“Las pymes del futuro que no cuenten con un experto en ciberseguridad morirán”

Suena a película de espías y a problema que solo atañe a las grandes compañías, pero la ciberseguridad es un aspecto clave de cualquier empresa, más aún en el caso de las pequeñas y medianas. La ausencia de concienciación, la falta de medios para poder adoptar grandes soluciones o la percepción de que su negocio no puede ser valioso para grupos de criminales informáticos son algunos de los males que asolan a muchas marcas que, de un día para otro, se encuentran frente a un ataque que paraliza sus operaciones.

“Hace cuatro años nos infectaron con 'criptlocker' en la oficina. Veinte personas paralizadas, sin poder hacer nada. Fue un antes y un después en nuestro día a día. Tuvimos que instalar un firewall, que no sabíamos lo que era, actualizar los ordenadores y comprar un antivirus. Hemos hecho una inversión en seguridad que antes no hacíamos”. La cita resume uno de los puntos que se trataron en la mesa redonda organizada por El Confidencial de la mano de Telefónica Empresas bajo el lema ‘Ciberseguridad: defiende tu empresa’. En ella, hasta seis expertos en la materia debatieron sobre concienciación en empresas, la mayor accesibilidad de la protección y los avances que permiten que las pymes sean cada vez más seguras.

“Los hackers que se colaban en un ordenador de una compañía desde su casa a las tres de la mañana ya no existen. Ahora hablamos de mafias organizadas de manera empresarial en lo que se conoce como ‘crimes as a service’”, ilustraba Víctor Deutsch, director de estrategia y transformación de programas de Telefónica Empresas.

No hablamos solo de mafias organizadas sino incluso de países que han encontrado en el crimen informático una fuente de ingresos. “En Nigeria tienen fuerzas especializadas en estos crímenes porque los sueldos son muy bajos. A través de medios al alcance de todos, como la inteligencia artificial, pueden disparar a muchísimas empresas a la vez. Cuando ven cuáles caen ya entran los analistas que empiezan a tirar del hilo. El ‘ratio’ de éxito es de uno entre 500, el esfuerzo es mínimo y el beneficio altísimo”, resumía Gianluca d’Antonio, director académico del Máster en ciberseguridad de IE University.

Una de esas 500 empresas que reciben ataques de manera sistemática podría ser Hedonai, especializada en centros médicos de belleza, o Grúas y Transportes Sixto aunque ambas ya han iniciado una transformación digital en la que la seguridad digital juega un papel importante. “Es fundamental tener la información de los clientes a buen recaudo y es normal tener miedo a subirla a la nube. Una pyme no puede permitirse grandes desembolsos pero puedes aliarte con partners que estén al día. Para nosotros es una decisión estratégica”, afirmaba Eduardo Prieto, director financiero de Hedonai.

Ahora hablamos de mafias organizadas de manera empresarial en lo que se conoce como ‘crimes as a service’

Esa externalización de servicios es la que está permitiendo que las pymes cada vez estén más protegidas. Así lo explicaba también José Requena, director de Cotronic: “Los servicios se industrializan para que sean más baratos y podamos tener, con esa inversión, herramientas de seguridad. Esas decisiones no se tomarían si los costes fueran más importantes”, afirmaba.

En una línea similar se expresaba José Antonio Beas, director gerente de Grúas y Transportes Sixto, que también subrayó la necesidad de que exista un perfil en estas empresas que cuente con los conocimientos necesarios en tecnología para ponerse en contacto con colaboradores y que sea capaz de formar al resto de la plantilla en temas de seguridad. “El trabajador no quiere más competencias y no puedes fichar a un informático en exclusiva. La seguridad se ve como algo improductivo pero no se trata sólo de tener un firewall sino que debes contar con un plan b, tener copias de seguridad de tus datos…”.

La importancia del responsable tecnológico

Beas lamentaba que al responsable de tecnología se le viera como un perfil improductivo pero muchos de los asistentes remarcaron la necesidad de que las compañías tengan un perfil de ese estilo. Si no es un experto que, por lo menos, se trate de una persona con las habilidades necesarias para poder identificar riesgos, trazar planes de contingencia y llevar las riendas de la seguridad en las empresas.

“Es importante recordar que la seguridad no es una sola capa. No basta con un firewall. Hay que actuar a varios niveles para atacar todos los vectores porque el peligro puede llegar por una llave usb traída desde casa”, explicaba Pío Sierra, product manager Acens de servicios de seguridad.

Es por esto que voces como la de D’Antonio claman por la incorporación de un responsable tecnológico de la misma manera que ya existe “un contable, un financiero o un abogado” en plena era de la transformación digital. Según el responsable de IE University, “en la pyme del futuro habrá que encontrar un sitio para el responsable tecnológico y tendrá capacidades y competencias en ciberseguridad si quiere subsistir”. Una idea con la que Sierra no estaba del todo de acuerdo: “Una empresa sabe si necesita un abogado o ciberseguridad, dependerá del tamaño y del ‘core’ de su negocio. Quizá no sea necesario tener un experto en plantilla”.

Frente a la progresiva concienciación de las empresas, Deutsch recordó que no hay que dormirse en los laureles porque el crimen digital se está especializando y mejorando día a día. “Una de las tendencias futuras es la verticalización: atacar empresas de un mismo sector, que es más efectivo que un ataque individual. Y también vemos técnicas de propagación que hacen imposible detener los ataques por separado”. En este sentido, señaló que la seguridad del futuro se hará “por capas” utilizando agentes informáticos que sean capaces de detectar las vulnerabilidades más comunes para que sean los analistas de datos los que tengan que lidiar con las amenazas más sofisticadas. Una terminología que puede sonar a ciencia ficción en una empresa de pocos trabajadores, pero que está más de actualidad que nunca.