No hay día en el que no leamos un titular que hable sobre el enésimo ciberataque perpetrado a una gran empresa. Uno de los más sonados, por su relevancia e impacto, ha sido el sufrido recientemente por el SEPE; pero seguro que todos recordamos también el caso de Air Europa, Cadena Ser, Adeslas, Renfe… y así una lista interminable que crece día a día con el nombre de las principales compañías del país.
La primera reacción cuando nos enteramos de este tipo de noticias es pensar que a nosotros nunca nos va a pasar y es en ese momento cuando empezamos con el proceso de autoconvencimiento a base de repetirnos ideas que suenan más o menos así: “Eso solo le ocurre a las grandes compañías”, “Mi empresa es demasiado pequeña para que nadie se fije en ella“, “Desde que abrí mi negocio nunca me ha pasado nada”, “No entiendo porqué ahora tiene que ser diferente“, “¿A quién le pueden interesar mis datos con lo pequeño soy?”, “Yo solo uso internet para mirar el correo”… y así un sinfín de excusas banales que nos ayudan a mitigar la preocupación de la ciberseguridad.
Pero luego, también nos enteramos, y no por la prensa, que empresas muy cercanas a la nuestra han sufrido un ciberataque que ha detenido su actividad. Estas noticias no salen en los periódicos, pues a quién le interesa que alguien haya atacado a una PYME que nadie conoce. Sin embargo, el impacto en su actividad es igual e incluso mayor que en una gran empresa del IBEX.
Las consecuencias de estos ataques a las PYMEs se traducen en hechos concretos que se reflejan en las cosas más cotidianas. Por ejemplo, la gestoría con la que la que trabajas no ha podido hacer las nóminas del mes, o la clínica dental donde van tus hijos no puede darte cita porque el sistema lleva una semana sin funcionar o, simplemente, que la factura de la agencia de guaguas que habías contratado el mes pasado para trasladar a un grupo de turistas no te ha llegado porque han perdido los datos de todos sus clientes, incluyendo la copia de seguridad.
Ninguno de estos pequeños sucesos, cada vez más frecuentes, salen en las noticias, pero lo cierto es que forman parte de la realidad del tejido empresarial. Entonces es cuando nos damos cuenta de que todo ese discurso de autoconvencimiento que nos repetimos cada vez que leemos un titular de un nuevo incidente de ciberseguridad no era tan sólido como nos habíamos prometido y que, quizás, la próxima empresa en caer sea la nuestra.
Lamentablemente en materia de seguridad el empresario, en la mayoría de los casos, suele actuar de manera reactiva y ocurre que, hasta que no padece en primera persona las consecuencias de un ciberataque, es incapaz de tomar medidas. Es probable que este ejercicio recurrente de procrastinación vaya en la naturaleza del ser humano. En la práctica solo aprendemos cuando somos protagonistas de la noticia.
Los ciberdelincuentes trabajan día a día para mejorar sus técnicas de ataque y resulta del todo imposible pensar que nuestra empresa está a salvo de sufrir un incidente que comprometa la actividad y ponga en jaque nuestro negocio.
Aun siendo esta la realidad, conviene tener claro que no se trata de cruzarnos de brazos y esperar a ser la nueva víctima que engrose la interminable lista de damnificados. Más bien todo lo contrario. Toca ponerse en marcha y trazar un plan que nos permita minimizar los riesgos, y por qué no, ponérselo muy difícil a los ciberdelincuentes y evitar que consigan su objetivo. Llegados a este punto nos preguntamos, ¿por dónde empezamos?
Una buena forma de abordar esta cuestión puede ser realizar un Plan Director de Ciberseguridad adaptado a nuestra compañía. No existen dos empresas iguales y cada una presenta una serie de particularidades que es preciso analizar con detalle para saber a qué riesgos nos enfrentamos y cuál es la dimensión de la tarea que tenemos por delante.
Es muy importante que este Plan Director de Ciberseguridad esté orientado al negocio. No se trata de empezar a enumerar todas las deficiencias que seguramente existan en la empresa. El objetivo es identificar aquellas que sí son relevantes, y que de llegar a provocar un incidente, tendrían un impacto serio en nuestra actividad. En este sentido debemos huir de paquetes de seguridad estándar que solo persiguen vender productos sin importar si realmente son la solución que necesita nuestra empresa.
El proceso de transformación digital, acelerado por la crisis de la COVID19, nos ha obligado a exponer nuestra información mucho más de lo que nos hubiera gustado, asumiendo riesgos para los que nuestras empresas no estaban preparadas. Un buen ejemplo fue la puesta en marcha del teletrabajo en marzo del año pasado. Muchos de los ataques sufridos por las PYMEs en el 2020 tuvieron su origen en una implementación precipitada e insegura de este nuevo modelo laboral que implica desarrollar nuestras tareas profesionales desde casa, fuera de la seguridad que aportan los entornos profesionales.
En un mundo cada vez más digitalizado ya nadie cuestiona el valor que tienen los datos en las empresas llegando, en algunos casos, a convertirse en el mayor activo del negocio. Pensemos por un momento qué ocurriría si mañana perdiéramos toda la información de nuestra compañía, sería casi como volver a empezar de cero.
Así que todo lo que hagamos para proteger nuestro mayor activo será bienvenido, siempre y cuando con ello estemos garantizando que la probabilidad de sufrir un incidente de seguridad que paralice nuestra actividad sea mínima.
Por último conviene recordar que proteger los datos que manejamos en nuestra empresa es una obligación perfectamente definida por el RGPD. Muchos incidentes de seguridad vienen acompañados por la consiguiente sanción de la Agencia Española de Protección de Datos (AEPD) por incumplir el Reglamento, con lo que el disgusto es doble.
Transitamos hacia un modelo económico cada vez más digitalizado que inevitablemente hará que aumente el número de incidentes vinculados a la ciberseguridad. Quedarse fuera de este escenario digital no es una opción, pues supondría apartarnos de las tendencias del mercado y condenarnos al cierre.
La digitalización de los negocios debe ir acompañada de las medidas de seguridad pertinentes para minimizar los riesgos y eliminar sobresaltos innecesarios. En esto de la ciberseguridad, como en tantas otras cosas de la vida, más vale prevenir.
