Seguridad y pymes, ¿binomio imposible?

Las pequeñas y medianas empresas (PYMES) han asumido que los cibercriminales no las considerarán un objetivo viable debido a su tamaño. Pero no es así. Las pequeñas y medianas empresas aún ofrecen muchos incentivos, como una menor concienciación y un menor presupuesto dedicado a seguridad, lo que les convierte en una atractiva oportunidad.

Este contenido fue publicado en el número de Octubre de la revista IT Digital Security, disponible desde este enlace.

También te puede interesar... Formación y concienciación para mejorar la seguridad Especial Ciberseguridad Industrial Especial Cloud

De hecho, según datos de un estudio elaborado por Keeper Segurity los ciberataque a PYMES han aumentado del 61% de los encuestados en 2017 al 67% ciento de los encuestados en 2018. El mismo informe dice que tras estos incidentes, las compañías gastaron una media de 1,43 millones de dólares por el daño o robo de activos, lo que representa un incremento del 33% respecto a los 1,03 millones de 2017. Además, la interrupción de las operaciones normales costó una media de 1,56 millones de dólares, un 25% más respecto a los 1,21 millones en 2017.

A pesar de los datos, el 66% de los directivos de una pequeña y mediana empresa no creen que puedan ser blanco de ciberataques, y un 60% no tienen un plan de prevención frente a un ciberataque; solo un 9% calificó la ciberseguridad como una prioridad y un 25% informó no tener “idea de por dónde empezar” en términos de una estrategia de seguridad digital.

Podemos seguir con los estudios. El último de Webroot recoge que un 38% de los encuestados dicen que su negocio es demasiado pequeño para ser blanco de ciberdelincuentes; más de un tercio (36%) dice que el tamaño de su negocio significa que no tienen que entender completamente la ciberseguridad. Lo que es más preocupante, de las pequeñas empresas que habían sido blanco de ciberdelincuentes, el 70% se utilizó como punto de entrada a un sistema empresarial más grande al que abastecen; casi la mitad (48%) de los casos impactó negativamente en las relaciones con contrapartes comerciales más grandes, y casi una cuarta parte (22%) admitió que ya no son proveedores.

En el mismo estudio, sin embargo, se recogen buenas noticias: Tres quintos (61%) piensan que sus empleados son más rápidos para detectar posibles problemas de ciberseguridad que en las empresas más grandes; más de la mitad (52%) cree que invertir en ciberseguridad impulsa la innovación, y el 58% cree que aumenta la productividad.

En España “las pymes son cada vez más conscientes de la importancia que tiene la seguridad para la supervivencia de sus negocios”. Así de firme se muestra Umaima Ben Bouker, Channel Account Manager / MSP Specialist para Iberia y Francia de Trend Micro, cuando le preguntamos por la situación de las pymes en España desde el punto de vista de la seguridad. Impulsores del cambio son varios, desde la entrada en vigor de la normativa GDPR al impacto de Wannacry, aunque, lamentablemente “seguimos en la línea de que hasta que algo no pasa no se pone el remedio”.

No contar con recursos técnicos ni económicos es uno de los principales retos a los que se enfrenta la pyme, y por eso “son muy vulnerables” dice Pablo López López, Gerente de Ventas y Desarrollo de Negocio de Ciberseguridad en Administración Pública, Telco e Industria de S21Sec. A este reto se suma el de la concienciación si tenemos en cuenta los datos de los estudios. Al respecto dice Carlos Sánchez, CEO de Grupo Linka, un consultor informático con experiencia en trabajar con pymes, que estamos a medio camino. “No estamos tan mal como estábamos hace cinco años que todo era un ‘a mí eso ni me ha pasado ni me va a pasar jamás’. Ahora las empresas son muy conscientes de estos problemas y están relativamente abiertas a protegerse”. Coincide Carlos Sánchez con las directiva de Trend Micro en considerar a Wannacry como “una palanca que ha movido todo el mercado y ha abierto los ojos a las empresas, y que a los vendedores nos ha valido de lanza para poder entrar en los clientes”. Menciona también el directivo las grandes oleadas de ransomware; “el cryptolocker es muy común y muy cercano, porque ¿quién no tiene un amigo que le han secuestrado el ordenador?”. Finalmente prevé el CEO de Grupo Linka, que tendrán que pasar otros tres o cuatro años para que las pequeñas empresas sean totalmente conscientes de todos los riesgos.

