Cualquier organización emplea las tecnologías, los sistemas y la información para lograr sus objetivos y, en muchas ocasiones, se nos olvida que estos son también un riesgo a tener en cuenta, más allá de aquellos comúnmente relacionados con el negocio, como el riesgo operacional, el riesgo financiero o el riesgo normativo.
En ocasiones, las pequeñas y medianas empresas no saben por dónde empezar a la hora de tomar cartas sobre el asunto de la ciberseguridad. Por eso, hemos desarrollado una serie de artículos que pueden ayudar a estas empresas a seguir el camino correcto hacia la protección de los datos personales y la información confidencial que manejan.
El primer paso que debe dar cualquier organización es conocer sus ciberriesgos y cómo gestionarlos. Esto se recogerá en el Plan de Seguridad basado en la Política de Seguridad que contempla los posibles riesgos, responsabilidades y normas a seguir en el día a día para garantizar la seguridad informática y el protocolo a seguir en caso de que estos sistemas se vean expuestos a una amenaza.
Una de las partes más importantes consiste en identificar el riesgo y gestionarlo adecuadamente para minimizar el impacto que pueda tener sobre el negocio, pero la parte más difícil consiste en determinar qué nivel de riesgo se está dispuesto a tolerar. En el pasado, esta última parte venía determinada por la falta de soluciones de ciberseguridad adaptadas para la pyme. Si no existen soluciones disponibles en el mercado, diseñadas especialmente en función de las capacidades de una pyme, ni siquiera contemplaré el ciberriesgo en mi Plan de Seguridad.
Pero el escenario ha cambiado. Esas soluciones ya existen, porque al contrario de lo que podemos pensar, en nuestro país, 7 de cada 10 ciberataques van dirigidos a pymes, no a grandes multinacionales. Por eso, es esencial implementar una estructura efectiva de gestión del riesgo cibernético que sea revisada cada año con el objetivo de eliminar aquellas políticas más ineficaces e introducir otras nuevas que nos permitan adaptarnos de forma progresiva y paralela a la evolución tecnológica y crecimiento financiero de nuestro negocio.
La inexistencia de las políticas de ciberseguridad o una estructura de gestión del riesgo ineficaz puede llevar a la pérdida de oportunidades comerciales y altos costes adicionales que obliguen a tener que cerrar tu negocio. Según Google, el 60% de las pymes se ven obligadas a cerrar 6 meses después de un ciberataque debido a las pérdidas económicas generadas.
Pero tu ciberseguridad no depende solo de ti, la responsabilidad de la ciberseguridad también recae en los empleados, en tus proveedores y partners. Ellos son la ventana de entrada que utilizan los ciberdelincuentes para atacar los sistemas de las empresas. Por eso, es importante que les comuniques tus políticas de gestión de riesgos para que conozcan las reglas, los límites e incluso, los requisitos de seguridad que han de cumplir ellos mismos para entablar cualquier relación comercial con tu organización.
Además, es muy importante educar y concienciar a los trabajadores sobre los riesgos de ciberseguridad existentes ya que según el informe Hiscox el 95% de los ataques o brechas de seguridad son producidos por errores humanos de los empleados. Los taques de ransomware, ataques dirigidos y phising son las técnicas más empleadas en la actualidad. Educar de forma actualizada y periódica al usuario sobre estos riesgos, cómo evitarlos y cómo proceder ante la sospecha de haber sido atacado, es esencial.
Además, desde Grupo ICA, recomendamos seguir de cerca al Instituto Nacional de Ciberseguridad de España -INCIBE- y de la Oficina de Seguridad del Internauta OSI- que te ayudarán a comprender más y mejor los riesgos asociados al uso de la tecnología. También consideramos una buena opción para la pymes aplicar estándares reconocidos de buenas prácticas de administración de la seguridad como pueden ser ISO/IEC 27000, 27001 y 27002.
Si no dispones de los recursos necesarios para gestionar tu ciberseguridad, considera subcontratar tu ciberseguridad dejándola en manos expertas. Independientemente del tipo de servicio que contrates, asegúrate de conocer cómo gestionan la confidencialidad y la integridad de tu información y su disponibilidad. También revisa los Acuerdos de Nivel de Servicio -SLAs- que deben quedar reflejados en el contrato y te ayudarán a medir la calidad del servicio prestado.
Asumir riesgos es una parte necesaria de los negocios, indispensable para crear nuevas oportunidades y lograr los objetivos comerciales. Para que una pyme funcione con éxito, debe abordar tanto los riesgos tradicionalmente más asociados al negocio, como el ciberriesgo. Debe hacerle frente de forma proporcional al nivel de riesgo que está dispuesto a asumir.
No identificar ni gestionar el riesgo al que se enfrentan los sistemas informáticos sobre los que hoy en día descansa el buen funcionamiento de cualquier empresa, puede llevar al fracaso empresarial. No pierdas el proyecto profesional que tanto esfuerzo y tiempo te ha costado construir por una mala gestión de la ciberseguridad.