia de contraseñas suponen un riesgo real para la ciberseguridad. Utilizar una contraseña fuerte y única con al menos 12 caracteres y letras, números y símbolos puede ser de gran utilidad. Según la guía, se recomienda “encarecidamente” utilizar un gestor de contraseñas para generarlas, gestionarlas y almacenarlas de forma cifrada. Aplicar y activar la autenticación multifactor (AMF) para las aplicaciones y sistemas que las pymes utilizan o ponen a su disposición también resulta vital.
Gestión de vulnerabilidades
Corresponde a las pymes garantizar que se identifican y mitigan las vulnerabilidades de sus productos. Los parches para vulnerabilidades y las medidas de mitigación para los productos/servicios que utilizan (señalados por los proveedores o las autoridades nacionales) deben aplicarse oportunamente. La instalación y el mantenimiento de sistemas antivirus es un paso esencial para proteger los sistemas operativos y las aplicaciones de las pymes de otras amenazas.
Copia de seguridad de datos
Copia de seguridad de los datos esenciales para las actividades empresariales en, al menos, dos ubicaciones fuera de la red corporativa. Podrán utilizar el cifrado completo de disco para garantizar que, en caso de pérdida o robo de un disco duro, los datos permanezcan seguros. Las claves de cifrado también deberán protegerse de forma segura.
Instalación y mantenimiento de cortafuegos
Instalar un cortafuegos para mejorar la seguridad aislando una red confiable de otra que no lo es puede suponer un valor diferencial. Parchear y reforzar el cortafuegos también. Las pymes deberán utilizar un enfoque de listas blancas (denegación por defecto) para permitir únicamente el tráfico específico que requieren los servicios utilizados por la empresa. Actualizar periódicamente el software del cortafuegos y, en la medida de lo posible, automatizar el proceso.
Inalámbrico / Acceso Wi-Fi protegido (WPA)
El manual recomienda emplear WPA3 siempre que sea posible y una contraseña única y segura con cifrado de red Wi-Fi que contenga al menos 20 letras, números y caracteres especiales.
Red privada virtual (VPN) para acceder fuera de una red corporativa
Una VPN robusta puede proporcionar un acceso remoto seguro a una red y sus aplicaciones.
Mantener un Plan de Recuperación de Incidentes y Catástrofes
Definir y mantener un plan de recuperación ante incidentes y catástrofes para responder a las violaciones de seguridad, de modo que las pymes puedan recuperar el control de sus operaciones y datos empresariales.
