«Las PyMEs, que alguien piense en las PyMEs»

Grandes organizaciones han sido víctimas de ciberdelitos: empresas financieras, de retail, ONGs, organismos del estado y últimamente empresas líderes en el sector de ciberseguridad. Lo que preocupa es que estas son organizaciones que tienen los recursos, personal, presupuestos, herramientas y proveedores que los ayudan en ciberseguridad. Organizaciones que están sujetas a fuertes mecanismos regulatorios (leyes), que pasan periódicamente por procesos de revisión de auditoría (interna y externa), certificaciones, fiscalizaciones, y que cuentan con áreas de gestión de riesgos y ciberseguridad. Y aun así, han sido víctimas de ciberdelincuentes.

Entonces ¿Qué le pudiera pasar a una pequeña o mediana empresa (PyME)? de esas que tienen un área de TI con menos de 10 personas y con mucha suerte uno de esos sabe algo de ciberseguridad.

Te voy a contar del caso FireEye, una empresa líder en ciberseguridad que fue víctima de ciberdelincuentes:

El 8 de diciembre del 2020, la empresa de ciberseguridad FireEye fue atacada por un «adversario altamente sofisticado patrocinado por un estado«, en donde los ciberdelincuentes robaron las herramientas utilizadas por ésta empresa para realizar las pruebas de seguridad en sus clientes (herramientas de Red Team) y se centraron en obtener información de sus clientes Estatales.

Los ciberdelincuentes utilizaron mecanismos de ataque avanzados para ingresar a los sistemas sin ser detectados y no dejaron rastros que puedan ser utilizados en análisis forenses. Actualmente FireEye está trabajando en conjunto con el FBI para tratar de identificar desde donde y sobre todo cómo fue que los atacaron.

Según los comunicados de prensa, ese mismo día se liberaron a la comunidad las contramedidas para detectar y prevenir los ataques realizados por estas herramientas.

FireEye, es una empresa líder en el mercado de ciberseguridad (con presupuesto, personas y herramientas), que asesora y protege a otras organizaciones y que continuamente ha colaborado e informando vulnerabilidades a la comunidad para ayudar a detectar, prevenir y prepararnos ante ataques. Y aún así fueron victimas de cibercriminales.

Pero ¿Qué pasa con la ciberseguridad en las PyMes? ¿Es necesario protegerlas aunque no manejen información valiosa?

Hay muchas empresas que piensan que por ser pequeñas o medianas, su información no es valiosa y que no hay ciberdelincuentes interesados en ellas.

Nada mas alejado de la realidad. Primero hay un 80% de probabilidad de que sean el objetivo de un ciberdelincuente solo porque la suerte hizo que salieras en su búsqueda de Internet. Si bien, es muy probable que te dejen de atacar cuando no consiguen ingresar a tu organización en las primeras 48 horas (por eso se recomienda que podamos sobrevivir al menos a esas primeras 48 horas de ataques), tu empresa no dejará de ser un objetivo para los ciberdelincuentes.

Segundo: ¡tu información si es valiosa! piensa que pasaría si se filtra la información de tus clientes, proyectos, precios a tus competidores o algún otro tipo de información confidencial que se maneje en tu empresa (ej. datos de salud); que les borren los correos a tu área de ventas (o facturación); que borren la base de datos donde tienes tus ventas; que los equipos, servidores y PCs con los que trabajas les caiga un ransomware, perderás horas (o días) de operación y ventas, sin contar los gastos asociados para recuperarte (ya sea porque le pagaste al ciberdelincuente o porque restauraste un respaldo).

Entonces, sin importar lo pequeña que sea la empresa: ¡SU INFORMACIÓN SI ES VALIOSA!

Pero ¿Qué pueden hacer las PyMEs para empezar a protegerse en ciberseguridad?

Si eres una PyME que quiere considerar la ciberseguridad en su operación, te dejo algunos consejos para empezar a aplicar:

1. Designa a un solo responsable de la ciberseguridad en tu empresa: Esta persona deberá encargarse de definir y monitorear el cumplimiento de la ciberseguridad y todos los demás deben cumplir con sus definiciones. Será mucho mas fácil coordinarse si todos están claros quien emitirá las definiciones de seguridad, políticas y sobre todo generar el plan de ciberseguridad (este incluye mediciones, pruebas, capacitaciones y proyectos). El responsable debe tener poder decisión, por eso se recomienda que pertenezca a la alta administración y debe tener independencia, por eso se recomienda que no dependa del área de TI. Ya que TI se encarga de que la operación esté funcionando y a veces para mantener la operación se relaja la seguridad y también para concientizar que la ciberseguridad NO es un problema de TI, sino un problema de la organización: si los datos de tus clientes se filtran, no es el área de TI la que pierde reputación, sino la empresa.
2. Actualiza tu inventario de activos de información: El primer paso a la hora de gestionar la ciberseguridad, es tener claridad sobre que tipo de información manejas y donde está. Por ejemplo: cuántos dispositivos se conectan a tu red, cuántos son los usuarios internos y externos, cuáles son los sistemas cuya seguridad depende de ti o del proveedor, qué tipo de información manejas, dónde la guardas (pendrive, laptops, servidores, DVDs, cintas, páginas web, personas, Excel, Cloud, etc.), quiénes deberían acceder a ella y si hay alguna ley que las regule. Con este paso puedes empezar a definir cuales elementos debes proteger primero.
3. Crea un plan de ciberseguridad: Que tenga por objetivo establecer las actividades de ciberseguridad en los próximos 12 meses, que permitan implementar las medidas de mitigación, protección, detección, respuesta y recuperación ante incidentes de seguridad. Este plan debe considerar también a las personas, por ejemplo: a través de capacitaciones en ciberseguridad al personal técnico y funcional, para que puedan identificar y reportar los incidentes de seguridad o pruebas controladas de phishing.
4. Realiza un hacking ético: Estas pruebas permiten identificar cómo y por donde te pueden atacar, que tipo de información se puede obtener y de que forma pueden dejar a tu empresa inoperativa. Es importante realizar estas pruebas periódicamente, pero puede ser un buen comienzo para identificar las brechas de seguridad que tiene la organización y corregirlas primero.

Esto es solo una forma de comenzar, recuerda que la seguridad es algo que se tiene que hacer por capas, mientras más capas de seguridad hay es mucho mas difícil ser vulnerado.

En FGC Security ayudamos a PyMEs a identificar sus brechas de seguridad y apoyamos en su resolución, porque sabemos que la mayoría de las brechas en ciberseguridad en las PyME ocurren por desconocimiento y no por decisión propia.