La prevención de riesgos cibernéticos, un aspecto crucial para la supervivencia de las pymes

El 8 de octubre, la sede de Cepyme en Madrid ha acogido el acto de presentación de la guía ‘Ciberriesgos: su impacto en las pymes. Prevenir, mitigar, recuperar’, una iniciativa encabezada por las entidades Cepreven, Cepyme y Unespa que busca ayudar a prevenir y a gestionar este tipo de riesgos. A lo largo de la jornada han intervenido Alberto Hernández Moreno, director general del Instituto Nacional de Seguridad (Incibe), Gerardo Cuerva, vicepresidente de Cepyme, Pilar González de Frutos, presidenta de Unespa, María Teresa Gómez Condado, directora general de Ametic, y Jon Michelena, director general de Cepreven, además de tres expertos en seguridad digital de aseguradoras asociadas a Unespa: Iratxe San Pedro (Mapfre), Amparo Zabala (Zurich) y Juan Madrid (Chubb).

En primer lugar, Gerardo Cuerva, vicepresidente de Cepyme, Confederación Española de la Pequeña y Mediana Empresa, recordaba que el crecimiento de cualquier compañía debe pasar por la eficiencia y por la competitividad, siendo imprescindible para esto último el uso de las nuevas herramientas digitales disponibles en el mercado. Pero esta gran ventaja que ofrece el empleo de las nuevas soluciones también supone un riesgo, ya que pueden abrir la “ventana de la ciberdelincuencia”. De hecho, según los datos que maneja Cepyme, el 53% de las pymes españolas sufrieron en 2017 algún ciberataque, bien como objetivos directos o como puntos de acceso para ataques más amplios.

Foto de familia previa a la presentación. Desde la izquierda: Pilar González de Frutos, presidenta de Unespa; Alberto Hernández Moreno, director general de Incibe; Gerardo Cuerva, vicepresidente de Cepyme; y Mª Teresa Gómez, directora general de Ametic.

Para paliar este riesgo es fundamental seguir una serie de pautas, las cuales han sido recopiladas en la nueva guía ‘Ciberriesgos: su impacto en las pymes. Prevenir, mitigar, recuperar’, publicada por Cepreven, Cepyme y Unespa. Este documento es un compendio de buenas prácticas que permitirá a las empresas conocer cómo enfrentarse a los riesgos y protegerse ante incidentes cibernéticos, minimizar su impacto, garantizar la recuperación de aquello que haya podido resultar dañado y, principalmente, asegurar la continuidad del negocio tras un ataque. Cualquier compañía, independientemente de su tamaño y de la actividad que realice, puede tomar medidas para protegerse de problemas cibernéticos y, así, preservar su competitividad y supervivencia.

Como complemento a la guía se ha elaborado también un decálogo con consejos sencillos de ciberseguridad para pequeñas y medianas empresas. Estas medidas permiten proteger cualquier negocio de ataques e incidentes cibernéticos, sin tener que realizar grandes inversiones.

Alberto Hernández Moreno, director general del Instituto Nacional de Seguridad (Incibe), profundizaba en la doble cara que ofrece la tecnología: una gran ventaja a la hora de ganar en competitividad pero un serio riesgo al hacer que los negocios sean más vulnerables respecto a un posible ciberataque. Internet ha creado un espacio global, donde a día de hoy están conectados más de 3.600 millones de internautas (la mitad de la población mundial) y en unos años está previsto que este porcentaje se eleve hasta el 80%. Internet aporta rapidez y eficiencia pero también supone anonimato, hetereogeneidad y asimetría. En definitiva, un ámbito de actuación muy atractivo para grupos criminales. “La tecnología siempre será vulnerable, nunca se alcanzará la seguridad al 100%”, aseguraba Alberto Hernández.

Los ataques cibernéticos se están expandiendo a una velocidad de vértigo. Incibe gestionó ya el pasado año más de 123.000 incidentes relacionados con la ciberseguridad tanto en empresas como en particulares, cuando hace cuatro años, en 2014, apenas se trataron 18.000.

