Actuar bajo la premisa de que la ciberdelincuencia no perdona a ningún tipo de organización, debe ser la guía por la que deben conducirse las pymes, que en cualquier momento pueden ser víctimas de algún delito cibernético sobre todo en esta época de trabajo remoto, en donde han tenido que extender su perímetro de control, de acuerdo con Arnulfo Espinoza Domínguez, President of Tech & Cybersecurity at CT IMEF, y vocero de Infosecurity Mexico.
“Los ciberdelincuentes saben que las pymes tienen menos esquemas de control que una firma grande, pero realmente la información que generan y guardan ese tipo de empresas es muy valiosa, y no solo la propia, sino la de terceros, ya que pueden formar parte de la cadena de suministro de una empresa mayor. Por ello es que los directivos de las pymes no pueden olvidarse de los cinco principios fundamentales de la ciberseguridad: identificar, proteger, detectar, responder y recuperarse, y para ello deben contar con políticas y procesos bien definidos”, explicó Arnulfo Espinoza.
Uno de los principales problemas a los que se enfrentan los encargados de la gestión de datos en las empresas, es que su radio de protección se ha extendido debido al trabajo en casa, en donde también debe ser obligatorio establecer medidas de prevención y el respaldo de datos. Es por eso que las pymes deben jerarquizar sus activos para que todos conozcan cuál es la información crítica, además de realizar análisis de vulnerabilidades y usar herramientas tecnológicas, incluso gratuitas, para incrementar el nivel de protección.
“Sin embargo, uno de los problemas que enfrentan este tipo de empresas es que no les resulta fácil contar con personal especializado en ciber protección; se trata de un talento escaso y costoso, pero lo cierto es que las pymes deben tener a alguien que diseñe los lineamientos que guíen la gestión de la información, incluyendo procedimientos y sanciones, y que deben observar todos los empleados. Esa misma persona también debe pensar hasta en la continuidad del negocio, porque las empresas no solamente pueden ser víctimas de un ciber ataque, sino de un robo físico o de hasta un incendio”, señaló Espinoza.
El vocero de Infosecurity Mexico explicó que actualmente se ha desarrollado la figura del “CISO as a Service”, que representa una opción para aquellas empresas que prefieren contratar parcialmente, o por proyectos, a un especialista en ciberseguridad sin costo para su nómina. “El entorno actual lo exige porque la pandemia obligó a acelerar nuestra transformación tecnológica: lo que estaba programado para tres años, se tuvo que realizar en tres meses. Hubo empresas que tuvieron que adoptar nuevas plataformas, como las bancarias o de comercio electrónico, para continuar en el negocio, pero esas prácticas también conllevan riesgos”.
Asimismo, de acuerdo con Arnulfo Espinoza, se debe considerar que en el último año hubo una adopción acelerada de la nube, pero al parecer las empresas no están conscientes de ello. “Sabemos que hay empresas que creen que no usan la nube, pero sí la usan, e incluso tienen más de una. De hecho, ISACA (Information Systems Audit and Control Association) ha señalado que las empresas de más de mil empleados usan entre 200 y 400 nubes, y las que cuentan con 150 a 250 empleados (pyme), tienen hasta 120 nubes: al parecer no consideran que el SasS (Software as a Service) también se ubica en una nube”.
Ante tal panorama, el administrador de la nube debe evolucionar en el conocimiento y aplicación de herramientas automatizadas para vigilar mejor sus recursos informáticos, “porque son varios puntos que deben atender: cuidar la nube, proteger los recursos locales y el perímetro extendido. Por ello, deben establecer doble factor de autenticación, encriptación y deben tener localizados todos los dispositivos que por cierto deben contar con multi factor de autenticación, o van a sufrir una brecha, porque una contraseña ya no es suficiente. Sabemos que el ransomware va a seguir siendo una de las modalidades de ataque más recurrentes, igual que el fishing masivo, pero para protegerse la mejor defensa es que los usuarios entiendan el riesgo y sigan las reglas de protección impuestas por las empresas, deben cuidar desde sus celulares hasta las computadoras; es imperativo”, finalizó Arnulfo Espinoza.
* Infosecurity Mexico se llevará a cabo el 6 y 7de octubre de 2021.