Todos los días tenemos en la prensa noticias sobre incidentes graves de ciberseguridad. Robo de datos, pérdida de privacidad, ataques informáticos, fraudes online son términos que empiezan a ser habituales para nosotros. Pero, en general, vemos estos titulares ligados a empresas multinacionales, administraciones públicas o proveedores de servicios digitales.
Sin embargo, esto es sólo la punta del iceberg. Cada minuto ocurren miles de incidentes de ciberseguridad, muchos pasan inadvertidos, que afectan a miles de pequeñas y medianas empresas en todo el mundo. Estos incidentes pueden no tener la espectacularidad de hackear una gran empresa, para ser noticia, pero tienen un impacto importante en la actividad y eventualmente, en la propia viabilidad de la compañía.
Los cibercriminales han advertido que requiere mucho menos esfuerzo y, en definitiva, es más rentable lanzar cientos de pequeños ataques sobre “blancos” menos protegidos que un gran ataque sobre un objetivo que tienen la posibilidad de invertir mucho dinero en proteger sus activos digitales. Según un estudio realizado por Telefónica a finales de 2018 sobre más de 1.193 casos, 1 de cada 5 PYMEs había sufrido un ataque en los últimos 12 meses.
El impacto de estos ataques no se puede minimizar. Según el mismo estudio, 1 de cada 5 empresas atacadas ha perdido información importante, 1 de cada 4 ha visto interrumpidas sus operaciones: 1 una de cada 3 ha tenido perjuicios económicos. En una economía como la española, en la cual el 98% del tejido empresarial está formado por PYMES, que generan casi 6 millones de puestos de trabajo, esto puede tener consecuencias relevantes.
El principal problema para que las PYMEs españolas lleguen a un nivel de protección comparable con las grandes empresas (GGEE), (y así no estar en el centro de la diana), no parece ser tanto de concienciación (aunque todavía hay gente que piensa que ser pequeño es una protección natural contra los hackers) sino de escala. Hay preocupación por la ciberseguridad (un 61%), pero es difícil encontrar medios al alcance de una pequeña empresa para dar un salto de calidad en su seguridad.
Para resolver este problema, la solución clásica del sector TIC es facilitar el uso de plataformas estándar compartidas en la red, como forma de compartir costes, reducir los tiempos de puesta en marcha y aprovechar las mejores prácticas que emplean las GGEE. Lo novedoso en los últimos años es el proceso de “consumerización”, es decir, aprovechar la escala de las soluciones de consumo B2C para, con las necesarias adaptaciones, ponerlas a disposición del segmento B2B.
Un ejemplo de esto es la solución Conexión Segura Empresas (CSE) de Telefónica, disponible para todos sus clientes (unas 100,000 empresas actualmente), suscritos a la plataforma Fusión Empresas Cloud. CSE se beneficia de la escala, al utilizar componentes de software disponibles en el segmento de consumo, agregándoles funcionalidades de empresa, en una plataforma compartida en red.
En pocas palabras, es una plataforma instalada en el corazón de la red de Telefónica, que permite “filtrar” los datos que llegan a la red del cliente, analizar patrones y descartar todos los que formen parte de un virus o software malicioso.
Funciona como una “estación depuradora”. El “agua sucia” o “contaminada” llega hasta una “planta potabilizadora”, y la entrega limpia en los grifos del cliente. Además, previene al usuario de acceder a sitios web denunciados como peligrosos (o inadecuados por su contenido) y, sobre todo, evita la suplantación de unos sitios por otros, para impedir el fraude o la captura de datos privados, mediante engaños.
Sin embargo, algunas amenazas aún pueden “colarse” en la red del cliente. Pensemos en PCs o Smartphones del personal que está de viaje y se conecta en Wifis externas o introduce ficheros por medios externos como discos USBs o SD. Para cubrir este frente, la solución incluye la posibilidad de descargar licencias de McAfee Multiaccess, el antivirus líder en este segmento, que incluye, además, funciones antirrobo de dispositivos móviles.
Pero no es una solución totalmente rígida. Aunque de menor tamaño, las PYMEs tienen necesidades de personalización. CSE provee a la empresa un portal de gestión (sólo disponible para el Administrador de la Empresa) que le permite:
- Analizar los datos de navegación a través de la red de la empresa (adónde se accede, en qué horarios, con qué frecuencia)
- Establecer políticas internas de seguridad, por ejemplo, para decidir qué categorías y sitios web tienen el acceso permitido o no o impidiendo la navegación en determinadas franjas horarias.
La modalidad de contratación permite que la PYME no se cargue de costes fijos o tenga desembolsos imprevistos (otra demanda del segmento). El cliente sólo paga una cuota mensual (sin altas ni inversiones) sin obligación de permanencia, y sin desplegar ningún equipo en su sede. Todo se procesa en la propia red.
En definitiva, combinada con otras medidas básicas de seguridad como la actualización de los sistemas operativos y las copias de resguardo y a un coste “pagable”, este tipo de soluciones permite reducir sustancialmente las vulnerabilidades de la red de una PYME y, por tanto, minimizar la posibilidad de un perjuicio económico que amenace su viabilidad.