Dice Sara Crespo, directora de canal de Fortinet, que tendemos a decir que las pymes no son conscientes del riesgo que corren por no tener una buena estrategia de ciberseguridad, “pero creo que actualmente sí que son conscientes, y sí que hay una parte del tejido de pymes que son capaces de abordar de manera consistente y coherente una estrategia de ciberseguridad”. 

Por otro lado, explica Umaima Ben Bouker, de Trend Micro, que una tónica común en la mayoría de las empresas, independientemente de si son o no pymes, es tener seguridad a medias. Es decir, no cubrir o no hacer un análisis completo de las necesidades de ciberseguridad y no contemplar todos los vectores. “Con esto me refiero a se puede tener una solución muy robusta para proteger el correo electrónico, por ejemplo, pero ¿qué pasa con el resto de vectores como la red, los endpoints, etc.? ¿los dejamos sin cubrir? Esto es una gran irresponsabilidad”.

P?ara David García Cano, Cyber Security Sales Manager Southern Europe de Aruba, Organismos como CCN-CERT o INCIBE, están ayudando mucho a la sociedad en general, y a este tipo de organizaciones en particular, no solo a ser preventivos en su respuesta en materia de seguridad, establecer planes directores y estratégicos en estas organizaciones , si no a tener un plan de concienciación previo en materia de seguridad que es clave para el éxito de este proceso de avance en materia de seguridad. Y añade que cada vez más las estrategias de seguridad en las corporaciones son más claras y se está comprobando que son necesarias para el cumplimiento de objetivos de negocio así como el normativo. “La carencia de recursos humanos especializados es un mal general, no solo en las pymes, dado que nos encontramos ante una carencia de especialistas en seguridad y tenemos una alta demanda de estos perfiles lo que hace muy complicada resolver esta situación, más si cabe a las pymes que tienen que establecer planes de atracción y retención de talento específicos para estos perfiles tan demandados actualmente”.

Grandes Amenazas para la pyme

Decíamos al comienzo de este tema, que el tamaño no importa cuando se habla de ciberseguridad, pero parece que las empresas más pequeñas son más sensibles a determinados ataques, como el phishing. “En esencia las amenazas pueden ser las mismas a las que se enfrenta una gran corporación, pero en su justa medida”, dice David García Cano

La responsable de canal de Trend Micro identifica el phishing como “una de las amenazas perennes” que ahora utiliza nuevas plataformas para hacer caer a sus víctimas. Según el Informe de Seguridad de 2018 de Trend Micro, van en aumento los ataques que aprovechan el deseo humano de responder a las solicitudes urgentes de la autoridad. Se refiere Umaima Ben Bouker a los ataques BEC, o Business Email Compromise, y el phishing, con un increíble crecimiento del 269% en las detecciones de las URL de phishing en comparación con 2017. “El empleo de tácticas de ingeniería social más elaboradas jugará un papel importante en el éxito de los ataques de phishing, pues los convertirá en convincentes”, apunta la directiva, añadiendo que ante este escenario “tenemos que tener presente que el usuario es el último eslabón en la cadena que representa la estrategia de ciberseguridad de una compañía, pero también podemos verle como parte de la solución”.

Convertir al empleado en la primera barrera de seguridad pasa por trabajar la parte de concienciación, seguido de formación. Asegura el directivo de Aruba que es fundamental procesos de formación en materia de seguridad a todos los empleados en las organizaciones, también en la Pyme, dado que con estas medidas podremos evitar que, ataques más básicos, se materialicen en las organizaciones de este tipo (rasomware, phising, adwares, malwares, ingeniería social, etc.) Respecto a esto último existen en el mercado soluciones como Phish Insight de Trend Micro o Sophos Phish Threat, que trabajan enviando muestras falsas de phishing a los empleados para evaluar si están respondiendo de forma correcta o caen en estos ataques supuestos de phishing.  

Sara Crespo prefiere hablar de vectores de entrada más que de amenazas contra la pyme. El correo electrónico es el principal “y por el que entran casi todos los ataques”. Explica la directora de canal de Fortinet que el email se ha convertido en la base de trabajo de prácticamente todas las empresas “y la realidad es que pocas veces está protegido de forma correcta, bien sea porque no se está vigilando contra amenazas desconocidas, bien sea porque no se analizan los archivos adjuntos”.

