Las pymes, objetivo de los ciberdelincuentes

“Las empresas, sean del tamaño que sean y operen en el mercado que operen, sólo pueden competir sobre la base de ser más productivas y eficientes. Esto exige incorporar más tecnología. La incorporación de tecnologías trae ventajas, pero también amenazas”. Con estas declaraciones de Gerardo Cuerva, vicepresidente de Cepreven, arrancó la presentación de la guía ‘Ciberriesgos: su impacto en las pymes’ y el ‘Decálogo de buenas prácticas de ciberseguridad para pymes’, documentos elaborados conjuntamente por Cepreven, Cepyme y Unespa.

No en vano, reseñó que el 53% de las pymes sufrieron algún ciberataque en 2017, bien fuera como objetivos directos o como puntos de acceso para ataques más amplios. Asimismo, Alberto Hernández, director general del Instituto Nacional de Ciberseguridad (INCIBE), indicó que este organismo gestionó el año pasado 123.000 incidentes de ciberseguridad, generalmente con una intención económica, como ataques ransomware, difusión de malware, criptojaking, ataques de denegación de servicios (DoS) o acciones de phising. Además, explicó que aunque algunos estudios afirmen que España es el tercer país del mundo que más ciberataques registra, no cree que este dato refleje la realidad. Hernández achaca esta posición al “alto nivel de transparencia” de nuestro país en cuanto a la recopilación y comunicación de información de este tipo de eventos.

Pilar González de Frutos, presidenta de Unespa, patronal del sector asegurador, hizo hincapié en la necesidad de que las empresas tomen conciencia de los riesgos cibernéticos. “No son sólo para las grandes multinacionales”, sentenciaba. En este mismo sentido, María Teresa Gómez, directora general de AMETIC, remarcó que las pymes son el objetivo preferido para los ciberdelincuentes. Y advirtió acerca de la repercusión que puede tener un incidente de este tipo para una pyme, ya que el coste directo está en torno a 77.000 dólares de media, a lo que habría que sumar otros costes indirectos, tales como un posible deterioro de imagen de la empresa, puesta en marcha acciones oportunas para paliar sus efectos, analítica forense para determinar las causas, tiempo y trabajo para volver a la normalidad, etc.

Estas son las circunstancias que han llevado a la elaboración de los documentos presentados en dicho acto, con los que se pretende ofrecer las herramientas oportunas para prevenir los riesgos, mitigar los efectos de un posible ataque y agilizar la respuesta tras un evento de este tipo. Jon Michelena, director general de Cepreven, fue el encargado de presentarlos. La guía ‘Ciberriesgos: su impacto en las pymes’ es un manual que señala las preguntas que debe hacerse toda compañía: si está expuesta a riesgos cibernéticos, cómo puede afectar un incidente, qué hacer en caso de ataque, como se puede proteger –factores humanos y organizativos, herramientas de protección y capacidad de recuperación mediante backup y planes de contingencia- o cómo se puede asegurar la empresa, transfiriendo el riesgo a una póliza de seguros.

Por su parte, el ‘Decálogo de buenas prácticas de ciberseguridad para pymes’ incluye estos consejos: aplicar una política de ciberseguridad; asegurar y proteger la información; hacer uso seguro de las redes; protegerse contra el malware; usar el email de forma segura; controlar el acceso remoto y físico a sistemas y equipos; proteger los dispositivos móviles y la información contenida en ellos; actualizar periódicamente las aplicaciones; poner en práctica un plan de respuesta ante incidentes; y concienciar y formar al personal de la compañía.

El encuentro concluyó con un debate en el que representantes de varias aseguradoras departieron acerca de las políticas de ciberseguridad en las pymes, los SLA firmados con las empresas con las que se subcontraten estos servicios, el cumplimiento y régimen sancionador del RGPD o las soluciones que ofrece el seguro ante este tipo de riesgos.