Sernivel 3

SERNIVEL3 en ESTRATEGIA EMPRESARIAL. Ciberseguridad para las Pymes

05/03/2021
Noticias

Cinco expertos de CounterCraft, Euskodata, JakinCode, S21sec, y Sernivel 3 opinan sobre la ciberseguridad, y advierten de los peligros que entraña no reparar en ella.

https://www.dropbox.com/s/vfpsi199eoaom7d/Entrevista%20ESTRATEGIA%20EMPRESARIAL-%20SERNIVEL%203.pdf?dl=0

¿Por qué una empresa industrial debe ‘protegerse’ y disponer de una estrategia de ciberseguridad? ¿Qué elementos se deben proteger? 

El volumen de amenazas, en ciberseguridad, que venimos observando en los últimos años tiene una clara tendencia ascendente. El tipo de amenzas a las que se enfrenta las empresas son de diversa índole y provienen de diferentes fuentes de origen. 

Las empresas industriales, con las que trabajamos, poseen diferentes percepciones del riesgo cibernético que las acecha. Unas son sensibles a accesos indebidos de información, como por ejemplo aquellas empresas cuya base del negocio sea un producto de nicho o nuevos productos de I+D, por poner un ejemplo. 

Otras empresas, son sensibles a una parada en fábrica que interrumpa su proceso productivo y/o lo modifique de tal manera que salgan productos defectuosos, con ataques archiconocidos del ransomware del estilo WannaCry. 

Otro de los aspectos sensibles es el fraude, basado en robo de credenciales o robos de identidad que pueden acusar de diversas formas, como supuestos pagos a proveedores que no son reales. 

No menos importante es la reputación, que si bien no ocupa el primer lugar en la mente de nuestros clientes puede afectar severamente a su imagen y en consecuencia al negocio. Una brecha de seguridad importante puede causar mucho eco en las noticias, dependiendo del tipo de sector puede ser másacuciante. 

Por mencionar un último punto, la cadena de suministro. Muchas empresas necesitan disponer de unas certificaciones de ciberseguridad para poder trabajar con sus clientes, Además, extienden esta exigencia a sus proveedores, entre ellos nosotros.  

La estrategia de ciberseguridad en las empresas, de cualquier índole y sector, es esencial para disponer de una hoja de ruta sobre la que basarse en el proceso de mejora continua, por muchas razones. 

Una de las razones, obvia, de esta estrategia de ciberseguridad es disponer de un programa definido, consensuado, trasladado a dirección que esté centrado en proteger los activos críticos para la compañía y las necesidades para poder llevarlo a cabo. 

Algunas de estas necesidades pueden ser, desde las inversiones en infraestructura/servicios necesaria para proteger los activos críticos, hasta la metodología para el traslado de concienciación a todas las capas de la organización. 

¿Qué elementos se deben proteger?  

 Los activos principales en la empresa y, por lo tanto, dónde hay que poner el centro de a estrategia de ciberseguridad varían en función del sector, de la empresa, del tamaño y de la estrategia de negocio de la misma. 

Unos de los principales elementos que debemos proteger es a los propios trabajadores de la compañía, como se ha mencionado anteriormente, uno de los principales vectores de entrada de ataques en las organizaciones es por los propios empleados. No tanto empleados malintencionados, sino empleados no concienciados con la ciberseguridad. SI concienciamos a los empleados reducimos las posibilidades de ataque de los ciberdelicuentes en un alto porcentaje.  

Otro aspecto fundamental de los propios usuarios es su herramienta diaria de trabajo, por ejemplo, los ordenadores y móviles de la compañía, estén donde estén ubicados. Tecnologías avanzadas de hoy en día nos permiten disponer de una seguridad descentralizada que permite a los empleados desplazarse a nivel global y seguir proteginendo sus dispositivos móviles y portátiles.  

Unos de los principales vectores de ataque en las empresas es el mail o correo electrónico, erróneamente muchas empresas consideran que al disponer de un email-correo basado en plataformas en la nube con empresas de renombre se encuentran protegidos. Esto no es del todo cierto y puede ser un punto importante de fallo, que nos puede suponer “caer” es una estafa de phishing por ejemplo. 

Por supuesto, los accesos a Internet desde la empresa o teletrabajando deben estar protegidos de manera especial. No solo a los usuarios, sino las máquinas, aplicaciones, documentación interna, redes de OT etc. 

¿Qué consejos básicos mandaría a una pyme con pocos recursos? 

 El consejo que le daría a una pyme es que se pusieran en buenas manos para dotar de ciberseguridad, porque es una amenaza importante que se cierne sobre ellos sin que a penas sean conscientes.  

Además les diría que existe mucha tecnología que puede “parar” un ataque y pueden majorar mucho en ciberseguridad con ciertas acciones que no tienen porqué ser especialmente costosas e incluso simplemente concienciado a sus x empleados y guardando bien un respaldo de informaicón pueden evitar una castatrofe mayor. 

Eso sí, les diría que se pusieran, como indico, en buenas y expertas manos. La estrategia de ciberseguridad es un plan a largo plazo, si la definición de la misma es errónea, puede que nos demos cuenta pasados varios años y tengamos que empezar o moldear la estrategia de manera tardía.  

Los ciberdelincuentes están al día y si partimos de una estrategia desfasada y como consecuencia acciones llevadas a cabo, desfasadas el impacto puede ser grande en la compañía