7 minute read
INCIBE
Concienciación en ciberseguridad en las pymes
La gran cantidad de servicios y tecnologías existentes en Internet están elevando el nivel de exposición a los diferentes riesgos derivados a toda la sociedad.
Firma: mArco lozAno
Un público especialmente afectado son las empresas y en particular, pymes, microempresas y los autónomos. Si a esto le sumamos que el usuario es uno de los vectores más atacados y de los que más incidentes provocan, de manera no intencionada eso sí, nos encontramos ante una situación donde todo parecen ser ventajas para los ciberdelincuentes o atacantes. Para mitigar esta cuestión, hemos de utilizar uno de los prin-
cipales instrumentos que permiten hacer un uso seguro de todas aquellas
herramientas que se usan en el ámbito empresarial: la adquisición de capacidades en ciberseguridad, y llevar a cabo acciones de concienciación para la identificación de amenazas, todo apoyado además por medidas tecnológicas que también son esenciales.
En primer lugar, es interesante destacar que el nivel de concienciación en ciberseguridad para una pyme va a estar muy ligado al uso de la tecnología y la dependencia del negocio hacia esta. Salvando las distancias, no será necesario el mismo nivel de concienciación para un empleado de una empresa dedicada a cuestiones agroalimentarias que para un empleado que trabaja en una empresa tecnológica. En cualquier caso, no hay una respuesta homogénea acerca de los posibles riesgos ciber-
néticos y nivel de concienciación que sea válido para todo tipo de empresas, dependerá de la dependencia tecnológica de cada una.
Otro elemento importante a considerar, es conocer a qué riesgos estará expuesta la empresa. Para unas serán los riesgos asociados a dispositivos móviles o el incumplimiento del RGPD, para otras los relativos a la web para evitar phishing o los riesgos inherentes a la contratación de terceros. No obstante, esto no quiere decir que a mayor dependencia mayor riesgo, pues entra en juego otro factor que es la actitud ante la ciberseguridad. En este sentido, se puede constatar que las empresas más dependientes son también las más precavidas y que las menos dependientes son las más despreocupadas ante su ciberseguridad.
Lo que sí es un factor común es que las empresas han de incluir una gestión de riesgos en sus protocolos de ciberseguridad. Esto no es más que decir que han de priorizar lo que protegen y cómo lo protegen en base a los porcentajes de riesgo e impacto de cada posible suceso desafortunado que pueda poner en jaque su negocio. Para ello, han de identificar y valorar los activos que intervienen en sus procesos vertebradores y verificar las amenazas a las que están expuestos, siguiendo alguna metodología para evaluar los riesgos y para decidir cómo abordarlos.
Algo común a todas las empresas y que se obtiene resultado de esta gestión, es que siempre existe un riesgo que no ha de descuidarse y es la falta de concienciación de los empleados que hace posible que se materialicen muchos incidentes que utilizan por ejemplo, técnicas basadas en ingeniería social.
Es por ello, que empleado es el gran protagonista de la seguridad en las empresas. La tecnología tal y como hemos mencionado, es importante, pero no siempre es suficiente para proteger nuestros sistemas de información. La implicación y participación de todos los empleados, es esencial para llevar una gestión adecuada de la ciberseguridad en las empresas y en especial las pymes. Por este motivo, concienciar y formar a los empleados, se convierte en una pieza clave del puzle de la ciberseguridad.
Relacionado con lo anterior, la concienciación en ciberseguridad impartida en muchas pymes suele ser en ocasiones inexistente. Unas veces por falta de recursos, por falta de tiempo, por desconocimiento o por errores de contexto como considerarse fuera del objetivo de los ciberdelincuentes. Por ello, se hace imprescindible la puesta en marcha de programas de concienciación y formación entre los empleados, que faciliten crear y asentar una cultura de seguridad en la organización, reduciendo de este modo los riesgos globales a los que se enfrenta.
Desde INCIBE somos conscientes de esta cuestión y desde hace varios años tratamos de desarrollar contenidos y servicios gratuitos, con el propósito de ayudar a las empresas a poner en marcha un plan de concienciación que les permitan mejorar, de manera integral, la seguridad de su organización. Sin duda, uno de los más completos es el Kit de concienciación. Esta herramienta tiene como propósito facilitar al empresario el diseño y puesta en marcha de un plan de formación integral en materia de ciberseguridad para todos los empleados, proporcionando un mecanismo útil para concienciar a sus empleados. El kit ha sido elaborado para que el empresario pueda descargárselo y
entregarlo a sus empleados de una
manera secuencial, de acuerdo a un programa o planificación que también se le facilita.
