5 retos que tienen las pymes en 2017 en materia de seguridad informática
Si atendemos a diferentes estudios y noticias sobre las tendencias de inversión de la empresa española para el nuevo año, la transformación digital, la protección de datos y ciberseguridad son aspectos que están siempre en los primeros puestos. Las pequeñas y medianas empresas empiezan a ver la ciberseguridad como un elemento clave para gestionar, de manera adecuada, las amenazas sobre su activo más importante: la información.
Por este motivo, vamos a repasar cuatro tendencias en materia de seguridad informática, que han de estar muy presentes en el momento de elaborar un plan de protección del negocio, atendiendo sobre todo a las novedades más demandadas en el mundo de la tecnología o a las regulaciones que cobrarán relevancia en los próximos meses.
1.Ciberseguridad: protección, recuperación de datos y concienciación
En la actualidad, cualquier negocio gestiona cada vez más datos a través de los sistemas de información, que sumado a la capacidad de los atacantes de penetrar los sistemas, hacen que el riesgo sea alto, a menos que se plantee una inversión en ciberseguridad, ya que los cibercriminales tienden a fijarse en objetivos sencillos y poco protegidos, en los que conseguir resultados con poco esfuerzo.
A la hora de desarrollar un plan de ciberseguridad en cualquier empresa, es importante trabajar en tres áreas clave: protección, recuperación y concienciación.
La protección de la red de comunicaciones y aplicaciones, se debe abordar de forma adaptada al negocio, para lo cual es importante contar con expertos que analicen nuestra situación y puedan ofrecer soluciones que ajusten los controles a la infraestructura de sistemas disponible.
Mención especial para los dispositivos conocidos como el internet de las cosas (IoT por sus siglas en inglés), un término del que se habla mucho últimamente, ya que las empresas incorporan cada vez más dispositivos conectados a internet como las cámaras web, impresoras wifi, discos en red, etc. Son equipos fáciles de instalar, pero la sencillez no es excusa para excluirlos del plan de protección o dejar una configuración por defecto, que los hace objetivo de ataques a gran escala como ha sucedido en los últimos meses.
Más allá de la prevención, también se debe definir un plan de recuperación, ya que, si un ataque tiene éxito, la empresa debe estar preparada ante las posibles pérdidas de información o la indisponibilidad de los servicios, además de cualquier riesgo específico que pueda afectar a cada negocio y para ello, se debe desarrollar un plan de continuidad del negocio en el que se incorpore la recuperación de sistemas y copias de seguridad.
Pero por delante de estos aspectos técnicos, la concienciación de los empleados es el elemento clave para lograr entornos seguros. El empleado ha de conocer su responsabilidad en materia de seguridad y formar parte de la solución, porque en muchas ocasiones, es el mismo empleado la amenaza a los sistemas, por simple desconocimiento. El desarrollo de una cultura en ciberseguridad a través de un plan de formación, puede ayudar a reducir los riesgos provocados por los ataques más habituales.
2. Nuevo reglamento europeo de protección de datos
Un tema regulatorio al que habrá que prestar atención es la protección de datos, dado que este 2017 es un año de adaptación al nuevo reglamento general europeo (GDPR por sus siglas en inglés), que entró en vigor hace ya más de medio año, pero que no será hasta el 25 de mayo de 2018 cuando se aplique de forma definitiva.
El reglamento europeo, por el momento convivirá con la LOPD, aunque hay que familiarizarse con los nuevos términos y requisitos, sobre todo, aquellos que difieren de la normativa española. Como ejemplos destacados, los conocidos como derechos ARCO (derechos de acceso, rectificación, cancelación y oposición) se amplían, para dar cabida a otros nuevos derechos como son el de portabilidad de datos, limitación del tratamiento o el de supresión, también conocido como derecho al olvido. Otro aspecto que se añade en el reglamento europeo consiste en los métodos para informar a los afectados del tratamiento de datos personales, ya que difiere en algunos aspectos a como se venía haciendo hasta ahora a través de las cláusulas LOPD.
Desde aquí recomendamos obtener más información y realizar una planificación para acometer los cambios necesarios para la adaptación, ya que el nuevo reglamento da mucha importancia es a disponer de políticas de seguridad que garanticen la protección de los datos de carácter personal desde el diseño y por defecto.
3. Sistemas seguros en la nube
Otra de las tendencias tecnológicas que más beneficia a las PYMEs es la migración de aplicaciones de negocio a tecnologías en la nube. El uso del cloud computing ha sido una gran ventaja para la pequeña y mediana empresas, que gracias a estos servicios pueden delegar la explotación de sus sistemas de producción a empresas dedicadas, que proporcionan las últimas tecnologías con un coste mucho menor.
Pero la estrategia en la nube no significa que se delegue toda responsabilidad en el proveedor de servicios. Aunque se relaje la carga tecnológica sobre la gestión de la empresa, hay que realizar un esfuerzo a la hora de seleccionar los proveedores para trabajar en entornos seguros y de alta disponibilidad. Para ello, es recomendable realizar un análisis de riesgos derivados de estas tecnologías y definir un plan de control a los proveedores, por ejemplo, mediante la selección de aquellos que aporten la confianza suficiente a través de certificaciones reconocidas (ISO 27001, CSA, SOC-1, etc.) o a través de auditorías informáticas que aseguren unos estándares de calidad. Más allá de la selección del proveedor correcto, éste debe aportar la capacidad suficiente para que la producción de la empresa no se vea mermada, por lo que es importante cerrar unos acuerdos de nivel de servicio que aseguren la calidad del mismo.
4. Comercio electrónico y reputación online
Las compras online están cambiando los hábitos de los españoles con records en las cifras de negocio, superados prácticamente cada mes. Esto hace que muchas empresas inviertan en su presencia en la red, pero antes de formar parte del negocio, es importante hacerlo bien. Trabajar en el desarrollo de plataformas seguras es casi tan importante como un buen plan de marketing, porque seremos lo que nuestros clientes hablen de nosotros y lo mejor es que hablen bien.
A la hora de lanzar un comercio online, es fundamental familiarizarse con la terminología y cumplir con la regulación existente (LSSI) o las normas y estándares de seguridad, como el de seguridad en medios de pago (PCI DSS). También hay que poner esfuerzos en disponer de plataformas seguras de comunicación y si es necesario, hacer uso de la identificación electrónica y la firma digital, cumpliendo con la Regulación de servicios de confianza (eIDAS) de la UE.
5. Conocer la situación y afrontarla
Las tendencias en seguridad analizadas, no son más que una propuesta de aquellos elementos que un responsable de sistemas de cualquier PYME debería tener en cuenta a la hora de elaborar un plan de protección de la información, pero la premisa más importante es que antes de iniciar cualquier acción, se debe conocer bien la situación de cada empresa y sus necesidades. Desde SFAI, pueden contar con nuestra experiencia y nuestras soluciones para lograr alcanzar cualquier objetivo marcado con éxito.
Pablo Marco Montoya
SFAI Risk & IT