En ciberseguridad no hay empresa pequeña
No sólo las grandes empresas son objetivo de hackers y ciberdelincuentes. Pymes y autónomos son también destino de sus amenazas.
Según los datos más recientes del INE (no coincidentes con los de la Seguridad Social), al finalizar 2022, España contaba con 3.430.663 empresas, de las cuales, casi 2 millones no cuentan con ningún empleado (se trata fundamentalmente de trabajadores autónomos). Si tenemos en cuenta el criterio establecido para la consideración de pequeñas y medianas empresas (simplificado para considerar únicamente el número de empleados) el resto se reparte como sigue:
Micropymes (<10 empleados) - 1.340.792
Pequeñas (10 – 49 empleados) - 122.838
Medianas (50 – 249 empleados) - 19.994
Grandes (>=250 empleados) - 4.720
En su inmensa mayoría, si no todas ellas, hacen uso de la tecnología como soporte del desarrollo de su actividad. Incluso la más pequeña tiene algún PC y seguro que utiliza el correo electrónico para comunicarse con sus clientes y una hoja de cálculo para hacer facturas. Y recientemente, todas las personas jurídicas tienen la obligación de recibir las notificaciones de la Agencia Tributaria de forma electrónica, con lo que ninguna empresa queda dispensada de disponer de medios electrónicos para comunicarse con la hacienda pública.
De hecho, una de las acciones más recientes de los cibercriminales ha sido emular a la Agencia Tributaria con un correo indicando que se dispone de una notificación electrónica en la DEHú, invitando a acceder mediante una página falsa que pretende capturar información de acceso de los usuarios confiados.
A priori, puede parecer que los ciberdelincuentes están más motivados por dar el golpe en una gran organización, ya que ello les puede aportar un botín mucho más suculento. Está claro que los únicos ataques de los que los medios se hacen eco y que llegan a diario a nuestros ojos y oídos, son aquellos que llaman la atención por su dimensión, como por ejemplo el sufrido por el Clinic de Barcelona.
Pero muchas pequeñas empresas son sufridoras en silencio de fraudes como el mencionado de la Agencia Tributaria, que es tan fácil de perpetrar como enviar cientos de miles de correos probando direcciones tan habituales como “info@dominio.es”. El correo es recibido por el gerente de la organización, que se acuerda de los familiares del ministr@, hace click en el enlace disfrazado de https://dehu.redsara.es/ para ver la penalidad a que debe someterse, y, zas, pica en el anzuelo… El campo de cultivo para este tipo de acciones es inmenso y la mera probabilidad hace que caigan por cientos, sin que los daños sufridos individualmente se hagan públicos.
Aunque la concienciación sobre ciberseguridad va en aumento en base a todas las noticias sobre incidentes que se publican a diario, está claro que ello no es suficiente: la inversión en ciberseguridad crece año tras año, y en mayor medida lo hace el número de incidentes y el coste asociado, que a una gran organización puede llegar a salirle carísimo, pero a una pequeña, en términos proporcionales, aún más, pudiendo llegar a ser letal.
Pero incluso con esa creciente concienciación, nadie espera ser el siguiente.
Desde luego, no será por falta de literatura. Disponemos de completísimas bibliotecas de políticas y procedimientos que nos cuentan cómo implantar medidas de seguridad en todos los aspectos que pueden tomarse en consideración, pero la verdad es que, para una Pyme, la lectura de decenas de MBs de documentación supone un enorme esfuerzo de muy difícil digestión, y me temo que en realidad no aportan la utilidad con la que fueron concebidos.
También desde Europa vienen impulsos para robustecer la ciberseguridad y resiliencia del tejido empresarial. En este contexto de Pequeñas y Medianas Empresas, muchas de estas van a tener que prestar mayor atención a la ciberseguridad, ya que la directiva NIS 2 impacta en todas aquellas consideradas medianas (y también en algunas pequeñas) de todos los sectores incluidos, que son muchos, lo que obligará a dedicar una serie de recursos a establecer medidas de seguridad y a un mayor control de los riesgos asociados. Y en ese control aparece una nueva variable: hay que incluir también a la cadena de suministro, con lo que el ámbito de aplicación se extiende mucho más allá de los propios sectores considerados en la directiva.
Adicionalmente, la responsabilidad recae directamente en la alta dirección, que deberá establecer la definición de los planes de ciberseguridad, dotar de recurso para su ejecución y hacer seguimiento de su implantación, además de pasar por la formación específica, que hasta ahora estaba reservada a los profesionales. Todo ello, acompañado de un régimen sancionador que sin duda impulsará el fortalecimiento de las infraestructuras digitales.
Obligada o no por NIS 2, para una Pyme la implantación y control de medidas de protección resulta una faena complicada. Ocuparse del propio negocio ya es una tarea suficientemente laboriosa y esforzada, que requiere dedicación plena, y no queda más remedio que contratar a terceros para la prestación de los servicios que no constituyen el núcleo del propio negocio: tanto los de carácter tecnológico como otros de carácter más administrativo y soporte, siendo todos ellos necesarios para que el empresario pueda desarrollar su actividad. Y debe poder contratar estos servicios con confianza, pero tampoco dispone de conocimientos o recursos para saber si las opciones que se le presentan resultan adecuadas.
Y una mención final a la utilidad que el concepto de calificación, tan extensamente empleado en conceptos tan diferentes como la valoración de un hotel o la eficiencia energética puede aportar al mundo de la ciberseguridad, facilitando el entendimiento del nivel ofrecido por un servicio sin disponer de conocimiento experto para evaluarlo. Las pequeñas empresas necesitan que se lo pongamos fácil.
Si eres una Pyme o un autónomo puedes usar la herramienta de autoevaluación gratuita E-Qualify Corporate para obtener una visión global de tu posicionamiento de ciberseguridad.