Cada día, el Instituto Nacional de Seguridad detecta entre 20.000 y 40.000 redes infectadas, muchas de las cuales pueden finalmente subsanar estos ciberataques. Una amenaza que es claramente internacional ya que las organizaciones criminales pueden estar operando desde cualquier parte del mundo, lo que exige una colaboración y un continuo intercambio de información entre todas las entidades que se encargan de proteger la seguridad en el ciberespacio.

Como conclusión a su intervención, Alberto Hernández recordaba que para evitar los riesgos no hay mejor medicina que la prevención, concienciar a todos los agentes, ya sean directivos, trabajadores o particulares, de la importancia de tomar medidas que eviten estos ciberataques.

De la cada vez mayor magnitud que irá cogiendo el problema de la ciberseguridad dio buena cuenta Pilar González de Frutos, presidenta de Unespa, Asociación Empresarial del Seguro, quien señalaba que los riesgos que se vislumban ahora no son más que “una joroba de una gran ballena blanca”. “Sentimos la presencia de este riesgo, acaso alguna vez lo hemos llegado a vislumbrar, pero no hemos visto aún su fuerza desatada, ante la cual, hoy por hoy, nos resguardamos siguiendo poco más que nuestra intuición y nuestro sentido común”, decía.

Estos son riesgos de “nueva hornada” de los que todos, tanto empresarios como aseguradores, están aprendiendo haciendo camino. De hecho, el primer seguro contra riesgos cibernéticos del mundo se emitió en Londres hace apenas una década.

Y frente al desconocimiento que existe ante un fenómeno tan reciente como es la ciberdelincuencia es fundamental la información, con iniciativas como la nueva guía para prevenir los riesgos, la cual nace, como recordaba la presidenta de Unespa, dentro de la campaña de divulgación de la cultura aseguradora llamada ‘Estamos seguros’ que abandera Unespa y con la que colaboran cada vez más actores institucionales.

Esta guía es además la primera iniciativa conjunta que ponen en marcha Cepyme y Unespa desde que el pasado verano firmaron un convenio para fomentar las prácticas de prevención entre las pymes españolas, y se incardina con el Plan Nacional de Educación Financiera del que tanto Cepyme como Unespa son colaboradores.

Durante su intervención Pilar González de Frutos recordaba también que los riesgos cibernéticos no son un problema exclusivo de las grandes multinacionales (una pyme también puede ser objeto de un incidente informático, desde dentro o desde fuera de la organización), y que buena prueba de la creciente preocupación que causa este problema en las compañías es que quienes supervisan ahora, en su gran mayoría, los planes de contingencia ante riesgos cibernéticos son los propios consejeros delegados (en dos de cada tres empresas españolas, el primer ejecutivo de la compañía ha asumido entre sus labores diarias la supervisión de la estrategia de seguridad cibernética).

Estamos claramente ante un problema de consecuencias impredecibles. De hecho, según el estudio de una prestigiosa agencia de calificación crediticia publicado el pasado mes de mayo, en EE UU ya se produjeron 9.017 reclamaciones ligadas a percances cibernéticos en 2017, un 50% más que en 2016.

“No se debe subestimar nunca la posibilidad de que surja un cisne negro, es decir acontecimientos inesperados y de enormes consecuencias que, a posteriori, se apostillan con un ‘se veía venir’. Sí, se veía venir pero nadie lo vio”, concluía la presidenta de Unespa, no sin antes recordar que las aseguradoras necesitan información de calidad para calcular correctamente la probabilidad de riesgo. Es decir, se necesita aún más experiencia en esta materia.

