Vulnerabilidad de las Pymes

INTRODUCCIÓN

Este artículo analizará cómo las vulnerabilidades de una PYME pueden afectar la percepción del servicio que ofrecen por parte del cliente y la continuidad del negocio. En la actualidad, en España, las PYME suponen el 99,8% de las empresas, representan un 62% del Valor Añadido Bruto (VAB) y el 66% del empleo empresarial total. Estos datos dejan claro que es de una importancia crítica para la economía del país prevenir las vulnerabilidades de seguridad que les afecten particularmente.

A la hora de hablar de vulnerabilidades de una PYME no solo debemos circunscribirnos a las de tipo técnico. También pueden ser deficiencias en procesos, gestión, comunicación, etc., Todas ellas pueden impactar a la calidad del servicio dado al cliente y a la continuidad del negocio, provocando así una pérdida de reputación y confianza que tendrá un impacto económico muy significativo. Por todo ello, este artículo tratará de detallar estas vulnerabilidades y las posibles contramedidas que puedan mitigarlas.

Tipos de vulnerabilidades en las PYME

Vulnerabilidades técnicas: software y personas

Una PYME no tiene el músculo financiero de una gran empresa y, por tanto, es frecuente que tenga carencias de tipo técnico, por no haber podido o saber invertir eficientemente en materia de ciberseguridad. Dentro de estas carencias técnicas podemos destacar las de seguridad de la información. Principalmente podemos enumerar las siguientes:

• Falta de antimalware y de política de instalación segura de programas: 

  Existen soluciones antimalware gratuitas suficientes para un uso habitual, por lo que contar con una es sencillo. Una PYME debe resistir la tentación de instalar software fuera de canales y distribuidores oficiales puesto que, al hacerlo, hay una elevada probabilidad de que contengan algún tipo de malware que permanezca latente y ataque en el futuro, o robe información privada de las mismas, evadiendo las soluciones antimalware usadas. Ante la falta de recursos económicos para adquirir un producto comercial para hacer una función, es mucha mejor alternativa buscar un equivalente open-source del programa que se necesite (https://opensource.com/alternatives), e invertir en formar en su uso a los empleados.

• Falta de conciencia y formación en seguridad: 

  Con medidas como evitar usar contraseñas débiles, obligatoriedad de 2FA/MFA , etc. El personal de la PYME debe conocer y aplicar unas medidas de seguridad básicas para la protección de sus cuentas y la operativa diaria, que incluya también la prevención de fraudes y phishing y el uso seguro del software que maneja, especialmente el de oficina.

• Falta de políticas de mantenimiento de software: 

  Ocurren cuando se usa software desactualizado, mal dimensionado, etc. La llamada “deuda técnica” es también un punto en contra de la seguridad general de una PYME donde se priorice mantener un servicio operativo a cualquier coste antes de actualizar el mismo para adaptarlo a las últimas normativas o consideraciones de seguridad.

• Falta de políticas de protección de la información manejada: 

  Incluye la falta de copias de seguridad y de medias de protección de la información privada (Ej.: Cifrado de datos privado). Hoy en día, y con la prevalencia de los ataques de ransomware (el 76% de las PYME afirman haber sido víctimas de uno), no contar con un programa fiable de copias de seguridad es ciertamente una temeridad, que impedirá a la PYME recuperar el servicio rápidamente en caso de ser víctima de ellos. Por otro lado, el cifrado en reposo y en transmisión de la información privada previene su robo o modificación no autorizada.

Vulnerabilidades técnicas: Infraestructura tecnológica

• Falta de medidas de protección de red: 

  Se trata de medidas como Firewalls, IDS/IPS , acceso remoto / teletrabajo seguro, etc. Si no se cuenta con mecanismos de bloqueo y detección de intrusiones en red, cualquier ataque podrá permanecer dentro de las infraestructuras de la víctima indefinidamente sin ser detectado hasta que sea demasiado tarde. Ante la falta de recursos en este aspecto, se puede recomendar la adquisición de un router con estas características que controle las conexiones a la red de los equipos de la PYME, que por su volumen no deberían ser demasiados.

• Falta de redundancia:

  La falta de inversión por falta de “músculo financiero” (o de previsión) de una PYME puede hacer que no sea capaz de responder adecuadamente a la caída parcial de parte de los componentes de su infraestructura. Carecer de una redundancia adecuada en los puntos críticos que den el servicio puede de nuevo llevar a una caída del servicio prolongada.

• Inadecuación de la infraestructura de red:

  Si no se contrata una infraestructura de red adecuada al volumen de clientes de la PYME, por razones económicas o por falta de planificación, la calidad de servicio se verá disminuida si sufre frecuentemente de periodos de saturación.

