Sin duda, la ciberseguridad debe ser uno de los principales aspectos que deben cuidar las empresas. Es importante en cualquier compañía, grande o pequeña, porque el daño causado internamente puede ser enorme, sobre todo en empresas con recursos limitados, ya que los ataques maliciosos podrían suponer el fin del negocio. Por eso, hoy echamos un vistazo a la situación de las pymes españolas para ver cómo pueden mejorar en este aspecto.
Una empresa de cualquier tamaño debe protegerse de los crecientes ciberataques. Para ello, deberán adoptar una serie de medidas importantes y realizar cambios en su forma de trabajar, lo que puede resultar engorroso, pero también estrictamente necesario. En este escenario actual, las empresas no están solas en su lucha contra la ciberdelincuencia, ya que cada vez cuentan con más apoyo de los organismos nacionales y también a nivel continental, mediante la adopción de nuevas medidas como nuevas leyes o la creación de agencias especializadas. A partir de ahora, nos sumergiremos en la situación actual de las pymes españolas en materia de ciberseguridad. Para ello, nos basaremos en el estudio realizado por Google, Panorama actual de la Ciberseguridad en España. Retos y oportunidades para el sector público y privado.
La Administración española y ciberseguridad
Gobiernos y entidades europeas están aplicando medidas para frenar el aumento de la ciberdelincuencia, tanto a través de leyes como mediante la creación de organizaciones dedicadas específicamente a este fin. Según Google, los partidos políticos españoles tienen cada vez más en cuenta el tema de la ciberseguridad durante sus campañas electorales, y la mayoría hace propuestas claras al respecto. Más allá de las promesas electorales, existe un claro marco legal europeo y español en materia de ciberseguridad, basado en las siguientes leyes y directivas:
- Reglamento (UE) 2019/881: da los primeros pasos para la creación de la Agencia de Ciberseguridad de la Unión Europea (ENISA) y el estándar de certificación de ciberseguridad TIC en la Unión Europea.
- Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información.
- La Estrategia Nacional de Ciberseguridad a partir de 2019.
Uno de los principales retos a los que se enfrentan los expertos a la hora de regular la ciberseguridad es el hecho de que los ciberataques pueden provenir de cualquier parte del mundo, lo que supone un gran obstáculo en términos de competencia judicial. Además, identificar el origen de la mayoría de los ataques sigue siendo extremadamente complejo. En cuanto a los principales organismos especializados en ciberseguridad, tenemos:
- El Centro Criptológico Nacional del Centro Nacional de Inteligencia (CCN-CERT), encargado del Sector Público.
- El Instituto Nacional de Ciberseguridad de España (INCIBE-CERT), centrado en particulares y empresas
- El Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), centrado en las empresas de servicios públicos (por ejemplo, electricidad, agua, gas, etc.)
- El mando Conjunto de Ciberdefensa (ESPDEF-CERT), dirigido a los sistemas del ejército español.
Aunque cada agencia tiene ciertas competencias definidas, su coordinación es clave para lograr un nivel adecuado de ciberseguridad en el país.
Ciberataques más comunes a las pymes españolas
Cambio de tendencias en los ciberataques
Se está produciendo un cambio en la tendencia de los ciberataques, que han pasado de dirigirse a grandes empresas y multinacionales a dirigirse a las PYME. Esto significa que la naturaleza de estos ataques también está cambiando. Ahora se llevan a cabo a escala masiva y tienen una menor complejidad técnica, ya que las PYME suelen tener un menor nivel de preparación para afrontarlos. Además, cada vez son menos los hackers que lanzan ciberataques sólo por diversión, ya que la mayoría de ellos buscan una forma de ganar dinero con ello. Otro aspecto importante a destacar es que la mayoría de los ciberataques requieren la interacción del usuario, por lo que los delincuentes se aprovechan de sus escasos conocimientos o falta de habilidades en ciberseguridad. Figuras significativas En cuanto a las PYME, la mayoría de los ataques están relacionados con:
- Ransomware.
- Secuestro de sistemas.
- Fuga de información y ciberestafas.
¿Qué impacto económico tienen los ciberataques en las pequeñas empresas?