Los riesgos que se vislumban ahora no son más que “una joroba de una gran ballena blanca”, decía Pilar González de Frutos, presidenta de Unespa

A continuación, María Teresa Gómez Condado, directora general de Ametic, Asociación Multisectorial de Empresas de Tecnologías de la Información, Comunicaciones y Electrónica, resaltaba que aunque la ciberseguridad es un asunto que nos concierne a todos, sí es cierto que en el caso de las pymes requiere una concienciación especial. En primer lugar, por la falta de tiempo y, en muchas ocasiones, de recursos económicos que caracteriza a estos empresarios. Y en segundo lugar por la falta de concienciación que tienen sobre el interés que ofrece su información para los piratas informáticos, cuando realmente “el dato es el oro del siglo XXI”, señalaba.

De hecho, actualmente el 50% de los ciberataques se dirigen a pymes, las cuales suelen trabajar con sistemas más abiertos y vulnerables, están presentes habitualmente en redes sociales (la mitad de las pymes tiene activo algún perfil) y muchos de sus servicios están en la nube.

Según Ametic, el coste medio de un ciberataque a una pyme es de 77.000 dólares, a lo que habría que sumar otros perjuicios como el deterioro de la marca o el tiempo que debe emplear esa compañía para recuperarse del ataque.

Como conclusión, en materia de ciberseguridad, María Teresa Gómez Condado daba una serie de recomendaciones a todas las pymes:

1. Toda empresa tiene que tener una instalación de ciberseguridad, con medidas preventivas que ya existen en el mercado e intentando contar con profesionales especializados y cualificados (algo muy complicado debido a la gran demanda que existe en el mercado laboral de este perfil profesional).
2. Hay que tener siempre identificados los riesgos de acuerdo a las diferentes características del negocio.
3. Hay que saber qué hacer cuando se produce un ciberataque y no entrar en una situación de pánico.
4. La ciberseguridad supone también una oportunidad de posicionamiento y de ventaja competitiva. Asegurando sus servicios la empresa se ganará la confianza del cliente.

Para describir las diferentes partes con las que cuenta la guía ‘Ciberriesgos: su impacto en las pymes. Prevenir, mitigar, recuperar’, se contó con la presencia de Jon Michelena, director general de Cepreven, Asociación de Investigación para la Seguridad de Vidas y Bienes.

Intervención de Jon Michelena, director general de Cepreven, Asociación de Investigación para la Seguridad de Vidas y Bienes.

El usuario de esta guía podrá encontrar en ella un conjunto de buenas prácticas para proteger su empresa de incidentes cibernéticos, minimizar su impacto, garantizar la recuperación de aquello que haya resultado dañado y asegurar la continuidad de su negocio. El documento está estructurado en varios apartados que quieren dar respuesta a diferentes dudas o preguntas: ¿Está mi empresa expuesta a riesgos cibernéticos?, Si sufro un incidente o ataque, ¿cómo afectará a mi empresa?, ¿Qué debo hacer en caso de sufrir un ataque cibernético?, ¿Cómo la protejo?, ¿Me proporciona el seguro cobertura de ciberriesgos?. La guía termina con una sección de preguntas frecuentes cuyas respuestas ponen algo de luz a procesos y conceptos que son muy nuevos en nuestro vocabulario: crypotlockers, ransomwares, malwares, etc.

Jon Michelena iba un paso más allá al señalar que la pregunta no debe ser tanto si la empresa está expuesta a riesgos cibernéticos sino más bien cuándo va a sufrir un ataque cibernético, porque es una “cuestión de tiempo” que esto ocurra. En este sentido, ante esta concienciación de vulnerabilidad, las empresas deben protegerse con todas las medidas que estén a su alcance, incluyendo la contratación de un seguro que cubra los riesgos cibernéticos.

Y cuando se produzca el ataque, en todos los casos lo primero que hay que hacer es denunciarlo ante los poderes públicos (presentar una denuncia y notificar el incidente) y contactar con la aseguradora para recibir asesoramiento especializado.

Respecto a cómo proteger una empresa, la guía propone una política de actuación basada en tres pilares: Factores humanos y organizativos (seguridad del acceso físico y remoto, concienciación del personal de la empresa, socios y colaboradores, y actualización constante de programas), Herramientas de protección (antivirus, cortafuegos, herramienas de filtrado y herramientas de detección del comportamiento) y Capacidad de gestión de crisis: herramientas de risilencia (copias de seguridad y plan de continuidad del negocio).

