Cada día escuchamos de forma más frecuente noticias sobre ciberataques, o alguien conocido nos platica sobre alguna experiencia en su empresa; sin embargo, como en otros temas, pensamos que en nuestro negocio no puede pasarnos nada ya que somos una empresa pequeña o mediana, de perfil discreto que nadie buscará afectar o atacar.

Realmente podemos correr con suerte y no ser atacados, pero la realidad es que cada vez hay más ataques dirigidos a las PyMES, según el reporte de seguridad de Symantec de 2016 el 65% de los ciberataques a nivel global van dirigidos a las PyMES.

¿Por qué hay un número tan grande de ataques a las PyMES? Sencillo, al igual que los delincuentes tradicionales, los ciberdelincuentes buscan obtener beneficios de la forma más sencilla y rápida; por lo que es mucho más fácil atacar empresas poco protegidas y con un bajo nivel de conciencia en ciberseguridad que a los grandes corporativos con complejos sistemas de seguridad y regulaciones que los auditan constantemente.

Entonces ¿qué puedo hacer para proteger mi PyME? Para empezar, debemos identificar cuáles son los procesos críticos de mi negocio que utilizan o son dependientes de tecnología. Para esto debemos tomar en cuenta todas las áreas de la empresa, ya que en ocasiones hay procesos que no son tan conocidos por todos y si se ven afectados pueden dañar gravemente a la compañía.

>>> EN ARAME SOMOS EXPERTOS EN REDUCIR RIESGOS DIGITALES, CONÓCENOS<<<

Una vez identificados estos procesos debemos enfocarnos en tres ejes para estar preparados: infraestructura, procesos y personal.

A nivel de infraestructura se debe identificar qué tecnología soporta esta operación; ésta deberá ser considerada como prioritaria para ser protegida de ciberataques y con esto reducir los riesgos de una posible interrupción en la operación. Al considerar esto debemos tener presente cuanto tiempo podemos prescindir de su funcionamiento sin un impacto considerable, esto nos dará un parámetro para saber qué estrategia seguir para poder protegerla y recuperarla; no será lo mismo que nos dejen sin funcionar nuestro portal de comercio electrónico -que transacciona el 60% de nuestras ventas-, que el sistema de control de empleados. La inversión en la protección y recuperación de la infraestructura deberá ser proporcional al impacto que genere el que quedemos sin poder utilizarla.

Tenemos que tener documentados los procesos de seguridad respectivos, y el que hacer en caso de contingencia; con esto reducimos riesgos relativos a fallas en la operación u omisiones en el uso de la tecnología. En el caso de una contingencia todos los involucrados deberán saber como reaccionar y qué acciones tomar.

El personal es regularmente el punto de entrada para los ciberdelincuentes, quienes se aprovechan de su falta de conocimiento para hacerlos caer en engaños e iniciar los ataques. En la actualidad hemos encontrado ataques dirigidos a PyMES, esto significa que han sido monitoreados y estudiados por algún tiempo para poder cometer los delitos; por ejemplo, conocen quienes son los responsables de los pagos, fechas de pagos, proveedores frecuentes, montos e incluso el lenguaje para solicitar los pagos y el procedimiento involucrado; con esta información son capaces de solicitar pagos a cuentas en otros países y roban el dinero de la empresa.

Trabajando en estos tres ejes podemos ayudar a mitigar los riesgos de un ciberdelito en nuestro negocio. Es difícil estar preparado al 100% de forma inmediata por lo que se recomienda seguir un programa evolutivo y apegarse a algún estándar de la industria.

Mi recomendación de modelo evolutivo consta de 4 etapas:

**Identificación de amenazas

**Análisis y monitoreo

**Riesgos Tecnológicos

**Riesgos de Negocio

Identificación de amenazas. Una vez que identificamos la infraestructura de TI que soporta los procesos críticos del negocio, debemos trabajar en cómo identifico las amenazas que puedan afectarme; esto puede ser por medio de herramientas de seguridad, procesos operativos y de personal capacitado, por ejemplo -regresando al portal de comercio electrónico de la compañía- podemos implementar herramientas de protección del servidor que lo mantenga a salvo de ataques de malware y ransomware, desde las cuales veremos qué tipo de ataques nos están llegando y con qué frecuencia; a nivel de procesos debemos trabajar en mantener una práctica de parcheo y actualizaciones en el equipo que lo mantengan en un riesgo bajo, y a nivel del personal debemos de cuidar que no se esté usando el equipo para otros fines o se esten haciendo descargas en el mismo. Teniendo identificadas las amenazas podremos empezar a ser proactivos.

Análisis y monitoreo. Si ya tengo identificadas las amenazas que están tratando de afectar mi negocio puedo empezar a analizarlas y obtener información específica que me lleve a tomar acciones preventivas que reduzcan mis riesgos.

Riesgos Tecnológicos. Si tengo identificadas y monitoreadas las amenazas que pueden afectarme ahora es importante clasificar los activos tecnológicos de mi negocio, esto me dará como resultado invertir de una forma más eficiente en la protección de la infraestructura que soporta los procesos más sensibles del negocio. En este nivel de madurez deberemos definir métricas sobre el estado de seguridad de la infraestructura de TI considerando su nivel de criticidad.

Riesgos de Negocio. Si tengo identificada la infraestructura que soporta los procesos críticos del negocio, ahora debemos identificar cómo puede afectar al negocio un incidente en esta. Es decir, a qué tipo de riesgos nos enfrentamos (pérdida de la continuidad de la operación, pérdida financiera, pérdida de ventaja competitiva, procesos legales, daños de imagen o reputación, compliance) y cuantificar cuál sería la afectación. Debemos definir indicadores cuantitativos sobre los riesgos del negocio respecto a un ciberataque y así podremos dar al negocio un estado sobre el nivel de riesgo en el que se encuentra.

>>> CONTACTA A NUESTROS EXPERTOS EN SEGURIDAD INFORMÁTICA<<<

Para iniciar en el tema, si no se tiene experiencia, es recomendable asesoría de un tercero para identificar los procesos de negocio mediante una consultoría de BIA (Business Impact Analysis) y assessment sobre el estado de seguridad del negocio en lo que respecta a la parte tecnológica, posteriormente se puede crear un comité interno de seguridad con gente de diferentes áreas de la empresa que sean los responsables sobre el rumbo de la seguridad y definir quienes serán los responsables operativos de la misma, en caso de no contar con personal suficiente o capacitado se puede recurrir a terceros que brinden servicios administrados de seguridad que se hagan cargo de parte o de la totalidad de la operación de la seguridad de la empresa.

Finalmente, en caso de ser víctimas de un ciberdelito, ningún mecanismo elimina los riegos al 100%, es importante contar con la asesoría de un experto que nos ayude a identificar el origen y consecuencias y que en determinado momento nos ayude a fincar las responsabilidades derivadas del mismo.

 

Escrito por Luis Adrián Gómez, CEO Arame