Hace unos días se puso en contacto con nosotros un pequeño empresario, preocupado por su negocio. Le habían «encriptado el portátil» y le pedían un rescate.
Por desgracia, y aunque siempre quedan los que creen eso de «a mí no me va a pasar», cada vez son más cotidianas estas llamadas de socorro. Ya van unas cuantas situaciones similares o idénticas que hemos visto y que no dependen del tamaño de las organizaciones.
El protagonista de nuestra historia estaba destrozado. Buena parte de su empresa estaba en su portátil. Tenía pánico… lógico. El impacto y el enorme daño que supone para microempresas y pymes un incidente de este tipo es enorme. La ciberseguridad no es sólo una cuestión de las las grandes compañías, y los incidentes de ciberseguridad tampoco lo son. Obvio, lo sabemos, pero no está de más recordarlo.
Todos conocemos los ataques que han sufrido grandes corporaciones – y que siguen sufriendo a diario – y que les hace soportar al menos un daño reputacional y de confianza relevante, pero no les impiden seguir ahí.
Nuestro protagonista tenía un riesgo mayor. Podía perder su negocio, su medio de vida actual . Lo que es seguro, es que lamentablemente ya ha perdido y va a perder dinero al no poder desarrollar su actividad normalmente durante un tiempo. Y pensé en su situación.
Cada vez que se presenta un caso de este tipo, nos hace pensar en cada situación.
Hablamos con nuestro ahora cliente. Es un excelente profesional en su ámbito, con una empresa pequeña, reconocida en el sector por su calidad. Le preguntamos sobre las medidas de seguridad que tiene en sus sistemas de información. Su respuesta, en medio de la desesperación … “esto lo tengo todo en manos de mi informático de confianza, yo soy un experto en …..”.
No hace falta más que echar un vistazo a la prensa a diario para ver noticias que dan una idea del grado de exposición que todos tenemos a los riesgos de ciberseguridad y del impacto que tiene una mala adecuación o carecer de una mínima protección de nuestro ecosistema de negocio a unos riesgos que están ahí, nos guste o no.
El cibercriminal ya no es un muchacho gamberrete con la gorra del revés en un cuarto lleno de videojuegos, equipos y pantallas repletas de líneas de comando.
El cibercrimen se ha convertido en una actividad delictiva que tiene una planificación en sus actuaciones y un plan de negocio, de actividad, inversión y retorno de inversión, y que en este momento mueve ya cifras a nivel mundial similares o superiores al narcotráfico, Informes de empresas especializadas del sector nos dicen que en España están dirigidos, en un 70% de los casos, a pequeñas y medianas empresas, en buena medida con extorsión detrás de cada uno y sin «medir» el daño.
Desde nuestro humilde punto de vista el primer riesgo a mitigar es el conocimiento de base. No hablamos de conocimiento experto, nos referimos a concienciación, a consciencia, que uno mismo y las compañías seamos conscientes del grado de exposición que tenemos y decidir en consecuencia. Conocer lo que implica – basta con un orden de magnitud – en nuestro negocio un incidente de ciberseguridad antes de que ocurra. Después no siempre es tarde, pero seguro que es peor, y más caro.
Hoy nos gustaría compartir algunos consejos, puntos básicos, de pensar un instante, sin tirar de normas ISO ni legislación aplicable, pero sí intentando poner sentido común:
- Piensa en cuanto valoras la información que tienes en tu entorno digital, su disponibilidad y su accesibilidad (servidores, servicios web, almacenamiento, portátil, móvil, sistemas productivos, etc)
- Piensa cuanto te puedes permitir, desde un punto de vista de negocio, perder esa información y empezar desde un «punto de restauración» más o menos próximo en el tiempo.
- Piensa cuanto te impacta, económicamente, no disponer de esa información o servicios durante horas o unos días.
- Piensa si tienes el suficiente apoyo – interno o externo – para cuestiones de ciberseguridad. En este apartado puntualizo algo, ya no es suficiente una empresa informática o el “famoso” chico que me lleva la informática, se necesita un cierto nivel de conocimiento especializado en ciberseguridad.
- Piensa en el valor que le das a la imagen de marca de tu compañía y cuanto puede impactar una perdida de confianza.
Una vez hayas hecho esa pequeña reflexión (si no eres capaz de hacerla individualmente te recomendamos que busques ayuda para ello) es cuando podrás valorar las medidas que debes adoptar para cuidar tu empresa. Al fin y al cabo se trata de tu trabajo y el de las personas que trabajan contigo.
Como casi todo, o al menos lo creemos así, la inversión que se realiza en una empresa debe estar asociada al retorno de inversión que se obtiene, tangible (seguridad y disponibilidad de la información principalmente) o intangible (imagen de marca, coste reputacional, …)
¿Cuánto inviertes en ciberseguridad? Si inviertes cero o casi cero, piensa a qué te expones, cuál es tu riesgo, y al menos sé consciente de ese riesgo asumido.
La decisión es tuya, o de tu compañía, pero al final siempre hay personas detrás de la toma de decisión. Hacerlo o no hacerlo, pero con criterio, con información y con sentido común. Valora tu empresa y tu información, los riesgos, y decide.