Ciberseguridad: ineludible obligación, también para las pymes

El increíble valor que la información y los datos tienen para las empresas es una realidad innegable de la que se viene hablando desde hace años. Gobiernos y organismos internacionales han hecho un importante esfuerzo para concienciar a las compañías de la importancia que tiene que uno de los grandes activos del negocio, como es la información, esté a buen recaudo de los enemigos de lo ajeno.

También se han escrito mucho sobre la estrecha relación que existe entre los avances tecnológicos y el peso de la información en los negocios, ya que su importancia aumenta con la continua mejora de las herramientas de gestión. De hecho, ahora es posible manejar y aprovechar todos los datos sensibles de una firma de forma telemática. Una tendencia que la pandemia ha incrementado, disparando el teletrabajo y obligando a las empresas a buscar soluciones seguras con las que manejar sus datos sensibles de forma telemática y desde muchos y diferentes lugares. Y todo esto sin entrar en otro riesgo también importantísimo, el de las sanciones por perder información de clientes o proveedores.

Pues bien, aún hoy existe la equivocada creencia de que la ciberseguridad es algo que solo debe preocupar a grandes multinacionales u operadores de servicios esenciales y sensibles, ya que son el objetivo de los hackers, que no obtienen beneficio alguno si atacan a pymes, nuevos negocios o firmas familiares de mediano tamaño. Craso error, durante los meses de cuarentena decretado por el COVID-19 -marzo y junio- los ataques cibernéticos en las pequeñas y medianas empresas (pymes) aumentaron en casi 100%, siendo el principal ataque la infección de ransomware (secuestro de datos), señaló Diego Oviedo, líder de Servicios de Seguridad en la compañía de tecnología IBM.

El primer paso para protegerse debe ser conocer el propio estado de la ciberseguridad de la empresa.  Es decir, responder a una pregunta muy simple: ¿es vulnerable el negocio a un ataque informático? Pero al contrario que la mera formulación de la pregunta, su respuesta dista mucho de ser algo simple y sencillo. De hecho, para ofrecer una contestación acorde a la importancia que la ciberseguridad debe tener en una compañía será necesario someter al negocio a una auditoria de seguridad, también conocida como hacking ético o pentesting. Dependiendo del grado de conocimiento que el atacante tenga con la empresa, dicha prueba puede ser de tres tipos que detallamos a continuación:

Auditoría de caja blanca. Son las que se realizan con información sobre todo el sistema interno de la empresa. Es decir, el auditor conoce los detalles de la red, los cortafuegos, los sistemas operativos, etc. Con ello se quiere simular un ciberataque a la empresa por parte de un empleado o exempleado molesto con la compañía. Como se presupone este tipo de prueba es más corta, ya que no precisa del tiempo necesario para que el auditor descubra los secretos de la empresa, también llamados fingerprint.

Auditoría de caja negra. Es justo lo contrario. Se realiza sin contar con información alguna sobre la infraestructura de seguridad y operativa de la compañía. Es la ideal para simular los ataques de piratas informáticos profesionales.

Auditoría de caja gris. Es una mezcla de las dos anteriores y es la que más se realiza en la actualidad por sus ventajas para simular todos los supuestos ataques que una empresa puede sufrir.

Con todo, e independientemente del tipo de prueba a la que se quiera someter al negocio, lo que debe quedar meridianamente claro es que la ciberseguridad es ya una obligación absolutamente ineludible para las empresas. También para las pymes.

Fuente original: www.asesoresdepymes.com