De la (NO) Gestión del Servicio en la PYME al futuro desastre
En nuestro artículo del boletín del mes pasado, poníamos de relieve la casi nula gestión de servicios que los prestadores de servicios a las PYME, y la oportunidad que ello supone para las empresas que pueden ofrecer servicios adecuadamente gestionados. Sin embargo, hay un servicio que no admite demora en su buena gestión: la Seguridad de la Información.
Grandes compañías como PRISA, EVERIS o PROSEGUR, universidades como la de Maastricht, hospitales en Brooklyn o Torrejón, administraciones públicas como el Ayuntamiento de Jerez o el de Arrigorriaga han sufrido en fechas cercanas la materialización de una de las amenazas más frecuentes y exitosas (para los delincuentes) actualmente: el ransomware. De hecho, en 2019, sólo en EE.UU, más de 1000 escuelas y universidades, 700 hospitales y 100 agencias gubernamentales sufrieron este tipo de ataques.
¿Acaso las PYME están protegidas de esta amenaza? Obviamente, no. Lo que ocurre es que el modelo de negocio de los ciberdelincuentes también evoluciona, y es mucho más lucrativo y menos arriesgado un gran ‘golpe’ exitoso que muchos pequeños. ¿Significa eso que no puede darse uno de estos casos en una PYME? Para nada. Incluso puede ser un suceso que lleve a la empresa al cese completo de actividad y a la quiebra. Lo que ocurre es que tienen mucha más repercusión en los medios que grandes organizaciones tengan este tipo de problemas que el que los tenga una pequeña empresa.
Y no perdamos de vista que, en esta cuestión de ser víctima de un ataque, sólo hay dos tipos de organizaciones: las que han sufrido uno o varios de ellos, y las que lo van a sufrir en el futuro. Si se ha sufrido un ciberataque, se ha sobrevivido con cierta dignidad, y se ha actuado con cierta diligencia, aprovechando las lecciones aprendidas, quizá se consiga una cierta sensación de tranquilidad, que nunca debe conducir a la complacencia. La Seguridad de la Información es un proceso, no un proyecto. Es un ciclo PDCA en el que no debemos dormirnos en los laureles.
¿A qué se enfrenta un PYME en materia de ciberseguridad? En primer lugar, lo más probable es que todos sus activos IT estén externalizados, en manos de un prestador de servicios. Si ese prestador se ve comprometido, sus clientes están en serio riesgo. En segundo lugar, es difícil que la PYME sea capaz de definir correctamente cuáles son sus activos críticos, y es raro que sus prestadores de servicio sean capaces de identificarlos, salvo que se contraten servicios de empresas especializadas. Y si no somos capaces de definir la criticidad de los sistemas y de los datos que gestionan, no podremos diseñar e implantar los controles oportunos. Falta, por tanto, una buena gestión de la Seguridad de la Información integrada en el portfolio de soluciones para PYME de los prestadores de servicio.
A todo esto se une la muy cacareada falta de profesionales en el sector de la ciberseguridad, y la elevada rotación de ese tipo de personal en las empresas consultoras, lo que teóricamente debería encarecer estos servicios, alejándolos de las posibilidades presupuestarias de las PYME.
Todas las circunstancias anteriores conforman un cóctel explosivo, la tormenta perfecta para que sucesivas olas de ataques dirigidos o indiscriminados puedan conducirnos al desastre y destruir buena parte de la capacidad productiva de un país como el nuestro. Y aunque la situación es potencialmente grave, también son muchas las iniciativas que tratan de mejorar la protección de los diferentes sectores, bien mediante campañas de concienciación, bien mediante medidas técnicas tanto a nivel de operadores de comunicaciones, como a nivel de empresas especializadas, o de entidades gubernamentales, como INCIBE, CCN-CERT y los diferentes CSIRTs autonómicos, entre los cuales, por cierto, el de la Comunidad Valenciana está muy bien considerado. Afortunadamente, cada vez hay más conciencia de que sólo del trabajo conjunto y coordinado entre todos los actores se podrá obtener el resultado de conseguir una Internet más segura, que sirva de catalizador de la economía y el bienestar ciudadano.
Posiblemente los dos mayores riesgos que se asumen en este ámbito actualmente son la falta de capacitación o conciencia del riesgo por parte del empresario, y la dificultad de las PYME para acceder a servicios de ciberseguridad a un precio asumible. Y por supuesto, es condición sin equa non cambiar la percepción general, poniendo de manifiesto que la ciberseguridad es una inversión, no un gasto. Eso siempre que sea un servicio adecuadamente gestionado y gobernado, según un conjunto de normas y marcos de buenas prácticas.
Manuel D. Serrat Olmos
Responsable del Comité de la Comunidad Valenciana
de itSMF España