Meses antes de la pandemia por coronavirus, prácticamente se solaparon dos noticias muy relevantes sobre ciberterrorismo. Por un lado, el proveedor de internet Dyn se vio afectado por multitud de ataques masivos que afectaron a los servicios web de gigantes de Internet como Netflix, Amazon, Twitter, Spotify o Paypal, además de a numerosos medios de comunicación como el New York Times. Casi en paralelo, el Gobierno de Estados Unidos recibía distintos hackeos desde Rusia, algunos de los cuales tuvieron éxito en robar información confidencial de varios cargos de la Administración norteamericana, entre ellos de Hillary Clinton, que fueron posteriormente filtrados a Wikileaks.
La digitalización y virtualización de las actividades ya no es una cuestión opinable para las empresas, pero no es óbice para que las ciberamenazas estén creciendo cada vez más, lo que exige un esfuerzo por parte de todos los agentes sociales para intentar contener sus efectos negativos. Según el informe We are social, cada día alrededor de 4.000 millones de personas se conectan a Internet para trabajar o por temas de ocio, lo que supone alrededor del 60% de la población mundial. Eso quiere decir que las economías dependen mayoritariamente de la Red para mantener su funcionamiento, no solo por cuestiones de entretenimiento sino porque infraestructuras críticas e información muy sensible dependen de ella para que todo siga marchando correctamente.
Un problema corporativo
El problema de esta digitalización global tan acelerada es que el incremento en el uso de la tecnología también ha significado un mayor riesgo de sufrir amenazas en el ciberespacio, que ponen en jaque la seguridad de todo el sistema. Por ejemplo, las pymes cada vez digitalizan más actividades por las ventajas tan importantes que les supone: ahorro de tiempo y dinero, eliminación del papel y de otros soportes físicos de almacenamiento de información, reducción significativa de los errores e incidencias,…
Este es el caso de, por ejemplo, la app de Fuell, que permite a través de una simple imagen tomada desde el móvil, computar cualquier gasto, clasificarlo, ordenarlo y hasta separar el IVA, eliminando todo posible error humano. Avalada por la Agencia Tributaria, la herramienta digital de Fuell reduce y facilita el trabajo del CFO y de otros profesionales de la pyme, que pueden destinar más tiempo a actividades que generan un valor añadido real al corazón del negocio.
En un contexto de preocupación cada vez mayor por la ciberseguridad, las pymes tienen que analizar y revisar periódicamente sus mecanismos de protección en la Nube, definiendo hasta dónde quiere llegar. Esto se plasmará en una serie de políticas y de normativas internas que van a dirigir la forma de abordar la seguridad en el día a día. Como resultado de lo anterior, pondrán en marcha, si aún no lo han hecho, o mejorarán su sistema de control de accesos lógicos, pues al igual que controlamos quién entra en nuestras instalaciones, debemos controlar quién entra en nuestros sistemas informáticos y digitales.
Ninguna pyme está exenta de este riesgo. Y no habrá protección eficaz si utilizamos sistemas o aplicaciones obsoletas y desactualizadas pues son más vulnerables. Por ello, actualizar el software cada cierto tiempo es fundamental así como optar por la utilización de un software as a services (SaaS) como Fuell, que, de manera automática, se actualiza y mejora sus niveles de protección de manera constante.
De hecho, las tarjetas son emitidas por Fuell de conformidad con la licencia de Mastercard Internacional por Pecunia Cards EDE S.L.U, una entidad regulada por el Banco de España, lo que garantiza la seguridad y la confidencialidad de todas las transacciones. Fuell utiliza un Secure Socket Layer (SSL) de 256 bits para proteger los datos personales en todo momento. Es decir, que su utilización es sinónimo de seguridad y, por lo tanto, de la máximas garantías para las pymes.
Normativa en España sobre ciberseguridad
Controlar los soportes de la información durante toda su vida útil es también una medida de seguridad elemental. Vigilar nunca está de más y, para ello, hay que poner las pautas necesarias para llevar un registro de actividad dónde podamos observar cómo interaccionan los usuarios con los sistemas y detectar anomalías en su comportamiento. Por último pero no menos importante es dar los pasos necesarios para garantizar la continuidad del negocio ante un incidente de seguridad del que ninguna empresa está exenta de poder sufrir en un momento dado.
Con estos objetivos, en España se desarrolló en 2013 la Estrategia de Seguridad Nacional, destinada a garantizar un uso seguro de las redes y de los sistemas de información a través del fortalecimiento de las capacidades del país en la prevención, defensa, detección, análisis, investigación, recuperación y respuesta a los ciberataques. Este documento se concretó más tarde en un Plan Nacional de Ciberseguridad que elaboró el Consejo de Seguridad Nacional, con alrededor de 50 medidas que se han puesto en marcha en los distintos niveles de la Administración.
A nivel comunitario, está vigente desde 2013 la Directiva sobre criminalización de ataques contra los Sistemas de Información, que se suma a la Directiva NIS (2016/1148), relativa a la Seguridad de las Redes y de la Información. Ambos documentos procuran garantizar una adecuada seguridad en las redes y sistemas utilizados por los operadores y los proveedores de servicios digital de Internet, aunque deja algunos ámbitos abiertos como la supervisión de las prácticas en este campo, los regímenes sancionadores o la gestión de cada país de sus infraestructuras críticas.
Estos textos se complementan con otras dos Directivas: la Directiva Marco de Comunicaciones Electrónicas, que define los principios sobre seguridad e integridad de las redes y los servicios aplicables a éstos; y la Directiva de Servicios de la Sociedad de la Información y de comercio electrónico, que regula a los principales proveedores de Internet, como Google. La protección de la privacidad de las personas en la Unión Europea corre a cargo de la Regulación General para la Protección de Datos de Carácter Personal (GDPR), que vela por el acceso, almacenamiento y tratamiento de los datos de carácter personal.
Los principales campos de cibercrimen para las pymes
Según un informe de la consultora Gartner, los principales campos en los que las empresas tienen que estar especialmente atentas en relación al cibercrimen son
- Ramsomware: Dos de cada cinco compañías en España sufren ataques de malware que bloquean el uso de archivos, obligándoles a pagar un rescate para liberarlos.
- Hardware: Los sistemas de protección y de análisis de amenazas son indispensables para garantizar la seguridad de las comunicaciones, incluso en las redes locales.
- Servicios en la Nube: Cada vez más organizaciones apuestan para el almacenamiento de archivos en los servicios cloud pero sin adecuar los necesarios sistemas de cifrado.
- Wereables: Como los smartphones o los smartwatches, que no se encuentran suficientemente protegidos dejando vulnerable la información personal de los usuarios.
- Automóviles: Ya se comercializan coches inteligentes, que, sin embargo, son vulnerables tanto por medios de ataques directos como de otros soportes a los que están conectados, como los smartwatches.
Ante la amenaza creciente en materia de ciberseguridad, los empresarios y emprendedores tienen que estar formándose continuamente para conocer, al menos en sus líneas generales, a qué riesgos digitales se enfrentan sus empresas. En este sentido, cabe destacar la iniciativa recientemente comunicada por Google, que ha anunciado nuevos recursos para las pymes españolas de cara a que puedan impulsar los conocimientos en ciberseguridad, y que desarrollará en colaboración con el Instituto Nacional de Ciberseguridad (Incibe) y mediante alianzas estratégicas con Cepyme y BBVA. La compañía tecnológica ha puesto en marcha dos cursos online gratuitos para las pymes: ‘Protege tu negocio: Ciberseguridad en el trabajo’ y ‘Mejora la seguridad online de tu empresa’.