El desafío que supone la ciberseguridad para los emprendedores

A la hora de lanzarse a emprender, el foco siempre se pone en cómo materializar una idea de negocio, algo que supone atender a infinidad de vertientes sea cual sea el sector en el que se emprenda.

Los riesgos que percibe el emprendedor suelen estar relacionados con aspectos relativos a la futura marcha del negocio, pero por lo habitual no tiende a valorar como tales a las amenazas de ciberseguridad, por considerarlas algo remoto, en buena medida porque la información que le llega al respecto es sobre ciberataques cometidos contra grandes compañías e incluso gobiernos.



De hecho, de acuerdo a un estudio de Google, el 99,8% del tejido empresarial español no se considera un objetivo atractivo para un ciberataque...

Sin embargo, en el ecosistema de negocio hiperdigitalizado actual, los ciberriesgos son un factor muy a tener en cuenta, porque un ataque de esta naturaleza tiene un potencial devastador, al poder comprometer tanto la información interna crítica de la empresa como los datos personales de los clientes, lo que puede afectar a la continuidad de las operaciones, provocar una crisis reputacional irreparable y, eventualmente, a tener que afrontar responsabilidades en caso de que no se hubiesen implementado las medidas de protección requeridas por normativas como la LOPDGDD.

En otras palabras, todo el esfuerzo invertido para levantar un proyecto se puede ir al traste de un día para otro, ya que un ciberataque potente de ransomware (secuestro y encriptación de datos para pedir un rescate por el descifrado) que tenga éxito es capaz por sí mismo de arruinar cualquier negocio.

Así lo acreditan datos como que en torno al 60% de las PYMES europeas que sufre un ciberataque quiebra en los seis meses siguientes al incidente, cifrándose el coste medio que suelen suponer en 35.000 euros.

Además, los ciberdelincuentes tienen en el punto de mira a las pequeñas empresas, por la simple razón de que son un blanco más fácil que grandes organizaciones que cuentan con departamentos de ciberseguridad (dirigidos por un director de ciberseguridad o CISO), o bien tienen este ámbito gestionado con un servicio externo (Cyber Security as a Service).

Por todo ello, la previsión de la ciberseguridad debe ser un aspecto básico a la hora de lanzar cualquier proyecto emprendedor, porque si no, haciendo un paralelismo sencillo, sería como poner todo el esfuerzo en construir la casa de nuestros sueños y dejar la puerta sin cerradura.



Medidas básicas de ciberseguridad para emprendedores

La evaluación previa de riesgos, la concienciación y formación de los equipos sobre la materia, la adopción de políticas de ciberseguridad adecuadas, los sistemas de copias de respaldo en la nube, la articulación de planes de respuesta a incidentes son solo algunos de los ejes claves para la protección de cualquier futuro negocio que pretenda sobrevivir en el ecosistema actual de ciberamenazas.

1-Evaluación de riesgos

Antes de que los sistemas TI de la empresa estén operativos, es muy importante hacer una evaluación de riesgos potenciales. La profundidad de la misma dependerá de la naturaleza de cada proyecto y de la complejidad de su infraestructura tecnológica.

Como punto de partida se pueden utilizar herramientas como la que ofrece el INCIBE(el organismo encargado de velar por la ciberseguridad en España), para tener una primera idea de las amenazas a los que estaría expuesta la empresa, de acuerdo al uso que vaya a hacer de ordenadores, teléfonos móviles, tabletas, bases de datos, líneas de comunicaciones, etc.

Con todo, lo más idóneo sería realizar estudios de vulnerabilidades más exhaustivos, como los de metodología de análisis y gestión de riesgos Magerit, que ha sido desarrollada por el Centro Criptológico Nacional, pero está integrada en diversas herramientas comerciales como GxSGSI, homologada por la Agencia de la Unión Europea para la Ciberseguridad.

Y si se quiere ir con la mayor seguridad posible, encargar una auditoría de ciberseguridad a una empresa especializada es una decisión con la que siempre se acertará.

2-Concienciación y formación

Los expertos destacan que la ciberseguridad en cualquier empresa depende de un triángulo conformado por la tecnología, el personal y los procesos de trabajo.

El eslabón más débil de la cadena serían precisamente las personas, porque nuestra naturaleza humana nos hace vulnerables a los tipos de engaños que suelen aplicar los ciberdelincuentes para conseguir sus objetivos. Es lo que se conoce como técnicas de ingeniería social, y son cada día más sofisticadas en el fingimiento de credibilidad.