Un ciberataque puede costar unos 75.000 euros de media. En todo el país, las pérdidas ascienden a 14.000 millones de euros, incluyendo grandes empresas y pymes. Para las PYME, el coste medio de un ciberataque es de 35.000 euros, lo que significa que el 60% de estas empresas cierran en un plazo de 6 meses. Sin embargo, los ciberataques no son sólo pérdidas financieras, sino que también provocan una disminución del prestigio de la empresa, que se vuelve más vulnerable a los ojos de los clientes y en el entorno empresarial.
Nivel de ciberseguridad en PYMEs españolas
A lo largo de este informe se recurre a algunos estudios para conocer el nivel de ciberseguridad de las pymes españolas, como por ejemplo el de la consultora tecnológica estadounidense BitSight, que afirma que las empresas españolas están por debajo del nivel medio europeo en cuanto a medidas de ciberseguridad. También se recoge información de «The Vodafone Cyber Ready Barometer 2018«, que califica a España como «reactiva» en ciberseguridad, aunque hay mucho margen de mejora. Aunque estas conclusiones son útiles para tener una visión general del nivel de seguridad digital de la sociedad española, no servían para estudiar a las pymes, por lo que se realizó una encuesta a 720 empresas. De estas empresas, las principales medidas de protección que tomaban contra los ciberataques eran
- Autenticación de dos factores.
- Protocolo https.
- Actualización de dispositivos.
- Cambio de contraseña.
- Certificado SSL (comercio electrónico).
- Sistema de autenticación de dos factores para pagos (comercio electrónico).
- Almacenamiento en la nube.
Un área importante de mejora es la necesidad de normas concretas sobre ciberseguridad, así como una política específica, con protocolos de actuación bien definidos.
Cómo se comportan los trabajadores en materia de ciberseguridad
Anteriormente hemos hablado de la necesidad de colaboración involuntaria por parte de los empleados para que un ciberataque tenga éxito. Por tanto, habrá que analizar cómo actúan ante posibles amenazas o determinar su nivel de preparación. La encuesta a pymes de Google mencionada anteriormente arroja las siguientes conclusiones:
- El 30% de los responsables de TI cree que los trabajadores están bien concienciados.
- El 60% de las pymes restringe el acceso a información sensible.
- En el caso del teletrabajo, en el 48% se utilizan escritorios remotos y el 44% tecnología en la nube.
- Existe una clara falta de formación en ciberseguridad para los trabajadores.
- Como consecuencia de estas lagunas formativas, muchas personas no sabrían cómo hacer frente a un incidente.
Firma electrónica y ciberseguridad en PYMEs
Una vez analizado el panorama de las pymes españolas en materia de ciberseguridad, resulta evidente la necesidad de adoptar medidas que refuercen su nivel de protección frente a las amenazas digitales. La firma digital es una de esas soluciones de ciberseguridad, es una herramienta que frenará los ciberataques que afecten a la identificación y gestión de documentos. También ayuda a evitar documentos fraudulentos, ya que es extremadamente difícil de falsificar dado su complejo procedimiento criptográfico. Además de prevenir la usurpación de identidad, la firma digital protege a los usuarios de cualquier alteración de los documentos una vez firmados, proporcionando pruebas irrefutables que permitirán revocarlos en caso necesario. De esta forma, por ejemplo, cambiar los términos de un contrato o acuerdo será imposible una vez firmado, por lo que nunca nos veremos afectados si alguien intenta hacerlo. Además, permite el uso de tecnología en la nube para su custodia, incluidos los certificados digitales que a veces son necesarios. Esto permitirá fuertes medidas de autenticación para el acceso, la llamada autenticación fuerte. En definitiva, estamos ante una situación en la que las pequeñas y medianas empresas españolas deben ser cuidadosas con su propia ciberseguridad. Se trata de un ámbito en el que todavía tienen mucho margen de mejora. Esperemos que esta evolución se acelere como consecuencia de la actual crisis sanitaria, que ha provocado un aumento de los ciberataques hasta niveles aún difíciles de cuantificar.
En Viafirma ofrecemos soluciones de firma electrónica y autenticación 100% seguras para PYMES, cubriendo la mayor parte de sus necesidades de ciberseguridad y adaptándonos totalmente a sus requisitos y procesos.