Historias reales: Plan de seguridad en pymes

Historias reales: Plan de seguridad en pymes

La historia que les contaremos corresponde a un caso real ocurrido en España. Éste nos muestra que tener un plan de riesgos y seguridad puede ser una tremenda oportunidad para obtener un valor diferencial y ganar la competencia. Nos permite ver también que, por el contrario, despreocuparse de la ciberseguridad en una pyme puede ser un gravísimo problema.  Todo depende de las decisiones que la empresa tome para enfrentar el desafío.

La historia la extrajimos del sitio de INCIBE (Instituto Nacional de Ciberseguridad de España). Se encuentra apoyada por un set de 3 videos donde se detallan y explican de una manera notablemente simple y gráfica los principales conceptos y elementos que debe tener en cuenta una empresa de cualquier tamaño para gestionar razonablemente sus riesgos tecnológicos, de continuidad de negocio y de ciberseguridad.

La historia de Lara

Lara es casada, tiene una hija y es gerente de una empresa de distribución de alimentos que fundó su abuelo en el año 1960. Lara es muy buena administradora y se ha visto en la obligación de transformar su negocio, pasando de un modelo tradicional a uno moderno y tecnológico, convirtiéndolo en un referente del sector.

Esta pyme aprovecha las TI (tecnologías de información) para agilizar la gestión y las comunicaciones con sus proveedores y geolocalizar los camiones mientras éstos se encuentran en ruta.

Lara se enteró que una empresa de la competencia sufrió un ciberataque, específicamente un ransomware que le causó graves pérdidas económicas y reputacionales. Tras este incidente, Lara puso urgencia a las medidas para convertir su pyme en una empresa cibersegura.

¿El antivirus y los backups son suficientes?

Lara estaba conciente de la importancia de la ciberseguridad en las pymes, por lo que ya había tomado ciertas medidas, tales como instalar antivirus en todos los computadores de la empresa y realizar copias de seguridad en forma regular. Pero el episodio ocurrido en la empresa competidora hizo ver a Lara que las medidas implantadas no eran suficientes. Por eso, decidió pedirle a su proveedor de servicios tecnológicos una serie de pruebas tendientes a comprobar si podrían resistir un ciberataque. La respuesta de su proveedor fue un rotundo NO. Para poder hacer frente de manera razonable a un ciberataque, sería necesario invertir una gran cantidad de recursos, tanto económicos como  humanos, para poder recuperarse. Un incidente de seguridad podría afectar gravemente a la continuidad del negocio.

¿Cómo mejorar la ciberseguridad de las pymes?

Con esta premisa en mente, los encargados de los distintos departamentos de la pyme de Lara mantuvieron reuniones, para identificar las áreas dónde se debía mejorar. Pero Lara era conciente que para tener buenos resultados debía contar con un enfoque especialista y organizado, por lo que decidió contratar una consultoría externa.

Plan director de seguridad (PDS)

La empresa consultora realizó sus análisis y elaboró un informe detallado que permitió contestar 2 preguntas: 1) en qué punto se encontraba la empresa y 2) hacia dónde querían llegar, en cuanto a ciberseguridad. A partir de este informe se pudo establecer lo que se llama Plan Director de Seguridad o PDS.

Este PDS permitirá a la pyme de Lara (y a cualquier empresa, en general) fortalecer su gestión de ciberseguridad ya que:

  1. Registra explícitamente las prioridades.
  2. Contiene una estructura ordenada y práctica.
  3. Identifica los procesos críticos de la empresa, es decir, aquéllos que deben ejecutarse sí o sí, porque de modo contrario, podrían dejar la empresa paralizada.

Siguiendo la hoja de ruta trazada por el Plan Director de Seguridad, la pyme elaboró un inventario de activos, con el objeto de identificar las principales amenazas y riesgos a los que estaban expuestos.

Fue necesario establecer objetivos de corto, mediano y largo plazo. No se podían implementar todas las mejoras de una vez, debido a los costos económicos y los recursos humanos y materiales involucrados. De ese modo, se implantaron en primer lugar las medidas más sencillas, pero de mayor impacto para la seguridad. Luego, se estableció la aplicación de las medidas más críticas, de acuerdo a los objetivos y procesos estratégicos de la empresa, como por ejemplo, proteger el sitio web.

Finalmente, la pyme de Lara quedó razonablemente protegida y la inversión en ciberseguridad que realizó marca la diferencia entre superar un incidente de seguridad y sucumbir frente a éste.

¡Sé inteligente, sigue los pasos de Lara, asesórate por consultores serios y especialistas e implementa un Plan Director de Seguridad en tu empresa!

Si quieres un poco más de detalle de esta historia, te recomendamos ver los 3 videos siguientes. Están hechos en lenguaje simple y explican muy bien cómo enfocar la gestión de riesgos y de ciberseguridad. El primero dura poco más de 5 minutos y los otros 2, un poco más de 1 minuto cada uno.

Fuente: Instituto de Ciberseguridad de España.