Por ello, es muy importante primero concienciar al equipo embarcado en el proyecto sobre la amenaza que suponen los ciberataques, y luego formarles sobre los distintos modos en los que los intrusos pueden intentar franquear las barreras para acceder a datos críticos. Hablamos de:

Ataques de phishing para recabar información de forma fraudulenta

Spoofing o suplantación de identidad

Ataques de keylogger para monitorizar las pulsaciones en el teclado y así hacerse con contraseñas

Malvertising, con malware introducido en anuncios
Y el que es más peligroso por el potencial devastado que tiene, el ataque de ransomware para secuestrar la información crítica de la empresa, cifrarla para que sea inaccesible y luego pedir un rescate bajo amenaza de imposibilitar la operativa normal de negocio o de hacer públicos datos personales, con lo que ello implica a efectos legales y reputacionales. De hecho, estudios realizados en Estados Unidos, establecen la esperanza de vida promedio de una PYME que ha sufrido un ataque de este tipo en tan solo de 3 a 7 días.



3-Políticas de seguridad

Asimismo, resultará crucial la definición de una política de protección a través de un plan director de ciberseguridad, para el que puede servir de guía el manual de buenas prácticas del INCIBE.

Estas políticas de seguridad deben ser asumidas por todo el equipo, y enfocarse en aspectos clave que irían desde la manera de utilizar los recursos tecnológicos de la empresa hasta el modo en que se gestionan los datos.

3.1 Acceso y control de usuarios

Es esencial delimitar distintas capas de acceso a los sistemas de información en función de las tareas que realice cada usuario, así como el empleo de contraseñas robustas basadas en autenticaciones por múltiples factores, MFA, (esto es definidas no solo por algo que el usuario sabe como pueda ser una password, sino también por algo que solo él tiene. Por ejemplo, cuando sacamos dinero en un cajero, empleamos un pin que sabemos y una tarjeta que tenemos).

3.2 Uso de softwares de seguridad y actualizaciones

Igualmente, también es muy importante la implementación de softwares de seguridad como antivirus (en versiones desarrolladas para empresas), firewalls, sistemas IDS/IPS de prevención y respuesta, etc.

Pero tan crucial como emplear estas herramientas es mantener actualizados los sistemas, aplicaciones y endpoints (dispositivos de la empresa ya sean ordenadores, móviles, etc.). Al igual, que ir instalando los parches que vayan apareciendo, ya que en la mayoría de ocasiones su desarrollo obedece a la subsanación de vulnerabilidades detectadas.

3.3 Protección de datos

Además, se debe blindar tanto la información crítica de la operativa de la empresa como los datos sensibles de los clientes, con medidas como el uso de redes VPN y el cifrado de la información, para que cualquier brecha de seguridad solo pueda exponer datos que resulten ilegibles.

Asimismo, hay que tener en cuenta la restrictiva legislación en vigor sobre la materia (en el caso de España sería la LOPDGDD, en cuya última actualización adapta a la legislación española al Reglamento Europeo de Protección de Datos (RGPD), que establece la responsabilidad de la empresa con respecto a la confidencialidad de los datos que maneja de personal, clientes y proveedores, previendo importantes penalizaciones y multas para aquellas que no los custodien adecuadamente.

3.4 Sistemas de respaldo y recuperación

Las soluciones de respaldo que ofrecen copias de seguridad en la nube son un recurso imprescindible, ya que en caso de ataque o catástrofe, si bien no se preservaría la confidencialidad de la información, al menos se garantizaría la continuidad de operaciones.

Las soluciones más avanzadas combinan nube pública, privada e híbrida, y utilizan infraestructuras físicas de data centers que brindan las máximas garantías de seguridad, algo fundamental porque en último término, aunque hablemos de servicios cloud, dependen de servidores que almacenan la información.

3.5 Plan de respuesta a incidentes

Asimismo, a la hora de trazar las políticas de ciberseguridad de un negocio, es necesario tener previsto un plan de respuesta a incidentes, ya sean ciberataques o accidentes catastróficos.

Este plan ha de recoger las medidas con las que se responderá ante la identificación de una brecha de seguridad o un percance serio que afecte a la integridad de la información, e incluso las pautas a seguir para comunicarlo con los usuarios o clientes afectados, y eventualmente a las autoridades competentes en los casos contemplados por la legislación vigente.

Como hemos podido ver, la complejidad de todo lo relativo a la ciberseguridad puede ser un quebradero de cabeza importante para un emprendedor que está dando los primeros pasos con su proyecto.

Por ello, dependiendo de cada caso, puede ser una buena opción buscar el soporte de un servicio de ciberseguridad, lo que se conoce como CaaS o CyberSaaS (Cyber Security as a Service), tratando de dar con una solución que concilie la obtención de la protección requerida con unos costes asumibles para una empresa naciente. Algo que debe de ofrecer el mercado teniendo en cuenta la cantidad de emprendedores que se encuentran en esta misma situación

Adicionalmente, se puede valorar la contratación de coberturas que ya están disponibles como las de los ciberseguros, que protegerían tanto de las repercusiones directas de un ciberataque como de sus posibles consecuencias. Si bien esto no permite despreocuparse de hacer los deberes en materia de ciberseguridad, al resultar precisamente una cláusula obligatoria para la validez de la póliza, en sintonía con lo que ocurre con los seguros de cualquier tipo.