La nueva guía se complementa con un ‘Decálogo de buenas prácticas de ciberseguridad para pymes’, con diez recomendaciones básicas que pueden aplicar las pequeñas y medianas empresas sin experiencia en ciberseguridad para proteger sus negocios de ataques e incidentes cibernéticos, sin tener que realizar grandes inversiones ni contratar a técnicos especializados.

1. Defina y aplique una política de ciberseguridad (en base a un análisis de riesgos).
2. Asegure y proteja sus datos e información (copias de seguridad, actualización constante de los programas…).
3. Utilice las redes de forma segura (uso de wifi fiable, empleo de contraseñas fuertes, cambio periódico de estas contraseñas…).
4. Protéjase contra el malware o código malicioso (actualización de antivirus y antispyware, entre otras medidas).
5. Utilice el correo electrónico de forma segura (la mayoría de los ciberataques vienen a través de email).
6. Asegure el acceso remoto y físico a sistemas y equipos (establecer una política muy clara entre los trabajadores de la empresa).
7. Proteja los dispositivos móviles y la información que contienen (evitar llevar información sensible de la empresa en estos dispositivos).
8. Mantenga sus aplicaciones actualizadas (incluye todo el software que utilice la compañía).
9. Diseñe y ponga en práctica un plan de respuesta a incidentes (para reaccionar rápidamente ante cualquier ataque y garantizar la continuidad del negocio).
10. Conciencie, informe y forme a todo el personal de la compañía (todo el personal debe conocer las responsabilidades y la forma de proceder en caso de un ataque cibernético).

“Un ataque cibernético puede dejar fuera de mercado a una empresa”, señalaba Juan Madrid, de la entidad aseguradora Chubb

La jornada concluyó con una mesa redonda titulada ‘Gestión y mitigación de los riesgos cibernéticos: visión del sector asegurador’, moderada por Antonio Guardiola Martínez, responsable de Seguros Patrimoniales, Responsabilidad Civil y Transportes de Unespa, e integrada por Iratxe San Pedro, subdirectora del Área de Responsabilidad Civil en Mapfre, Amparo Zabala, responsable de Riesgos Cibernéticos en Zurich, y Juan Madrid, liabilities manager para España y Portugal en Chubb. Algunas de las conclusiones que se extrajeron de las diferentes intervenciones fueron:

• Que la tecnología sea accesible para todo el mundo supone una ventaja pero también riesgos.
• Cualquier empresa, ya sea una multinacional o una pyme, puede sufrir un ciberataque (de hecho el 95% de los ataques van dirigidos a pymes y particulares).
• Todos los integrantes de una empresa, ya sean directivos, empleados, personal en práctica e incluso subcontratas, deben involucrarse en la prevención.
• Todos los departamentos deben trabajar en materia de prevención, no solo el de Informática.
• Aunque se subcontrate el servicio esto no exime a las empresas de su responsabilidad.
• La nueva Ley de Protección de Datos ha establecido criterios de protección más exhaustivos y también sanciones más cuantiosas.
• Existe aún poca experiencia en materia de seguros frente a riesgos cibernéticos.
• Por los casos reales que se expusieron, estos incidentes cibernéticos pueden suponer grandes costes económicos a las empresas (hasta 200.000 euros), a lo que hay que sumar un deterioro de la imagen de la empresa y de la confianza de los clientes.
• Un ataque cibernético puede dejar fuera de mercado a una empresa.
• Ya hay en el mercado soluciones aseguradoras complementarias y especializadas para paliar los daños causados por un ciberataque.
• El ciberriesgo acabará calando en todas las polizas de seguro (el volumen de primas de ciberseguridad se multiplicará por diez en los cuatro próximos años).
• Las aseguradoras deben realizar también un servicio pre-incidente, de acompañamiento y asesoramiento al cliente desde el inicio.