La página web es, para Sara Crespo “un coladero”. Dice que todas las empresas tienen una web que normalmente no está protegida y en la que es muy fácil inyectar código o que alguien entre a tus sistemas a través de la web. “Y un punto importantísimo es la WiFi”, un aspecto que a menudo se olvida, pero a través de la cual se puede acceder a la red corporativa, “la misma que está utilizando la persona que hace las nóminas, o la persona que esté haciendo la base de datos de clientes”.

La Seguridad de un Proveedor

Las principales barreras a las que se enfrentan las empresas cuando quieren hacer frente a la seguridad son la falta de recursos internos y de personal cualificado. Frente a esto, los pequeños negocios con conciencia del problema optan por delegar la seguridad en un proveedor. Según Umaima Ben Bouker entre el 60% y el 90% de las pymes ya delegan estos servicios.

“Los servicios gestionados de seguridad pueden ser parte de la solución”, dice David García Cano, apuntando a que la oferta de este tipo de servicios por MSSP e integradores especializados, puede ayudar a cubrir limitaciones presupuestarias y ofreces servicios de alto valor en materia de seguridad y que además se beneficien las pymes de las economías de escala de este tipo de servicios. “Además, este tipo de servicios cuentan con profesionales de altísima cualificación en materia de seguridad informática, lo que también puede ayudar a resolver el problema de la atracción y retención de talento especializado”.

“Nos lleva la delantera el mercado de impresión”, reflexiona Sara Crespo cuando le preguntamos si la solución para las pymes son los servicios de seguridad gestionados. “A nadie le sorprende hoy el estar pagando un coste por copia, y sin embargo en ciberseguridad aún parece que no es normal, aunque cada vez haya más oferta y más partners que son capaces de montar este tipo de servicios que dan cobertura de manera integral a lo que pueda necesitar una pyme, y orientado a coste y a necesidad”.

La evolución de Grupo Linka hacia el mundo de los servicios gestionados de seguridad llevan a Carlos Sánchez, su CEO, a asegurar que aporta mucho valor porque, aunque a veces una empresa tenga un técnico, muchas veces el tema de las seguridad se les escapa. “Con un servicio gestionado se benefician de un equipo de informáticos y por una cuota mensual reducida pueden tener toda la seguridad y tranquilidad sobre ese tema”, asegura el directivo.

Menciona también Carlos Sánchez el modelo de pago por uso, presente en casi todas las tecnologías que hay en el mercado “y que también ha llegado a la seguridad”. Dice el CEO de Grupo Linka que a este respecto uno de los productos estrella en la seguridad es el firewall; “por una pequeña cuota mensual puedes tener un dispositivo bien gestionado, con todas las actualizaciones y sin tener que preocuparte de renovaciones”.

Respecto a cómo las pequeñas empresas hacen frente a las regulaciones de seguridad, dice Pablo López, de S21Sec que a la mayoría les faltan conocimientos para saber cómo afrontar las regulaciones, y “tienen que apoyarse en empresas que les provean de esta tipo de servicios”.

Parte de la cadena de suministro

Recogíamos al inicio del artículo la importancia que tienen las empresas pequeñas como medio de acceder a las grandes. Las cadenas de suministro presentan un eslabón débil para la ciberseguridad porque las organizaciones no siempre pueden controlar las medidas de seguridad tomadas por los socios de la cadena de suministro. Esto puede crear oportunidades para que los ciberdelincuentes ataquen a una organización al infiltrarse primero en una parte de la cadena de suministro.

Los ataques a la cadena de suministro atentan contra la confianza básica entre dos empresas, y pueden acabar con la relación contractual de las mismas, siendo la pequeña la más perjudicada.

Sobre si las pymes tienen conciencia de esta problemática, dice Pablo López López, de S21sec, que cada vez más, aunque según su experiencia es algo que llega impuesto por estas grandes empresas; “una pyme que sea proveedora de una gran empresa va a verse obligada a cumplir con este tipo de normativa, puesto que es un vector de entrada muy fácil para llegar a las grandes”. Las grande cuentas, dice el directivo “están empezando a imponer requisitos de seguridad”.

Dice Carlos Sánchez que en Europa la seguridad de la cadena de suministro es bastante más rígido; “las subcontratas que trabajan para grandes empresas tienen que cumplir ciertos estándares, pero en España se presta muy poca atención a este tema”, dice el CEO de Grupo Linka. “Evidentemente las grandes multinacionales sí que exigen a sus subcontratas de referencia cumplan ciertas especificaciones, ciertos ISO, etc., pero en el mundo de la pyme estas exigencias no se suelen dar. Y eso sí que es cierto que afecta a la seguridad de una empresa”, concluye el directivo.