La pyme española aún tiene que actualizarse en seguridad

Seguridad

Las pequeñas empresas no están invirtiendo en seguridad. ¿Es por una cuestión de presupuesto o de capacidad tecnológica y recursos? Analizamos la situación.

La pyme aún no se ha recuperado de la crisis económica y la inversión en seguridad no está siendo su prioridad. Por ahorrar costes, estas empresas no invierten, y en muchos casos siguen considerando la seguridad como una commodity. El problema llega cuando reciben un ataque, una amenaza o una infección. Es ahí cuando toman conciencia de que necesitan actualizarse e implementar políticas adecuadas de seguridad.

La salida al mercado de nuevos sistemas operativos, como Windows 10, puede ayudar a las pymes en ese impulso de actualización. Microsoft en cada sistema operativo que lanza incorpora capas nuevas de seguridad pero, por otro lado, Windows sigue siendo el software más vendido, más usado y el más atacado.

Para analizar la situación de la seguridad en la pyme, Rosalía Arroyo, redactora jefe de ChannelBiz, se ha reunido con dos expertos del mercado: Bosco Espinosa de los Monteros, Key Presales Manager de Kaspersky Lab; y Josep Albors, director de comunicación de ESET España.

Desayuno 1

“Una cuestión latente es que todos los sistemas operativos tienen alguna vulnerabilidad de seguridad. Cuanto más complejo sea el sistema operativo peor para el usuario básico y además no todas las mejoras que plantean los fabricantes son estupendas para el usuario. Por ejemplo, Windows 8, lo primero que hacía era mostrar las fotos del usuario en pantalla”, explica el directivo de Kaspersky Lab.

“No obstante, desde Windows Vista Microsoft está haciendo bastante bien los deberes en materia de seguridad al incorporar el control de acceso de usuario, que bloquea la gran cantidad de amenazas que solicitan permisos de administrador. Esto, por ejemplo, los sistemas basados en Unix lo tenían ya desde hace décadas”, pone de manifiesto Josep Albors.

Más allá de lo que es la información, cualquier usuario en sus equipos tiene al menos tres cosas muy válidas para los hackers: espacio de almacenamiento (que pueden utilizar para introducir el equipo en una botnet e insertar contenidos ilegales, como pedofilia); conexión a internet (que pueden utilizar para enviar millones de spam cada día); y capacidad de procesamiento (que pueden utilizar para romper contraseñas o para hacer minería de bitcoins). Estas tres sencillas cosas permiten a los delincuentes sacar dinero.

Además, hoy en día, con la información en la nube, el usuario debe ser consciente de que los sistemas cloud están conectados a su equipo y que si los delincuentes cifran uno, cifran el otro.

La imprescindible concienciación del usuario

En España aún falla la concienciación en materia de seguridad. Las empresas han empezado a adoptar planes de concienciación de seguridad para sus plantillas para que cale más el mensaje al usuario.

Desayuno 2
Bosco Espinosa de los Monteros, Key Presales Manager de Kaspersky Lab.

Las charlas de concienciación todavía se ven en muchas organizaciones como un trámite más que hay que pasar, pero aplicando técnicas modernas de gamificación sí se consigue atraer la atención del usuario.

Kaspersky Lab ha optado por aplicar estos procesos a los cursos de seguridad que imparte a sus empresas clientes, combinando la parte teórica-técnica con prácticas de juego. “Tenemos varias vertientes, una de ellas es plataforma online, prácticas y teoría. Si al usuario le haces practicar, se le queda el mensaje. Si consigues que el cumplimiento lo lleve a cabo en casa, lo hará también en la oficina”, afirma Bosco Espinosa de los Monteros.

Otra parte muy importante para la compañía es explicar por qué falla el usuario. “En nuestras formaciones estamos incorporando ahora el tema de los logros y a los mandos intermedios los involucramos con técnicas lúdicas de casino (ganancias y pérdidas) y creando debate entre los grupos para discurrir. Además, hacemos que los grupos voten por la mejor respuesta y así se genera competitividad entre los departamentos involucrados en la formación”, continúa el directivo.

Otro déficit que hay en España en materia de seguridad en las empresas es que no existe una ley que obligue a informar de los incidentes de seguridad. Ahora se está tramitando.

Capacidad tecnológica

Las amenazas  siempre van a existir y no es posible que las soluciones de seguridad detecten el 100% de las amenazas que se encuentran en el mercado, pero el objetivo de las empresas debe ser estar profesionalmente protegidas para que a los delincuentes les cueste más atacarlas que el beneficio que obtengan de infectarlas.

Hoy en día hay partners muy buenos que pueden dar soporte a la pyme con productos que no son caros para implementar niveles óptimos de seguridad.

“Ahora mismo con las soluciones que hay en el mercado, a un precio más que asequible para las pymes, se cubre el 80%-90% de las posibles amenazas que le puedan afectar”, resalta el director de comunicación de ESET España.

Los productos han ido evolucionando pero también hay que saber usarlos porque si se instala el nivel máximo de seguridad en equipos antiguos, no funciona; si se implementa la seguridad mínima, es un coladero, etc.

“El partner para la pyme es fundamental, un socio que no solo sepa orientarle sino que le de soporte. Desde hace años, las empresas de seguridad estamos certificando y apoyando a los partners para que den el soporte adecuado”, explica Josep Albors.

“Además, para el partner es crucial tener clientes satisfechos. El boca a boca hace muchísimo, ya que cualquier traspiés se difunde rápidamente en el mercado y ya nadie confía en ellos, por eso están invirtiendo mucho en las certificaciones”, pone de manifiesto por su parte Bosco Espinosa de los Monteros.

Sofisticación del mercado

Desayuno 3
Josep Albors, director de comunicación de ESET España.

En los últimos años, los delincuentes también han prosperado y han mejorado sus técnicas automatizándolo todo. Por ejemplo, ha habido grandes casos de malvertising en periódicos nacionales e internacionales, como The Washington Post.

“A veces las empresas no reaccionan bien ante las detecciones que hacemos las firmas de seguridad de infecciones en sus webs. Un problema que tenemos muy serio siempre que llevamos a cabo investigaciones es que si vas proactivamente a la organización que tiene el problema la reacción habitual es ponerse a la defensiva e incluso acusarnos de que la infección la hemos perpetrado nosotros”, apunta el representante de Kaspersky Lab.

“Al final estamos optando por informar de nuestros estudios a las fuerzas de seguridad nacional. Nosotros les proporcionamos la inteligencia de todos nuestros sensores y ellos ya actúan”, especifica el directivo de ESET España.

Por su parte, las empresas de seguridad colaboran entre ellas en las investigaciones y la detección de amenazas. Tal fue el caso las pasadas navidades de sacar a la luz la actividad del troyano BlackEnergy, que infectaba a empresas de todos los sectores.

El paradigma de la seguridad ha cambiado totalmente con la movilidad y la explosión del “todo conectado”, el Internet de las Cosas, y las empresas deben estar preparadas.

Lea también :