La digitalización y la automatización de los procesos son sin duda un elemento clave para el crecimiento y la competitividad de las empresas. Estos avances, que llevan años produciéndose en ámbitos administrativos, como ventas, compras, facturación o gestión financiera, también están llegando a los entornos industriales. La llamada industria 4.0 ha llegado a las fábricas también en las pequeñas y medianas empresas, que están comenzando a incorporar tecnologías digitales y robots para optimizar sus procesos productivos.
Estas nuevas tecnologías, generalmente conectadas a internet, exponen a las organizaciones a nuevos riesgos de ciberseguridad que son complejos de identificar y de gestionar, en especial en las pequeñas empresas que carecen de equipos expertos dedicados a gestionar este riesgo.
Las consecuencias de un incidente de ciberseguridad pueden ser relevantes y no solo afectar a la fuga de datos o información. Desde la paralización de procesos críticos durante varias semanas hasta el deterioro o destrucción de activos físicos o importantes daños a las personas, las consecuencias financieras, legales y reputacionales pueden ser muy significativas. A esto hay que sumar las potenciales sanciones regulatorias para aquellas empresas sujetas a la nueva regulación europea en materia de ciberseguridad, la NIS2, y el hecho de que ni los seguros tradicionales ni los nuevos ciberseguros cubren aún este riesgo físico.
Ante este panorama, las grandes empresas están invirtiendo fuertemente en medidas de ciberseguridad y se están dotando de equipos especialistas, no solo en el ámbito de las tecnologías de información y comunicaciones, sino también en las tecnologías industriales.
Esto no siempre está al alcance de las pequeñas y medianas empresas, que deben adoptar una estrategia focalizada en tres elementos clave: la seguridad desde el diseño, la cultura de seguridad y la planificación de la resiliencia y gestión de crisis ante incidentes. Todo lo demás lo pueden subcontratar a empresas especializadas en ciberseguridad, que les dotarán de las medidas de monitorización, protección y gestión técnica de incidentes necesarias.
Rosa Kariger en el evento GF-TIC y APD 21 febrero 2025
Seguridad desde el diseño
Gran parte de las vulnerabilidades técnicas que se detectan en las empresas no surgen de repente, sino que son producto de un proceso de diseño y configuración que no ha tenido en cuenta la ciberseguridad. Y esto no siempre se produce de forma inconsciente o por falta de conocimientos de los equipos de proyecto. La ciberseguridad supone un coste añadido y en ocasiones puede demorar los plazos del proyecto, por lo que algunas empresas deciden prescindir de ella, cerrando los ojos a las posibles consecuencias e ignorando la enorme dificultad y sobrecoste que supone implementarlas a posteriori.
En una época en que la inmediatez prima en el ámbito tecnológico y se promueve el lanzamiento del Producto Mínimo Viable como elemento clave de competitividad, la ciberseguridad no puede quedar fuera de la ecuación. Tiene que formar parte del diseño y despliegue del producto y ser considerada un elemento clave de viabilidad.
Las empresas deben exigir que las soluciones tecnológicas que incorporen en sus procesos contengan por defecto estos elementos y estar dispuestas a pagar el eventual sobrecoste. La ciberseguridad no puede constituir un elemento de negociación en la mesa de compras. Si no, lo acabarán pagando con creces, jugándose incluso la propia viabilidad de la empresa.
Cultura de seguridad
Es sabido que uno de los principales vectores de entrada en la mayoría de los ciberataques es el factor humano, los empleados que, por ejemplo, navegan por sitios inseguros o pinchan en enlaces de correo maliciosos. Y por ello, la mayoría de las empresas implementan programas de formación y concienciación para informar y entrenar a sus empleados para evitar que esto suceda. Aunque esto es importante, este tipo de campañas tienen un efecto limitado. La experiencia nos demuestra que, por muchas campañas simuladas de phishing que lancemos a nuestra plantilla, no lograremos bajar de un 4% en la tasa de fallo.
Por otra parte, la verdadera causa por la que se produce un incidente de ciberseguridad cuando un empleado pincha en un enlace malicioso, es la existencia de una vulnerabilidad subyacente en los sistemas de la organización. El empleado será el vector de entrada, pero no la causa real, que reside en un diseño o una configuración de seguridad débil, o en la ausencia de las medidas de protección adecuadas.
La verdadera cultura de ciberseguridad no consiste en saber cómo hacer un uso seguro de internet o de las aplicaciones ofimáticas, sino en asumir la responsabilidad sobre los riesgos de ciberseguridad que se pueden introducir en la organización cuando se incorporan nuevas tecnologías. El que juega a tecnología, debe jugar a ciberseguridad. No es aceptable decir que “yo de eso no entiendo”, o decidir ahorrarse el sobrecoste o la complejidad que supone incorporar medidas de ciberseguridad en el proyecto, a menudo consciente de que, si hay un ciberataque, no recaerán sobre él las culpas, sino sobre el empleado que ha pinchado o sobre el responsable de ciberseguridad.
Este cambio cultural debe venir impulsado por la alta dirección de la empresa, que debe exigir responsabilidades en materia de ciberseguridad especialmente a aquellos que deciden desplegar y utilizar la tecnología para mejorar sus procesos, además de a toda la plantilla en general.
Plan de resiliencia y gestión de crisis
Desafortunadamente, por muchas medidas de prevención que implantemos, el riesgo cero no existe y, tarde o temprano, seremos víctimas de un incidente de ciberseguridad. Es importante asumirlo y estar preparados para minimizar los potenciales daños. De la misma forma que experimentamos durante el reciente apagón, es fundamental disponer de mecanismos alternativos para evitar la paralización de los procesos de negocio críticos.
Ante un incidente de ciberseguridad, no solo cobra importancia una resolución técnica ágil del incidente, que estará en manos de los equipos especialistas que se pueden subcontratar, sino que la organización tiene dos roles fundamentales que debe tener bien planificados y entrenados.
El primero es disponer de medios alternativos que permitan garantizar la continuidad de los procesos esenciales en ausencia de la tecnología comprometida. Además de copias de seguridad o tecnología redundante, a menudo esto implica tener alternativas analógicas o manuales que permitan continuar operando los procesos críticos a mínimos aceptables mientras los técnicos en ciberseguridad recuperan la tecnología o los datos. Para ello, es fundamental disponer de un plan de resiliencia y de procedimientos bien documentados y entrenados.
El segundo es tener organizado un gabinete de crisis, formado por los máximos responsables de la compañía, que gestione la comunicación externa y los aspectos regulatorios, legales y de responsabilidad frente a terceros durante el incidente.
Exigiendo la seguridad desde el diseño, implantando una sólida cultura de seguridad que asigne claramente las responsabilidades en la compañía, y planificando adecuadamente la resiliencia y la gestión de crisis ante un incidente, las empresas podrán minimizar significativamente su exposición ante los riesgos de ciberseguridad. Y estos tres elementos clave están al alcance de todos, no requieren de la contratación de especialistas, ni precisan de un conocimiento técnico profundo en materia de ciberseguridad.
Rosa Kariger
Board Member en DeNexus y Asesora senior en gestión de riesgos y resiliencia
