Pymes necesitan estrategias integrales de ciberseguridad

Los expertos coinciden tanto en la importancia de que el personal de las empresas cuente con capacitación que permita generar una cultura de seguridad informática, como en que las pymes incluyan en sus organigramas la figura de un jefe de seguridad informática.

 

Por:  León A. Martinez

Pasaron los tiempos en que un antivirus bastaba para proteger los ordenadores de la red de una pequeña o mediana empresa (pyme) y en que, cuando había algún problema, en el peor de los casos se perdía la información que estaba en los discos duros porque había que volver a formatearlos.

Hoy, una empresa que es víctima de un ataque informático puede sufrir importantes pérdidas económicas y daños a su reputación.

La creciente incidencia y sofisticación de estos ataques hace necesaria la instrumentación de estrategias integrales de seguridad que resguarden la información y que incluyan la prevención, la detección y la respuesta a estos ataques informáticos.

Los expertos coinciden tanto en la importancia de que el personal de las empresas cuente con capacitación que permita generar una cultura de seguridad informática, como en que las pymes incluyan en sus organigramas la figura de un jefe de seguridad informática o, en su defecto, que quienes se encarguen de los sistemas informáticos tengan conocimientos actualizados para hacer frente a las amenazas que pudieran comprometer la información de la empresa.

Para lograrlo, las pymes deben dedicar de manera sistemática parte de sus presupuestos a la inversión en tecnologías que fortalezcan sus sistemas de seguridad informáticos. Los daños generados por una intrusión en los sistemas de una empresa, afirman los expertos, pueden superar por mucho su inversión en seguridad.

Ransomware y ataques dirigidos
El Informe de Riesgos y Oportunidades para Pymes 2018 de la firma de seguros Zurich indica que para 62% de las que pymes mexicanas encuestadas, el robo de datos y de ahorros son los ciberdelitos que más les preocupan, si bien sólo 6% cuenta con protección actualizada para evitar los ciberdelitos.

Para Daniel Salomón, Account Manager de la firma especializada en seguridad informática Kaspersky México, los ataques informáticos más perniciosos dirigidos contra empresas son los del tipo ransomware y los conocidos como “ataques dirigidos”.

El ransomware es un programa que secuestra la información restringiendo el acceso a determinadas partes o archivos del sistema que infecta; este software malicioso liberará la información a cambio del pago de un rescate.

El ataque dirigido se distingue de otros crímenes cibernéticos por su alcance, pues mientras que el propósito de éstos últimos es afectar a tantos objetivos como sea posible en la menor cantidad de tiempo, el ataque dirigido busca infiltrarse en la red de una organización específica y robar información de sus servidores.

El ataque dirigido a una pyme puede además tener la intención —explicó Salomón— de ser la entrada a la red de negocios que integra la empresa y de esta forma llegar a otro objetivo mayor. Los empleados pueden ser otro objetivo de los ataques dirigidos, toda vez que los ciberdelincuentes pueden hacer uso de sus equipos móviles personales para introducirse en las redes corporativas.

La estrategia planteada por Salomón para evitar este tipo de vulneraciones es que las empresas hagan inventario de todo dispositivo móvil a fin de identificar y controlar los accesos a sus sistemas. De esta forma no sólo se pueden proteger las redes de la empresa, sino también hacer auditoría para identificar lo sucedido en caso de haberse presentado una brecha en la seguridad.

Estrategias de seguridad integral
“El objetivo de los ataques es conseguir la información de la empresa, que puede ir desde la base de datos con información sobre sus clientes, hasta todo lo relacionado con sus cuentas financieras”, dijo en entrevista Eduardo Zamora, director general de Fortinet México. Para protegerse, las empresas pueden, además de usar los antivirus, firewalls y otras herramientas, virtualizar sus datos y aplicaciones almacenándolos en servidores de una empresa especializada en seguridad.

Ante el aumento de la cantidad de ataques y de vulnerabilidades, las pymes deben aumentar su inversión en seguridad. Zamora opina que el porcentaje del presupuesto para tecnología destinado a la implementación de la estrategia de seguridad integral debe rondar, como mínimo, el 30 por ciento. El costo de un ataque informático para una empresa puede ser mucho más alto que la inversión que haga en seguridad, remató.

La Policía de Ciberdelincuencia Preventiva, adscrita a la Secretaría de Seguridad Pública de la Ciudad de México, ofrece pláticas informativas gratuitas dirigidas al personal de la empresa con el objetivo de advertir los delitos y peligros que se cometen a través de internet, así como la forma de prevenirlos. Se les puede contactar en el correo policia.cibernetica@ssp.df.gob.mx, o en el número 5242 5086, para solicitar este servicio.

Recomendaciones
Nathalie Darres, directora de Marketing y Comunicación en México de la aseguradora Zurich, ofreció un conjunto de recomendaciones para que las empresas prevengan los brechas de seguridad en sus sistemas:

Actualizar periódicamente los programas de seguridad de la empresa. Esto lo debe hacer personal capacitado. Comprar software origina, ya que los programas ilegales generan fallos en el sistema, pérdida de información, incluidos temas legales que repercutan en la imagen de tu empresa.
Establecer protocolos para el uso de información confidencial, como cambio periódico de contraseñas, utilizar códigos para datos de suma confidencialidad o bien eliminar dispositivos de almacenamiento para información privada.
Con la ayuda de expertos, desarrollar un plan de acción que incluya todos los escenarios y riesgos posibles.
Recordar a todos los empleados la importancia de seguir los lineamientos estipulados y generar confianza en su personal, para que notifiquen cualquier suceso ilícito o que ponga en riesgo la información de la empresa.
Pólizas contra delitos informáticos
En abril de 2010, entró en México en vigor la Ley Federal de Protección de Datos Personales, que obliga a las compañías a protegerse ante riesgos cibernéticos, considerando que cualquier empresa que maneje datos privados o confidenciales es vulnerable.

Las empresas deben contar con un seguro de Protección de Datos y Seguridad Informática que les otorgue una cobertura en caso de sufrir una vulneración de seguridad en sus sistemas. La aseguradora Zurich cuenta con la póliza Data Protect, que provee a las empresas de asesoria de especialistas en seguridad informática para atender las necesidades protección ante robo, pérdida o divulgación de información personal o confidencial.

Para reducir al mínimo el daño reputacional, este seguro también incluye servicios de consultoría previa y posterior a una intrusión a los sistemas.

  • Por cortesía de   “EL  Economista”