Puede parecer un dato increíble en nuestros días, pero entorno a un 50% de las PYMES españolas no tienen definida una política de seguridad informática. Las PYMES suelen ser más vulnerables frente a problemas de seguridad informática dado que “supuestamente” no disponen internamente de los recursos o el conocimiento técnico necesarios para protegerse de forma adecuada contra ataques o contingencias. Esta falta de recursos provoca que muchas PYMES cuenten con una seguridad insuficiente o que no sepan exactamente cuáles son las medidas que deberían adoptar para estar protegidas y llevar a cabo su labor profesional de forma segura.

Para tratar este tema hemos entrevistado a Josep Casamitjana Franco, Regional  IT Security Assurance Manager en Prudential Asia y MBA por IESE. Su división da servicio desde Kuala Lumpur a los negocios que Prudential (empresa aseguradora internacional con unos ingresos de 41’3 billones de £ y resultado de explotación de 4 billones de £ anuales) tiene en Singapur, Malasia, Hong Kong, Corea del Sur, Vietnam, Laos, Camboya, India, Indonesia, Filipinas, Tailandia y Taiwán.

Desde la visión global de una multinacional tan compleja como Prudential, con operaciones en Europa, Estados Unidos, Asia y Latino América.

¿Cuáles crees que son los recursos indispensables en seguridad preventiva de los que debe disponer una PYME?

Toda empresa, incluyendo a los autónomos, debería disponer de un sistema de Backup que haga una copia de seguridad encriptada y periódica de sus datos, así como mantener todos sus dispositivos (móviles, tablets, ordenadores, servidores, firewalls, routers,…) actualizados. Es básico tener antivirus y firewall en todos sus ordenadores, teléfonos y servidores.

Siempre hay que trabajar con un usuario sin permisos de administrador local, controlar el acceso a la información (definir que empleado tiene acceso a que recurso), limitar el uso de pen drives o herramientas de almacenamiento de datos en la nube como Dropbox o Google Drive. No hay que olvidar tener una política de cambio periódico de contraseñas además de usar una herramienta de gestión de contraseñas para evitar el gran error de tener la misma contraseña para todo. Ah! y por último, que no por ello menos importante, es imprescindible tener el disco duro de todos sus ordenadores portátiles encriptado para evitar el robo de información en caso de pérdida o robo de un dispositivo de la empresa.

Algunas pequeñas y medianas empresas creen que “nadie va a querer su información” por el sólo hecho de ser pequeñas y por ello no se preocupan de protegerla. ¿Qué opinas sobre esta actitud?

Les diría que se equivocan. Los primeros que quieren su información son ellos mismos. ¿Cuánto valen todos los pleitos que tiene en curso un bufete de abogados? ¿Cuánto valen los planos de una ingeniería? ¿Cuánto valen las cuentas de los clientes de una gestoría? No sólo eso, ¿Cuántas horas tardarán en rehacerlo todo? ¿Están dispuestos a enfrentarse a demandas judiciales?

Bring Your Own Device. Esta modalidad tan en auge ¿supone un riesgo real para la pequeña empresa?

El BYOD ha demostrado incrementar la productividad de los empleados y es por ello que esta en auge. Ahora bien, también supone un gran riesgo de perdida de información ya sea por robo o pérdida del dispositivo. Y es por eso que cuando se aplica una política de BYOD debe también usarse una herramienta de MDM (Mobile Device Management). Y sólo debería usarse BYOD si la empresa trabaja con datos de nivel bajo según la Agencia Española de Protección de Datos cumpliendo con la LOPD. A mi parecer, estas son dos condiciones sine qua non.

Las redes sociales, que están tan extendidas en la actualidad, ¿Pueden suponer una amenaza para los datos de una empresa?

Las redes sociales son un gran medio tanto para promocionar la empresa como para mantener una relación cercana con los clientes. Y es por ello que deben ser manejadas por una persona con experiencia y supervisadas por la dirección de la empresa. No sólo por una cuestión de imagen, también por un riesgo de publicación de datos confidenciales. Es por ello que las empresas deberían crear una política de uso y publicación en redes sociales que debería ser firmada por todos los empleados de la misma.

Seguimiento de las Métricas para empresas medianas ¿Cuáles son las métricas de las que consideras básico hacer seguimiento en una PYME?

Unas métricas de seguridad bien definidas deben envolver todos los activos informáticos de la empresa, no sólo ordenadores y servidores, también dispositivos móviles, servidores y aplicaciones web, firewalls, routers y antivirus; Poniendo el foco de atención en aquellos activos que sean más relevantes para el negocio. Unas métricas de una PYME de venta online pondrán el foco en sus páginas web. Un bufete de abogados pondrá el foco en el servidor de datos y en los ordenadores de sus abogados.

El resultado de las mismas es una fotografía bien definida del nivel de riesgo de la empresa. Datos como cuántos servidores tienen vulnerabilidades y que nivel de riesgo tienen; qué dispositivos necesitan ser actualizados, cuántos usuarios han tenido o tienen algún virus y cuántos dispositivos se han descubierto dentro de la red empresarial de los que no se tiene constancia, no deberían faltar. Se pueden medir tanto como se quiera. El límite lo pone el balancear el valor de la información obtenida con el coste que supone realizarlas. Afortunadamente, actualmente hay herramientas en el mercado que permiten llevar las métricas a la mediana empresa por un coste asumible.

¿Qué le podemos decir a aquellos empresarios que ven en la seguridad informática un gasto en lugar de una inversión?

A la hora de calibrar el gasto a realizar en una instalación de seguridad informática hay tres valores que deben ser tenidos en cuenta y deben ser analizados desde diversos puntos de vista. Debe conocerse el valor de la información, de los sistemas de la empresa y los costes en los que se puede llegar a incurrir. Y haciéndose las preguntas adecuadas una PYME puede hacerse una mejor idea de ello. ¿Cuánto vale el “know how” de la compañía? ¿En qué penalizaciones puedo llegar a incurrir por incumplimiento de servicio? ¿Cuánto se puede dañar la imagen de la empresa? ¿Cuántos clientes y/o ventas puedo perder? ¿Cuánto vale en este momento el proyecto de un nuevo producto que está todavía en desarrollo? ¿Cuánto tiempo cuesta volver a tener un inventario actualizado? Y la más importante de todas, al ser el escenario más plausible. ¿Cuánto cuesta tener la empresa parada una hora? y ¿Cuántas horas puede estar la empresa sin funcionar?

¿Es importante para la PYME tener políticas de seguridad?

Una PYME debe de tener una política de seguridad que defina unas medidas y controles mínimos que se deben cumplir. Una baseline. Esta baseline debería definir la fuerza de las contraseñas y su caducidad, el formato y soporte de las copias de seguridad así como la periodicidad con la que se comprueban, definir las herramientas informáticas y equipos que serán declarados estándar, o el cifrado que será usado para el intercambio de datos con terceros, entre otros. Pero una baseline no sirve de nada sin el compromiso por parte de la dirección de la empresa en la revisión periódica de la misma.

¿Cómo convencerías al CEO de una PYME de que necesita tener un Plan de contingencia?

Con las dos mismas preguntas que anteriormente: ¿Cuánto cuesta tener la empresa parada una hora y cuántas horas puede estar la empresa sin funcionar? Gracias al avance de las tecnologías, el poder disponer de un Plan de Contingencia ya no sólo está al alcance de las grandes empresas. Un buen Plan de Contingencia puede hacer que una empresa vuelva a estar operativa en menos de 24 horas después de un incidente grave, como pueda ser un robo o un incendio.