En Chile las Pymes han tenido que ser resilientes (un término muy en boga en el último tiempo), ya que debieron enfrentar el estallido social de 2019. En diciembre del año pasado Portal Pyme hizo una encuesta y el 47% de las Pymes creía que su negocio no sobrevivirá más de un año.
Hoy el panorama es más aterrador, pandemia mundial declarada. En Chile, las Mipyme corresponden al 98,5% del total de empresas y generan cerca de la mitad del empleo formal en la economía. Por ende, la ciberseguridad es muy importante. Personalmente, pienso que es, incluso, más fundamental que en una empresa grande, ya que todo es más simplificado y reducido y, la mayoría de las veces, la información confidencial y estratégica se encuentra en los computadores personales de cada colaborador.
Recuerdo una experiencia de una Pyme de la minería que me tocó visitar y manejaba un negocio muy importante y grande en facturación, pero desconocido para los que no son del sector. El punto es que una vez les habían robado información sobre una licitación y cuando los visité, les pregunté si tenían algún dominio de red, si tenían antivirus, sistema operativo licenciado, etc., la mayoría de las respuestas fue “no”. Ni siquiera tenían computadores personales corporativos; todos ocupaban sus laptops y celulares personales. A mi juicio, esto no tenía explicación, sin embargo, muchas veces las empresas piensan que no es necesario invertir en más tecnología y ciberseguridad, por razones como que el negocio no es conocido; como son pocos colaboradores no es necesario; o hasta el momento no ha pasado nada. Todas esas acepciones son falsas, hay que olvidarse del viejo paradigma de que “mi empresa por el tamaño o rubro no es foco para los cibercriminales”, todos los estudios actuales indican que eso es una falacia, los cibercriminales son Millennials y, como los de su generación, quieren resultados rápidos con poco esfuerzo. Por ende, la mayoría de las nuevas amenazas son masivas y los que caen no eran el objetivo inicial, pero no estaban preparados, o sea, no habían invertido en tecnología y ciberseguridad.
En la actualidad, lamentablemente el cibercrimen ha aumentado a cifras sin precedentes, y la razón es simple: en este tipo de situaciones es cuando las personas somos más abiertas a ayudar o por la preocupación de la contingencia actual no estamos 100% concentradas en lo que hacemos o estamos en una situación de más “despreocupación”. Si a esto sumamos la realidad de la mayoría, que es trabajar desde su casa, el panorama empeora desde el punto de vista de la ciberseguridad. En el Security Cyberoperation Center (SCC) de España y con la plataforma Cyberthreats se realiza una guía de riesgos y recomendaciones de ciberseguridad en pandemia. Queda claro que no importa el tamaño ni el sector, todas las empresas deben tener conciencia del riesgo potencial que supone el día a día en su trabajo, ya sea porque están tratando con datos personales de colaboradores o data importante de clientes, mediante el simple movimiento de información a través los dispositivos móviles o de los computadores. Y la única forma de proteger toda esta información es realizar una mayor inversión en seguridad digital. Esto se ha visto demostrado, ya que solo en estos últimos meses las Pymes han sido muy afectadas a raíz del aumento del cibercrimen.
Como dice Chema y yo lo repito en mis charlas, debemos preocuparnos de los “basics de seguridad”, es decir, de los fundamentos.
Para terminar, les dejo algunas recomendaciones que deben tomar las Mipyme respecto a la ciberseguridad:
1. Evitar usar sistemas operativos o software copiado y crackeado (pirata). Existen otras opciones open source gratis y legales.
2. Instalar (open source) o adquirir plataforma y software básicos para implementar controles de ciberseguridad, como firewall, Proxy, antispam, IPS, antivirus, DLP, etc. (escuchar podcast: Cómo implementar ciberseguridad de bajo costo en https://bit.ly/2ZuzDIl).
3. Instalar parches de seguridad en sistemas operativos y aplicaciones, sobre todo aplicaciones de ofimática, ya sean licenciadas u open source.
4. Implementar redes Wi-Fi con algún protocolo de seguridad, por lo menos usar WPA2.
5. Implementar gestión centralizada de usuarios a través de un dominio de red con usuarios nombrados o, en su defecto, compartir la información de manera controlada y perfilada.
6. Compartir la información y accesos a esta con los colaboradores, de acuerdo con el principio del menor privilegio requerido para el rol. Esto quiere decir solo el acceso necesario para cumplir con su trabajo.
7. Realizar revisiones de ciberseguridad, escaneos de puertos, escaneo de vulnerabilidades (Vamps), Pentest Web (Faast), etc.
8. Proteger todas las credenciales digitales con un 2° factor de autenticación como Latch, que es gratis para uso personal y hasta 50 usuarios.
9. Tener un set mínimo de políticas, procedimientos y estándares de ciberseguridad que permitan implementar los puntos anteriores y hacer cumplir un mínimo nivel de seguridad por parte de los colaboradores.
10. Como parte de la nueva estrategia de poner bastante foco en los clientes de Mipymes, hemos estado trabajando en un nuevo portal web en el que los clientes podrán rellenar un cuestionario con el que puedan obtener una valoración rápida del nivel de seguridad de su empresa, así como una serie de recomendaciones de cómo mejorarla. Muy pronto lanzaremos este cuestionario.
Mayor información en http://www.elevenpaths.com/es/index.html
Sin duda, debemos preocuparnos por las Mipymes, por la gran importancia que tienen para la economía global.