Vulnerabilidades operativas

Vistas las vulnerabilidades técnicas, es importante destacar otras vulnerabilidades que pueden darse en el día a día de la empresa, todas ellas relativas a cómo se gestiona y se implementa el negocio o servicios que ofrecen a sus clientes. Una primera fuente de problemas son las carencias en la gestión de la información del cliente. Por ejemplo, pueden faltar políticas de privacidad claras o manejarse datos sensibles inadecuadamente (incumplimiento, por ejemplo, normativas como la RGPD). Ligadas a ellas podemos encontrar vulnerabilidades con los procesos internos. Por ejemplo, ante un ataque pueden no existir procedimientos de respuesta adecuados, hacer una gestión deficiente (o inexistente) de la comunicación con el cliente o una falta de capacitación del personal en seguridad que impida responder adecuadamente . Las referencias mencionadas son a material gratuito que puede ayudar con estos aspectos. Finalmente, una PYME puede tener una dependencia excesiva de 3º, subcontratando demasiados elementos (servicios tecnológicos, cloud computing, etc.) y aumentando así los riesgos ante la caída del servicio de alguno de ellos. La caída de un proveedor de la PYME puede afectar al servicio que ofrece, con ello al cliente y, en consecuencia, a la percepción que tiene de la PYME y su imagen.

Vulnerabilidades financieras

Ligado con las consecuencias legales y multas de las vulnerabilidades operativas tenemos el último tipo, las financieras. Incluyen tanto costes directos (recuperación de datos, reparación y mantenimiento de sistemas...) como indirectos (pérdida de clientes, daño a la reputación, multas...). La falta de inversión en seguridad (tener presupuestos demasiado limitados para ciberseguridad y continuidad del negocio) incrementa el riesgo de incidentes y, con ello, sus consecuencias económicas. Una PYME deberá tener forma de cuantificar el posible impacto de cada posible incidente para seleccionar los métodos más adecuados de acuerdo con su línea de negocio, disponibilidades presupuestarías y contexto.

Impacto de las vulnerabilidades en las PYME

Tras el análisis de las principales vulnerabilidades que puede presentar una PYME y enlazar posibles formas de mitigarlas, es importante recopilar las principales consecuencias, de cara a su ponderación a la hora de elegir las mejores estrategias de mitigación en función del negocio que la PYME desempeñe.

• Interrupción del servicio: Se debe analizar cómo las vulnerabilidades pueden llevar a la interrupción total o parcial de los servicios ofrecidos por la PYME, y hasta qué punto puede tolerarse, estimando los costes económicos por unidad de tiempo.

• Pérdida de datos: Detallar las consecuencias de la pérdida de datos para la continuidad del negocio y la prestación del servicio al cliente. Esto incluye la clasificación de la información, para distinguir claramente datos críticos (protegidos por la legislación Española o Europea) de otros que no lo son tanto, enfocando las medidas de seguridad en los primeros.

• Reputación y confianza: Los incidentes de seguridad y las interrupciones del servicio dañan la reputación de la PYME y erosionan la confianza del cliente, perdiendo ingresos y oportunidades de negocio. No es descabellado por tanto pensar en formas de mejorar dicha reputación y confianza tras un incidente, mostrando que se ha aprendido del error con una política de comunicación seria y efectiva.

• Consecuencias legales y regulatorias: Para elaborar medidas de mitigación de vulnerabilidades deben también considerarse las posibles sanciones por incumplimiento de normativas de protección de datos y otras regulaciones, que indicarán la gravedad de unas vulnerabilidades frente a otras. Si no se tiene un presupuesto suficiente, este factor puede ayudar a priorizar las medidas que se van a implementar de cara a minimizar el posible gasto que pueda venir por esta vía.

Estrategias para mitigar las vulnerabilidades y mantener la confianza del cliente

Finalmente, y ligado con el final de la sección anterior donde hablábamos de qué priorizar a la hora de usar el presupuesto de ciberseguridad de una PYME, es conveniente contemplar en dicha inversión las siguientes medidas de mitigación

Conclusiones

En este artículo hemos visto cómo es necesario para una PYME abordar las vulnerabilidades de seguridad que puedan sufrir desde una perspectiva integral (técnica, operativa y financiera) para mitigar la posible pérdida de confianza del cliente y la continuidad del servicio, todo ello con un impacto económico muy significativo. Además, se han referenciado recomendaciones concretas y prácticas, y en gran medida gratuitas, para que las PYME puedan mejorar su postura de seguridad. Al enfocar el estudio desde la perspectiva del cliente y la continuidad del servicio, se logra un análisis más completo y relevante, ayudando a las PYME a comprender el verdadero impacto de sus vulnerabilidades y la necesidad de invertir en su seguridad y resiliencia. Todas las medidas vistas permiten “sobrevivir” como PYME a incidentes serios de seguridad y no acabar cerrando el negocio como consecuencia de un ataque.