Las pequeñas y medianas empresas españolas sufren 7 de cada 10 actos de ciberdelincuencia llevados a cabo en el país, con un coste medio de 35.000 euros por año para cada pyme, de acuerdo a la investigación realizada por Google “Panorama actual de la ciberseguridad en España: retos y oportunidades para el sector público y privado”, publicado en 2023.
A esto se agrega que 6 de cada 10 pymes atacadas se vieron obligadas a suspender su actividad en un plazo de medio año, a la vez que el 60% de estas empresas reconoce que no está preparado para los desafíos que presenta la inteligencia artificial en términos de ciberseguridad.
Frente a este panorama, y en el marco del Día Mundial de Internet Segura, Acens, proveedora de servicios en la nube, ha recopilados cinco recomendaciones básicas para garantizar la continuidad del servicio y la recuperación de la información ante incidentes.
1. Brindar formación al personal de las pymes, “sobre todo en lo relativo al correo electrónico y medidas de precaución en su uso. En este sentido es aconsejable la realización de campañas phishing de simulación a los empleados con el fin de que estén en alerta y sean capaces de reconocer con antelación un ciberataque”, destaca Manuel Prada, Responsable de Seguridad IT en Acens.
2. Reforzar la seguridad en la autenticación. Además de contar con un sistema de autenticación multifactor (MFA), desde Acens sugieren cuidar la generación de contraseñas seguras con más de 8 caracteres que incluyan letras, números y signos para el acceso de los usuarios a aplicaciones corporativas, dado que las contraseñas débiles siguen siendo la causa principal de la mayoría de las intrusiones.
3. Realizar pentesting o análisis de vulnerabilidades del sistema de seguridad a través de un test de penetración que determine el alcance de los fallos, para contar con mayor información y poder tomar medidas antes de que se produzca el ataque.
4. Contratar un servicio cloud seguro y exigir criterios específicos al proveedor. Algunos de los puntos más importantes sugeridos por Acens son: “¿Qué garantías de confidencialidad y protección de datos ofrece?, ¿Qué tipo de medidas de seguridad física implementa en Data Centers? Control de acceso, vigilancia 24×7, CCTV, acceso biométrico para garantizar que únicamente accede el personal autorizado… ¿Qué garantías ofrece de disponibilidad, acceso a los datos, capacidad del sistema de soportar datos y recuperarse ante incidentes? Sistemas de alimentación ininterrumpida, climatización, detección y extinción de incendios, sistemas tolerantes a fallos, grupo electrógeno”.
5. Actualizar el software y realizar copias de seguridad continuamente. “Un error muy común es instalar aplicaciones web y no realizar un seguimiento de las actualizaciones de seguridad. En el contexto actual, tanto empresas como proveedores de servicios deben tener soluciones de ciberseguridad y planes de resiliencia. Pero además de proteger los datos, es crítico estar preparados para mitigar los posibles daños ante una pérdida de datos y para ello es conveniente disponer de un backup de la información automático y fiable en la nube, que posibilite un plan de contingencia rápido en caso de fallo de los servidores de la empresa”, señala Prada.
Si bien todas las organizaciones enfrentan una fuerte presión frente al aumento y sofisticación de los ciberataques, las pymes se encuentran más expuestas ya que muchas no cuentan con un CIO o responsable de seguridad ni implementan protocolos básicos de seguridad. Según el equipo de IT de Acens aunque el riesgo cero no exista, hay dos factores que pueden ayudar a la pyme a minimizar los riesgos asociados a un ciberataque: el factor humano, pues 8 de cada 10 brechas de seguridad se producen por un error humano, y contar con un proveedor cloud seguro.