1. Debe saber que es vulnerable

“Una pyme tiene que saber que es totalmente vulnerable”, dijo Sabas Casas, vicepresidente para América Latina de la empresa española de ciberseguridad S21sec. Según Casas, una pequeña y mediana empresa debe contar con un sistema de conciencia (awareness) que le permita identificar cuáles son los activos críticos que posee y con esta información ejecutar un plan de acción para asegurarlos.

2. Conocer sus activos

“Todas las empresas, sean pequeñas, medianas o grandes, carecen de conocimiento en por lo menos uno de los siguientes aspectos: endpoint (computadoras, smartphones o terminales de pago), cifrado de datos, awareness, múltiples factores de autenticación y resiliencia”, dijo Noe Espinoza, director de Seguridad de la Información de la compañía mexicana IQsec. 

De acuerdo con el directivo, las pymes tienen que saber exactamente con qué tipo de activos cuentan y las funciones que estos cumplen. Entender conceptos como endpoint, cifrado o resiliencia, que forman parte de la jerga de la ciberseguridad es indispensable para el responsable de seguridad de la información de una pyme. 

3. Saber de ciberhigiene

Las pymes deben capacitar al personal sobre hábitos básicos de ciberhigiene, como validar información y archivos recibidos por correo electrónico o elaborar reportes de incidentes de seguridad. Según Rafael Bucio, director general de TPX Security, existen distintos tipos de capacitaciones según el área de la empresa a la que están destinadas. 

Mientras que los directivos deben conocer el nivel de riesgo al que están expuestos, los empleados deben estar familiarizados con las medidas mínimas de seguridad de la información para los dispositivos y la información a la que tienen acceso.

Las áreas de TI tienen que recibir capacitaciones especializadas, y por tanto, costosas en certificaciones como CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional) o CISM (Certified Information Security Manager). 

4. Conocer el perfil de seguridad de cada usuario

El personal administrativo, de mercadeo o de producción dentro de una pyme requiere un nivel acceso distinto para poder utilizar las tecnologías de la información dentro de la compañía. 

En opinión de Hugo Werner, vicepresidente regional de Akamai para América Latina, los cargos directivos no deben contar con los mismos privilegios de acceso a la infraestructura de tecnologías de la información que un trabajador especializado en esta materia. 

De la misma forma, un trabajador común no debe contar con las mismas credenciales que un oficial ejecutivo. “Cada uno debe tener el acceso suficiente para manejar la información que requiere en sus actividades diarias”, dijo Werner.

5. Conocer el marco regulatorio vigente

El cumplimiento de la regulación oficial vigente en materia de protección de datos es suficiente para que una pyme pueda comenzar a implementar una estrategia de ciberseguridad. 

Sin embargo, de acuerdo con Luis Isselin, director general de Tenable en México, las empresas no cumplen con la Ley de Protección de Datos Personales en Posesión de Particulares porque aún no tienen realmente claro cómo deben reducirse los riesgos de ciberseguridad. Para el directivo, el cumplimiento de esta regulación mexicana se encuentra en “un estado de franca inmadurez”.

6. Tener claro cuál es su “superficie de ataque”

Las pymes deben saber perfectamente cuántos y qué tipo de dispositivos están conectados a la red: desde las PC, laptops y teléfonos inteligentes, hasta dispositivos de IoT, como cámaras, televisores inteligentes, y la infraestructura de red como los servidores y el cableado. 

De acuerdo con el director de Tenable en México, de esta manera, las pymes podrán observar todo lo que ocurre en la superficie tecnológica que está expuesta a un ciberataque y monitorear esta exposición.

7. Saber de gestión del riesgo

De acuerdo con Luis Isselin, la gestión del riesgo se vuelve fundamental en una estrategia de ciberseguridad en una empresa que no tiene los recursos o el tiempo para destinarlo a la ciberseguridad.

La gestión del riesgo es el proceso que evalúa los riesgos a los que está expuesta una organización y a partir de este análisis, esta puede tomar una decisión para controlarlos. 

De esta manera se puede alcanzar un equilibrio entre el costo beneficio y una reducción del impacto que representa un incidente de ciberseguridad para una pyme, que puede ir desde la interrupción del servicio, pérdida de la información, de la reputación o del ingreso.

8. Conocer las herramientas de seguridad disponibles

Las herramientas de seguridad son contramedidas tecnológicas que buscan mitigar los riesgos, minimizando la probabilidad de ocurrencia de una amenaza. 

Para la especialista en seguridad informática de ESET Latinoamérica, Cecilia Pastorino, entre las herramientas más comunes que una pyme puede usar están los antivirus, que protegen proactivamente los equipos y su información contra distintos ataques de códigos maliciosos y los firewalls, que protegen las conexiones entrantes y salientes a Internet de la red de la pyme.

9. Respaldar la información

Para Pastorino, las pymes también deben contar con un respaldo, es decir una copia de los archivos importantes del negocio, con el fin de poder recuperarlos en caso de una pérdida de la información y así impedir que el impacto a la continuidad de la operación de la empresa que todo ciberataque conlleva no se extienda o afecte otras áreas.

10. Respetar los 3 principios básicos: disponibilidad, integridad y confidencialidad

Las pymes deben saber que la disponibilidad, la integridad y la confidencialidad son los tres principios básicos de la seguridad de la información. 

En primer lugar, la disponibilidad hace referencia al hecho de que la información esté disponible para quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Por su parte, la integridad consiste en mantener los datos libres de modificaciones no autorizadas, es decir mantener con exactitud la información tal cual fue generada, sin ser manipulada ni alterada por personas o procesos no autorizados, para salvaguardar la precisión y completitud de los recursos. 

La confidencialidad impide la divulgación de información a individuos, entidades o procesos no autorizados, lo que asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización.

De acuerdo con Cecilia Pastorino, conocer y respetar estos tres principios no sólo garantiza la protección de la información sino que mejora los procesos de la organización, ya que permite contemplar medidas de seguridad que van más allá de la tecnología, como las cuestiones legales y el análisis de riesgos.

rodrigo.riquelme@eleconomista.mx