En el listado de prioridades de una Pyme la seguridad informática no figura en un lugar prominente. Sumergidas en la tarea de sobrevivir, advertir sobre los peligros de un ataque informático parece profano – o, al menos, profundamente separado de la realidad. Sin embargo, la vulnerabilidad existe. Y los ataques, que en muchos casos obligan a paralizar el trabajo o afrontar demandas de dinero ridículamente altas (vía los extorsivos ransomwares), son cada vez más numerosos.
ESPECIAL PARA EL SEGURO EN ACCION.
Por Martín Elizalde, Abogado, Especialista en Investigaciones Informáticas, Titular de Foresenics.
Hace unas semanas, el dueño de esas Pymes me consultó al respecto. En su caso, la necesidad de custodiar este flanco venía de la exigencia de una aseguradora de la que es proveedor. La aseguradora, en definitiva, cuida su propia seguridad, que puede ser afectada por la vulnerabilidad de cada uno de sus proveedores; al final del día, lo que hace es administrar los riesgos provenientes de un tercero. El propietario de la Pyme representa un nuevo tipo de empresario, con una fuerte conciencia de la seguridad, pero con las limitaciones presupuestarias de siempre.
Se me ocurrió entonces que debía ponerse en práctica un programa de mejoras que estuviese al alcance de su firma, no sólo por los costos que generaba su concreción sino por la necesidad de sustentarlo en el tiempo. De lo contrario sería un ejercicio inútil.
Lo más necesario en estos casos es proyectar un documento de seguridad donde consten las buenas prácticas que cada uno de los integrantes de la Pyme debe seguir en esta materia. Desde navegar con seguridad por la web hasta generar contraseñas robustas, pasando por la facultad de monitoreo de esa navegación, denunciar y gestionar incidentes, conducir la información de la empresa solo por los canales correspondientes, tener herramientas y plataformas licenciadas, realizar back ups continuos.
También generar acuerdos de confidencialidad entre los miembros de la empresa y los terceros, sean clientes o proveedores.
Contratar con una Política de Privacidad le da claridad al uso de su web site. Registrar sus bases de datos es cumplir con la Ley – aún en presencia de un órgano de control que no controla.
Pero, fundamentalmente, la clave de la mejora de la seguridad de las Pyme es capacitar a sus miembros y generar una cultura de seguridad informática. Capacitar requiere reiteración, pero no mucho esfuerzo. Las buenas prácticas no se aprenden cuando se enumeran, sólo cuando se repiten.
Sobre todo porque los usuarios internos son la mayor amenaza para la seguridad de la red de una empresa, por lo que no sorprende que el 98% de los ciberataques provengan de la ingeniería social.
También establecer acuerdos de confidencialidad entre los miembros de la organización y con todos los proveedores.
En un mercado cada vez más globalizado, una buena seguridad informática es esencial para ganar clientes nacionales o extranjeros. La Pyme se convierte en un proveedor poco confiable cuando no cuida esa seguridad. La clave es fortalecerla “a medida”, sin que su costo se convierta en una barrera infranqueable.
