Ciberseguridad: ineludible obligación para las pymes

El increíble valor que la información y los datos tienen para las empresas es una realidad innegable de la que se viene hablando desde hace años. Gobiernos y organismos internacionales han hecho un importante esfuerzo para concienciar a las compañías, incluido las pymes, de la importancia que tiene que uno de los grandes activos del negocio, como es la información, esté a buen recaudo de los enemigos de lo ajeno. La ciberseguridad se convierte en una ineludible obligación para todas las empresas.

También se han escrito ríos de tinta sobre la estrecha relación que existe entre los avances tecnológicos y el peso de la información en los negocios, ya que su importancia aumenta con la continua mejora de las herramientas de gestión. De hecho, ahora es posible manejar y aprovechar todos los datos sensibles de una firma de forma telemática.

Una tendencia que la pandemia ha incrementado, disparando el teletrabajo y obligando a las pymes a buscar soluciones seguras con las que manejar sus datos sensibles de forma telemática y desde muchos y diferentes lugares. Y todo esto sin entrar en otro riesgo también importantísimo, el de las sanciones por perder información de clientes o proveedores.

Pues bien, aún hoy existe la equivocada creencia de que la ciberseguridad es algo que solo debe preocupar a grandes multinacionales u operadores de servicios esenciales y sensibles, ya que son el objetivo de los hackers, que no obtienen beneficio alguno si atacan a pymes, nuevos negocios o firmas familiares de mediano tamaño. Craso error. El 70% de los ciberataques que tienen lugar dentro de nuestras fronteras tienen como objetivo las pymes.

Y crecen de manera exponencial, tanto en el número de ataques como en el daño que producen en las empresas afectadas y en sus clientes. La última directiva de Bruselas, de junio de este mismo año, trata de proteger a estos últimos, avalando e impulsando demandas colectivas, incluso transfronterizas, contra las empresas que sufren pérdida de datos sensibles de sus clientes al carecer de unas adecuadas medidas de protección.

El primer paso para protegerse debe ser conocer el propio estado de la ciberseguridad de la empresa.  Es decir, responder a una pregunta muy simple: ¿es vulnerable el negocio a un ataque informático? Pero al contrario que la mera formulación de la pregunta, su respuesta dista mucho de ser algo simple y sencillo.

De hecho, para ofrecer una contestación acorde a la importancia que la ciberseguridad debe tener en una compañía será necesario someter al negocio a una auditoria de seguridad, también conocida como hacking ético o pentesting. Dependiendo del grado de conocimiento que el atacante tenga con la empresa, dicha prueba puede ser de tres tipos que detallamos a continuación:

Auditoría de caja blanca. Son las que se realizan con información sobre todo el sistema interno de la empresa. Es decir, el auditor conoce los detalles de la red, los cortafuegos, los sistemas operativos, etc.

Con ello se quiere simular un ciberataque a la empresa por parte de un empleado o exempleado molesto con la compañía. Como se presupone este tipo de prueba es más corta, ya que no precisa del tiempo necesario para que el auditor descubra los secretos de la empresa, también llamados fingerprint.

Auditoría de caja negra. Es justo lo contrario. Se realiza sin contar con información alguna sobre la infraestructura de seguridad y operativa de la compañía. Es la ideal para simular los ataques de piratas informáticos profesionales.

Auditoría de caja gris. Es una mezcla de las dos anteriores y es la que más se realiza en la actualidad por sus ventajas para simular todos los supuestos ataques que una empresa puede sufrir.

Con todo, e independientemente del tipo de prueba a la que se quiera someter al negocio, lo que debe quedar meridianamente claro es que la ciberseguridad es ya una obligación absolutamente ineludible para las empresas. También para las pymes.