En definitiva, protegerse lo mejor posible frente a cualquier eventualidad y recibir soporte profesional es la política más inteligente para cualquier negocio incipiente que quiera mitigar los riesgos de ciberseguridad, sin que el emprendedor tenga que dedicarle un tiempo ingente a esta cuestión, restándoselo a la creación de valor, que es lo que va a decidir el éxito de su proyecto.

Con todo ello y con un enfoque proactivo en materia de ciberseguridad que involucre a todo el equipo, se podrá alejar el fantasma de un ataque devastador que eche por tierra lo que con tanta ilusión y esfuerzo se está construyendo.

Alejandro Betancourt

Fuente: este post proviene de Blog de Alejandro Betancourt, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado:
¿Qué te ha parecido esta idea?

Esta idea proviene de:

Y estas son sus últimas ideas publicadas:

Etiquetas:

Recomendamos

Relacionado

Las amenazas digitales están en constante evolución haciendo que proteger los datos y sistemas de tu empresa es una obligación. Invertir en ciberseguridad garantizará la estabilidad de tu negocio. ¿Por qué es importante la ciberseguridad? Lo más importante es la protección de datos sensibles. Éstos son altamente valiosos. Una brecha de seguridad puede exponer esta información, lo que podría result ...

La ciberseguridad es importante porque protege todas las categorías de datos contra robos y daños. Esto incluye datos confidenciales, información de identificación personal (PII) , información de salud protegida (PHI), información personal, propiedad intelectual, datos y sistemas de información gubernamentales y de la industria. Sin un programa de ciberseguridad, su organización no puede defenders ...

cyberseguridad seguridad informatica

En los últimos años, el número de ciberataques en el mundo aumentó. Así pues, la inversión en seguridad cibernética se ha convertido en algo vital dentro del contexto empresarial. Por consiguiente, ha crecido el trabajo para los profesionales en seguridad digital. Cada vez más, las academias online que ofrecen curso sobre ciberseguridad. La importancia de la ciberseguridad para las empresas en la ...

blog - artículos de interés

La ciberseguridad es un tema cada vez más importante para las empresas de todos los tamaños. En una era de transformación digital y conectividad, las empresas necesitan proteger sus datos, sistemas y redes de ataques maliciosos y violaciones de datos. Pero ¿qué es exactamente la ciberseguridad? ¿Y cómo pueden las empresas asegurarse de que están tomando medidas proactivas para mejorar su postura d ...

Herramientas ciberataque ciberataques ...

Saber qué pasos se deben seguir para prevenir un ciberataque resulta de vital importancia para muchas empresas a día de hoy, y más aún después de haber sufrido ciberataques tan sonados como el WannaCry, en mayo de 2017, y el Petya, en junio del mismo año. Además, España es el país con más ofensivas a nivel mundial por detrás de Reino Unido y Estados Unidos y el coste económico de un ciberdelito en ...

Tecnología IA Inteligencia Artificial

¿Es la inteligencia artificial lo suficientemente inteligente como para mantenernos a todos seguros en línea o, como otras formas de inteligencia, tiene limitaciones? La inteligencia artificial (IA) hizo una gran entrada en el ciberespacio con la promesa de mejorar la forma en que las personas interactúan con los datos. Más aún, genera esperanzas de proporcionar un marco de ciberseguridad más sóli ...

ciberseguridad branding de marca líder de seguridad digital ...

Blog. Aquí me informo, me formo y practico todo lo relacionado con Branding de Marca y Ciberseguridad. Aprende con nosotros tenemos contenido para las personas. ABC de un Líder de Branding de Marca y Ciberseguridad​ 1. ¿Por qué es importante la Seguridad Digital? Más allá del tamaño o la cantidad de empleados que tengas en la Organización es necesario entender que las personas son la primera l ...

Las empresas españolas, aprobado raspado en cultura de ciberseguridad El nivel general de cultura de ciberseguridad en las compañías en España es de 2,8 sobre 5, según un análisis de la consultora PwC presentado este martes. El informe también destaca que el presupuesto medio destinado concienciar y formar en ciberseguridad a sus empleados supone solo un 9% del total destinado a Seguridad de la In ...

general e-government security ...

Al parecer se ha descubierto que la seguridad en tiempos de internet es importante. Pero no es así. La problemática de la seguridad computacional es muy antigua, pero hoy en día la seguridad digital adquiere más relevancia por el incremental carácter estratégico de la información en un sociedad que vive y se desarrolla de forma interconectada, viéndose afectados los mercados, las relaciones intern ...

seguridad tecnología hogar ...

La ciberseguridad Hoy en día en nuestras actuaciones tanto sociales como laborales, dependemos mucho de las tecnologías de la información y comunicación, bien sea mediante teléfonos celulares, computadoras, tablets, o la Internet, donde realizamos diversas transacciones personales de tipo bancario, compras, entre otras actividades inherentes a los miembros de la familia. La importancia de la ciber ...