Hazlo por ti y por tus clientes
El papel de las PYMES en el tejido empresarial es crítico para el buen funcionamiento de cualquier sector de la sociedad. En su esfuerzo por prestar sus servicios a menudo se enfrentan a dificultades que deben abordar utilizando, en muchas ocasiones, medios limitados.
A estas dificultades se unen otras, ligadas a la ciberseguridad.
Dificultades que no solo afectan a sus propias operativas de negocio sino también a las de aquellos a los que prestan servicios. Por eso, su relevancia es si cabe más importante.
En una entrada anterior de este blog, hablábamos del papel que las PYMES juegan en la cadena de suministros y cómo el 80% de las empresas que gestionan múltiples proveedores han sufrido algún tipo de ciberataque.
En este escenario, resultará útil enumerar algunas directrices que toda PYME puede seguir para contribuir a la seguridad de sus clientes cuando actúan como proveedores y que muy posiblemente atenuarán los riesgos del conjunto del servicio.
Recomendaciones básicas
Se trata de recomendaciones básicas, a modo casi de titular, que pueden ser adoptadas por cualquier PYME. Solo hay que pensar un poco en cómo implementarlas.
Esperamos que sean de utilidad. Ahí van.
No todos los sistemas y datos son de igual importancia
Con el creciente número de vulnerabilidades y amenazas que surgen en torno a los sistemas tecnológicos, proteger todo, y a todos, no es una opción viable. Y menos aún para las pequeñas empresas.
La limitación de recursos dedicados a la ciberseguridad es un hecho. Por tanto, resulta más útil categorizar los activos de la compañía —sean estos datos, equipamientos o servicios— y focalizar la protección en aquellos que resulten críticos. Por ejemplo, definir privilegios y controles de acceso a esos recursos puede resultar una actividad razonablemente asumible.
Los intercambios de información son críticos
La comunicación con otras compañías —actuando como proveedor o simplemente como cliente final— son de una importancia vital en las relaciones comerciales.
Cualquier intercambio de información o conexión entre sistemas remotos debe estar debidamente protegida y debería ser periódicamente auditada para evitar usos que puedan llevar a daños irreparables a uno y otro lado.
Tecnología, personas y procesos
La ciberseguridad no solo se implementa con tecnología; igualmente importantes son las personas y los procesos. La definición clara de actividades y procedimientos de actuación es indispensable para el correcto funcionamiento de la compañía.
Estos procesos deben tener en cuenta los aspectos de ciberseguridad asociados a su ejecución. En ocasiones se trata de simples controles y autorizaciones, en otras son más complejos como el despliegue de herramientas tecnológicas para lo cual hay que disponer de recursos cualificados.
Concienciación, concienciación y más concienciación
Los empleados juegan un papel clave en el funcionamiento de una PYME y tienen una responsabilidad sobre el impacto de sus acciones en terceras partes. Por eso, su concienciación en aspectos de ciberseguridad resulta fundamental.
Bastaría con impartir algunas sesiones básicas sobre prácticas seguras en el uso de recursos. Esto no excluye otras medidas tecnológicas como, por ejemplo, la definición de identificadores de usuarios únicos y, sobre todo, diferenciar distintos roles dentro de la compañía. Por ejemplo, el uso de contraseñas robustas, preferiblemente con soporte de doble autenticación (MFA), resulta indispensable.
Los ciberataques son inevitables
Como PYME, el foco no debe estar solo en prevenir la ocurrencia de un ciberataque sino también en cómo mitigar sus consecuencias.
La resiliencia es una característica fundamental cuando se forma parte de una cadena de suministros. Así pues, las mitigaciones deben estar dirigidas —entre otras cosas— a la recuperación de la operatividad.
Auditorías periódicas
Finalmente, será de enorme utilidad la revisión periódica de las medidas de ciberseguridad adoptadas.
La autocomplacencia respecto a lo implantado no es una buena opción en ningún caso. Una auditoría independiente que incluya, por ejemplo, actividades de pentesting, puede ser una acción asumible para una PYME.
PYMES, ¿eslabón débil?
En definitiva, el papel de las PYMES en la ciberseguridad de sus clientes es vital cuando entran a formar parte de las cadenas de suministros. Proteger ese eslabón de la cadena aportará valor al producto o al servicio que proporcionan.
El uso de herramientas tecnológicas será de enorme utilidad, aunque también existen otras posibilidades ligadas a procesos y normas de actuación que sumadas pueden hacer que el resultado para todos sea mucho más satisfactorio.
