Más conectados, ¿más vulnerables?

Cuánto valen los datos de su empresa? ¿Cuánto estaría dispuesto a pagar por recuperarlos? Preguntas como estas son más comunes que nunca. La seguridad ha pasado de ser un inconveniente puntual a convertirse en una necesidad 24 horas al día, 7 días a la semana.

La mayoría de directivos empieza a comprender que solo hay dos tipos de empresas en la economía digital: las que han sido atacadas y lo saben y aquellas que también lo han sido, pero lo desconocen. La ciberseguridad absoluta no existe, pero, por suerte, una brecha de seguridad por sí sola no es un desastre: es su incorrecto manejo lo que la convierte en una amenaza seria.

Dentro de esfuerzos e iniciativas como Next Generation Europe o "España Puede", que tiene como uno de sus principales cuatro pilares la "España digital", se hace mucho énfasis en la modernización y transformación del ecosistema de nuestras empresas, pero no debemos olvidarnos de la necesidad de actualizarnos, a nivel de sistemas y cultura, en el área de la ciberseguridad.

En España, las pequeñas empresas tienden a estar menos preparadas, debido a cuestiones obvias como la escasez de recursos y equipos. Sin embargo, a menudo procesan una gran cantidad de datos de terceros y los riesgos de reputación y responsabilidad frente a ciberataques son igualmente importantes. Pymes, empresas pequeñas, organismos públicos, gran empresa… Los cibercriminales no distinguen de tamaño o ámbito de actuación.

En este sentido, las grandes empresas tampoco pueden descuidarse. Pese a que destinen ingentes cantidades de recursos a cortafuegos, herramientas de cifrado, dispositivos de acceso seguro… Todo será en vano si no abordan el eslabón más débil de la cadena de la ciberseguridad: el usuario.

Los hackers no son jóvenes genios encapuchados que perpetran ataques desde su habitación. El trabajo de los cibercriminales es cada vez más organizado y profesional. En la mayoría de casos, explotan vulnerabilidades obvias y sencillas. Y es que los cibercriminales no derriban puertas con complejas herramientas: aprovechan las que el usuario se deja abiertas. Es la persistencia, y no la pericia, su principal activo.

Por eso, empresas y usuarios deben estar alerta en todo momento. Y dado que es inevitable que se produzcan incidencias, los esfuerzos no solo deben dedicarse a la prevención, sino a la detección y la reacción.

¿Qué pueden hacer de manera concreta las empresas para estar más seguras en el entorno digital? La compañía más segura es la que mira a ambos lados al cruzar una carretera de único sentido. Y este mensaje debe calar desde los puestos ejecutivos hasta el último empleado.

En España, para lograr cumplir los ambiciosos objetivos de digitalización impulsados por Europa, 9 de cada 10 empresas medianas y pequeñas deberían mejorar el conocimiento de sus principales vulnerabilidades y, seguramente, un número similar necesita refinar sus servicios de protección enfocados a los correos electrónicos, una de las principales puertas de entrada.

Si tenemos que identificar 2 áreas de mejora críticas para las empresas, estas son los usuarios y su cultura de ciberseguridad. A nadie se les escapa el gran impacto que el teletrabajo está teniendo en la empresa. Por ello, es vital que se mejore la concienciación del individuo, mediante programas de formación, no puntuales, sino de largo recorrido (por ejemplo, planteando la inclusión de la ciberseguridad en el currículo escolar).

En segundo lugar, la empresa debe poner el foco en la protección del endpoint, llevando la ciberseguridad a donde se utilice el dato realmente, no donde debería estar. En muchos casos, políticas BYOD ("bring your own device") pueden complicar la cuestión si solo se atiende al centro de datos o servidores de la empresa. Hoy, la superficie de exposición es más amplia que nunca y sus límites o perímetro de seguridad, más difusos.

Ya hay herramientas y marcos legales avanzados. Por ejemplo, el Esquema Nacional Seguridad (ENS), con más de una década de vida, es una herramienta muy útil y bien planteada, pero su marco de cumplimiento es bajo, y se debe trabajar para potenciarlo. Por otro lado, el INCIBE ofrece a las empresas la posibilidad de ayudarlas a adaptarse.

El activo más importante hoy es la información. Gobernarla y prevenir cualquier fuga es vital, así como establecer un plan de continuidad de negocio que permita estar preparados para responder y ser resilientes a un ciberataque.

Afrontar riesgos es inevitable, por lo que debemos estar preparados y encontrar un equilibrio entre productividad y seguridad. En última instancia, proteger los datos de una empresa es protegernos a todos.