En Estados Unidos, 60% de las pymes que sufren un incidente grave de seguridad de la información quiebra menos de 6 meses después. En el contexto colombiano la realidad no debe ser muy diferente.
Por Diego Samuel Espitia, chief security ambassador de ElevenPaths (Telefónica)
Los empresarios de hoy, sin importar el tamaño o tipo de compañía que tengan, están viendo la ciberseguridad como un factor de riesgo cada vez más importante y al cual le tienen que poner mucha atención, pues la Transformación Digital y la creciente demanda de canales digitales en todo tipo de industria ha generado que los datos sean uno de sus activos más preciados.
Esta realidad no es ajena a los emprendimientos ni a las pequeñas empresas que, por el contrario, deben implementar medidas que garanticen su información, para asegurar su supervivencia y poder crecer en el mundo empresarial actual. Una estadística es contundente: 60% de las pymes que sufren un incidente grave de seguridad de la información entran en quiebra menos de 6 meses después. Y si bien esta cifra corresponde a las pymes en Estados Unidos, dado que las consecuencias de un ciberataque son similares en cualquier parte del mundo, bien podría reflejar lo que sucede en el contexto colombiano.
Esto es simple de entender con ejemplos que vemos todos los días quienes trabajamos en respuesta de incidentes o en seguridad de la información. Un caso puntual, pero que refleja la realidad, es el de una empresa de contabilidad que presta servicios a varias compañías, que pierde meses de datos y trabajo por un secuestro de información (ransomware) en su servidor principal, y su equipo de sistemas responda diciendo que los respaldos estaban en esa misma máquina o en un disco externo que estaba conectado a ella por USB. En esos casos no hay nada que hacer, la empresa perdió toda su información y lo máximo que podemos hacer para ayudarle es decirle cómo se infectó y avisarle cuando la llave de descifrado se haga pública.
Desafortunadamente, no existe una receta única para garantizar la seguridad de la información en las empresas, pero tener un plan robusto para el manejo de la información es indispensable para que los incidentes no generen pérdidas irrecuperables a las empresas y para que los servicios que prestan puedan garantizarse, todo esto acorde con sus necesidades reales de seguridad.
No es fácil para un emprendedor o una pyme saber por dónde empezar o qué solicitarle a su personal de sistemas (si es que lo hay) para implementar estos planes de seguridad de la información. Organizaciones como ElevenPaths han compartido algunas pautas con el fin de apoyar a las empresas en este camino.
Pero muchos de estos enfoques son meramente técnicos o implican inversiones que los empresarios no pueden soportar financieramente o que no saben si se justifica la inversión, por lo que es importante conocer previamente algunos aspectos de la empresa y su relación no solo con la tecnología, sino con las personas y los procedimientos establecidos. Los siguientes 4 consejos le permiten al empresario tener una visión inicial de sus necesidades:
1. Conozca sus procesos
Es indispensable que tenga el conocimiento de cómo cada uno de los procesos en la empresa maneja la información y qué sistemas se ven involucrados, con el fin de poder, en conjunto con el equipo de sistemas, identificar los servicios y las conexiones realmente necesarios, generando así un mapa inicial de posibles vulnerabilidades y el impacto que tendría en el negocio si se vieran en un incidente que aproveche algunas de estas brechas detectadas.
Esta evaluación honesta y metodológica, orientada a cada proceso de la organización, permite la implementación de controles principalmente en los entornos técnicos, acorde con las reales necesidades, y mitiga riesgos asociados a intrusiones externas o internas y al mal manejo de la información por parte de los usuarios.
2. Automatice lo que más pueda
En seguridad es imperativo automatizar muchas acciones, pues la cantidad de eventos y conexiones resulta inmanejable para cualquier equipo que deba hacerlo manualmente o sin herramientas de prevención y de monitoreo. Uno de los ejemplos más críticos es la implementación de los parches de seguridad de los sistemas operativos, algo que parece obvio en cualquier lista de acciones de seguridad, pero que inicidentes como el de WannaCry mostraron que no se ejecutan de manera automatizada: WannaCry se presentó y propagó rápidamente porque las empresas se demoraron más de 2 meses en instalar el parche publicado que controlaba dicha amenaza.
Así como la actualización de los parches de seguridad, se deben automatizar los despliegues de actualización de antivirus o las políticas de EDR (Endpoint Detection & Response); implementar sistemas de monitoreo y respuesta automáticas, que pueden ser adquiridos en modo de servicio, para no afectar las finanzas de la empresa, y por último, automatizar los respaldos de información en sistemas que garanticen y protejan la información que se respalda.
3. Identifique plenamente a propios y extraños
Los que trabajamos en seguridad de la información llevamos muchos años diciendo que las contraseñas no entregan ningún tipo de seguridad y que incluso su falsa sensación de esta genera un alto riesgo, lo que se ha demostrado con las constantes fugas de información debidas a controles de autenticación muy débiles o que exponen millones de contraseñas de usuarios.
Un ejemplo de lo crítico que puede ser no tener un mecanismo de autenticación robusto se vio en WeWork, que al usar un mecanismo simple para conectarse a la red inalámbrica, expuso la información de quienes trabajaban en sus entornos compartidos.
Habilitar mecanismos de múltiples factores de autenticación mejora dramáticamente los controles de acceso a los servicios de la empresa e incluso puntualmente a información, según quien se haya identificado. Por esta razón, se dice que la gestión de identidad es el nuevo perímetro de la seguridad de la información.
4. Cuidados desde el interior
El factor humano siempre será el mayor riesgo en ciberseguridad, ya sea por negligencia, desconocimiento o un acto intencionado. Los incidentes generados por fallas de los usuarios –empleados, colaboradores e incluso líderes de las empresas– son de los más complicados de detectar y controlar, debido a que las herramientas tradicionales asumen que al ser usuarios registrados y autenticados, tienen permisos para realizar una acción, así esta sea riesgosa.
En conjunto con el punto anterior, es necesario que se identifique plenamente a los usuarios y que se tengan definidos sus perfiles, para controlar a qué tipo de información o a qué recursos pueden acceder. Esto no requiere mucha inversión, sino determinar en los procesos quién puede acceder a esos datos y así mismo generar los perfiles de acceso en los sistemas.
Nunca se podrá garantizar un sistema completamente seguro, pero tener conocimiento de las necesidades y de los riesgos, permite la implementación de un plan robusto que, soportado en tecnología, procesos y personas, ayudará a los emprendedores y a las pymes a tener un entorno más confiable y seguro para manejar la información.
Imagen principal: The Digital Artist (Pixabay).