Como conclusión, en general las pymes, y en particular las microempresas y los autónomos, aún tienen margen de mejora en lo relativo a la capacitación de sus empleados y al tratamiento de los riesgos que las afectan. Las empresas no pueden escapar a la transformación digital y esta lleva asociada de manera indisoluble la necesidad de protección frente a incidentes y a usos no autorizados o abusivos de la tecnología. Esta protección comienza por la concienciación y sensibilización con la que se consigue que los empleados de todos los niveles hagan un uso adecuado de la tecnología, protegiendo el negocio y garantizando los derechos de los clientes o usuarios.
Para ampliar información acerca de los servicios de INCIBE en materia de concienciación, puede ponerse en contacto a través de la Línea de
Ayuda en Ciberseguridad en el
número corto 017, o a través de nuestros canales de chat de WhatsApp y Telegram. .
Cargatucoche.com es una empresa que proporciona servicios relacionados con la recarga de vehículos eléctricos como apuesta por la sostenibilidad y para un futuro de la movilidad eléctrico.
Firma: mAriA luz domínguez
CyberSecurity News (CSN): Aunque el nombre puede darnos una idea, sí que nos gustaría conocer ¿Qué es cargatucoche. com y cuál es su misión?
Sergi Majó (SM): Cargatucoche es una plataforma que te permite instalar tu punto de recarga y ayudarte en todo el proceso, desde elegir el cargador correcto hasta tramitar las ayudas correspondientes. Nuestra misión es facilitar a nuestro
consumidor todos los aspectos de la compra e instalación.
CSN: La sostenibilidad es el futuro en cuanto a la movilidad, pero en su opinión, ¿Qué tendencia y evolución augura para su sector a medio plazo?
SM: Entendemos que el futuro de la movilidad es eléctrico. Observamos como la sociedad demanda soluciones sostenibles en la mayoría de los aspectos de su vida. Para productos tan diferentes como por ejemplo envases sostenibles o en nuestro caso movilidad eléctrica. Según nuestros estudios del mercado automovilístico español, estimamos que el parque del vehículo eléctri-
co puede llegar a estar en torno al 20% en 2028.
Según esta estimación, empresas como la nuestra pueden ayudar a conseguir esas cifras sin que haya un problema real con la carga del vehículo.
CSN: Las pequeñas y medianas empresas son las que sufren más delitos cibernéticos. Podrías decirnos ¿cómo se trabaja la ciberseguridad en una empresa como es cargatucoche.com?
SM: La seguridad es prioritaria para cargatucoche, tenemos expertos en cloud y seguridad que nos permite tener la arquitectura donde se aloja la plataforma protegida con los estándares de buenas prácticas de los cloud vendor, tanto en seguridad, como en conservación de los datos o por ejemplo alta disponibilidad. En lo referente a seguridad, se pasan
auditorias periódicas de pentest y
calidad del código para asegurar que nuestra plataforma está protegida correctamente.
CSN: Desde Cargatucoche.com y centrándonos en vuestro sector, ¿Cuál es el panorama en lo que se refiere a riesgos de ciberseguridad que estáis observando en la actualidad?
SM: Estamos observando que muchas
empresas tienen solo una página
simple para contactar con ellos. Y no tienen elementos de seguridad como por ejemplo Web Application Firewall para protegerse de los ataques del tipo OWASP que básicamente son los ataques más comunes. Desde cargatucoche hemos apostado por la tecnología, no solo para facilitar la instalación de los clientes, sino para
proteger sus datos.
CSN: - ¿Contáis con un plan o una estrategia en lo que a ciberseguridad se refiere?
SM: Cargatucoche tiene definida una estrategia que incluye por ejemplo desde auditorías externas periódicas, monitorización 24x7 de accesos y logs o equipo dedicado de seguridad.
CSN: ¿Qué grado de importancia tiene en cargatucoche.com la formación de los empleados de ciberseguridad?
SM: En el plan estratégico de seguridad incluye formaciones estándares para todo el equipo, como podría ser cursos de phishing, personalizadas para el equipo técnico, como por ejemplo buenas prácticas de seguridad en código PHP. .
Sergi Majó
