“Cualquier empresa, sea cual sea su tamaño, puede sufrir un incidente de seguridad y de cómo se resuelva dependerá la continuidad de la organización”
El Gobierno ha puesto en audiencia pública el Anteproyecto de Ley de Ciberseguridad, ¿cómo puede afectar a una pyme este texto legal?
El Anteproyecto de Ley de Ciberseguridad establecerá los requisitos de ciberseguridad específicos para el despliegue y explotación de redes por parte de los operadores de telecomunicaciones, fabricantes y prestadores de servicios, permitiendo al mismo tiempo impulsar su demanda en España en los próximos años.
En definitiva, este anteproyecto de ley pretende crear un marco legal que establezca las medidas estratégicas, técnicas y de apoyo para mitigar los riesgos de ciberseguridad.
El Plan España Digital 2025 recoge un conjunto de medidas, reformas e inversiones, articuladas en diez ejes estratégicos, entre ellos: garantizar una conectividad digital adecuada para el 100% de la población, el despliegue de la tecnología 5G, reforzar las competencias digitales de los trabajadores y del conjunto de la ciudadanía, reforzar la capacidad española en ciberseguridad y acelerar la digitalización de las empresas, con especial atención a las micropymes y las start-ups.
El plan recoge medidas para concienciar e incrementar las capacidades de ciberseguridad de ciudadanos y empresas ante incidentes cibernéticos, además de permitir una mejora permanente, también de los niveles de resiliencia, con líneas de ayuda para la identificación de riesgos y adopción de herramientas de mitigación, favoreciendo de esta manera el uso de tecnologías digitales.
Habitualmente se piensa que solo las grandes compañías pueden sufrir un ataque cibernético, ¿cómo se podría concienciar a las micropymes y autónomos de que todas las empresas son susceptibles de sufrir un ciberataque?
Hoy en día los sistemas de información con base tecnológica están presentes de alguna forma en todos los procesos de cualquier empresa: comunicación interna, relación con los proveedores, logística, producción, marketing, atención al cliente, selección y formación de personal, internacionalización, innovación, etc. Las pymes no están al margen de este entorno tecnológico, en el que la ciberseguridad es un factor diferenciador para la empresa, al generar confianza entre sus clientes, proveedores y empleados.
En 2019, INCIBE gestionó 107.397 incidentes de seguridad, cerca de un 68% de ellos afectaron a ciudadanos y empresas. Estos incidentes cada año van en aumento, tanto en volumen como en sofisticación e impacto a los afectados.
Cualquier empresa puede sufrir un incidente de seguridad, y será de gran importancia que se gestione de manera adecuada, ya que la continuidad de la actividad en la organización podría depender de ello.
¨Hoy es un anuncio, mañana no¨ es el lema de la nueva campaña de publicidad institucional con la que desde el Instituto Nacional de Ciberseguridad (INCIBE) nos acercamos a empresas y ciudadanos para sensibilizar y concienciar sobre los riesgos de Internet y las nuevas tecnologías, así como la importancia de llevar a cabo un uso seguro de ellas.
¿Cómo se puede detectar que se está sufriendo un ciberataque?
Para abordar la seguridad resulta útil tener una visión integral del entorno, interno y externo, que tenga en cuenta no solo aspectos técnicos sino también físicos, organizativos y legales. Con esta perspectiva panorámica será más fácil adaptarse al medio identificando los riesgos a los que se expone la empresa y localizando los puntos débiles.
Ejemplos de ciberataques a micropymes y autónomos y posibles consecuencias
Los ciberdelincuentes se encuentran siempre al acecho de nuevas formas con las que atacar a los usuarios, aprovechándose del desconocimiento o vulnerabilidades en los sistemas informáticos. Sus objetivos son muchos y pueden tener distintas consecuencias para las micropymes y los autónomos.
Los ataques por ingeniería social, por ejemplo, se basan en un conjunto de técnicas dirigidas a nosotros, los usuarios, con el objetivo de conseguir que revelemos información personal o permitir al atacante tomar el control de nuestros dispositivos. Phishing, vishing y smishing son ataques de este tipo, a través de los cuales los ciberdelicuentes suplantan a una entidad legítima, como puede ser un banco, una red social, un servicio técnico o una entidad pública, con la que nos sintamos confiados, para lograr su objetivo.
Otros ataques son los producidos por malware, como el ransomware, que se trata de un tipo de malware que consigue tomar el control del dispositivo para cifrar el acceso al mismo y/o nuestros archivos o discos duros. A cambio de recuperar el control y la información, los ciberdelincuentes nos exigirán el pago de un rescate.
El cryptojacking, por otro lado, es una práctica por medio de la cual los ciberdelincuentes utilizan nuestros dispositivos sin nuestro consentimiento para llevar a cabo “extracciones” de criptomonedas. Durante el proceso utilizan los recursos del sistema.
Finalmente, están los ataques de inyección SQL. Las páginas webs suelen estar vinculadas a bases de datos, basadas en un lenguaje de programación conocido como SQL. Este tipo de ataque permite a los ciberdelincuentes insertar líneas de código SQL maliciosas en la propia aplicación web, obteniendo acceso parcial o completo a los datos, pudiendo así ser monitorizados, modificados o robados.
¿Cómo puede formarse en ciberseguridad una pequeña y mediana empresa? ¿Qué herramientas está poniendo a su disposición INCIBE para ayudar a este colectivo?
En un mundo en el que uno de los principales activos en cualquier empresa, la información, se gestiona a través de diferentes dispositivos conectados a Internet, la ciberseguridad se ha convertido en uno de los mayores retos que afrontan las organizaciones, sea cual sea su tamaño. Una mala gestión de la seguridad puede tener tanto un impacto económico como afectar a la reputación y la confianza de socios y clientes.
Por ello, INCIBE pone a disposición de pequeñas y medianas empresas cursos gratuitos de formación online en materia de ciberseguridad, con enfoque adaptado a las necesidades de microempresas y autónomos, en los que se analizan los riesgos más habituales y se proporcionan pautas de seguridad para el día a día.