- El experto en ciberseguridad Colm Murphy ofrece a las PYME un enfoque paso a paso para prevenir y mitigar los ciberataques.
Con más de 20 años de experiencia en ciberseguridad, Colm Murphy empezó a trabajar en el sector antes de que la mayoría de la gente hubiera oído hablar de él. «Me incorporé a un proveedor de servicios de ciberseguridad nada más salir de la universidad y desde entonces he permanecido en el sector de diversas formas».
Murphy es actualmente asesor principal de ciberseguridad de Huawei. Anteriormente fue director de ciberseguridad y resiliencia de la información en BSI y director de Espion.
Sus años de experiencia le sitúan en una posición idónea para asesorar a las pequeñas y medianas empresas (PYME) sobre cómo prepararse y hacer frente a los ciberataques.
Las PYME representan el 99,8% de las empresas activas en Irlanda. Según Murphy, «las PYME son un componente vital de la economía irlandesa».
Murphy cita una encuesta realizada en 2021 por Enisa, la agencia de ciberseguridad de la UE, según la cual el 57% de las PYME temen que su empresa quiebre a causa de un ciberataque. En su opinión, es crucial dar a las empresas la orientación y los recursos que necesitan para gestionar el panorama de las ciberamenazas, en constante expansión, y mitigar algunos de esos temores cibernéticos.
Identificar amenazas comunes
La pandemia del Covid-19 y los rápidos avances tecnológicos han hecho que las PYME tengan que acelerar sus transformaciones digitales.
El resultado de la «rápida transición a operaciones y ofertas digitales», según Murphy, ha significado que «el riesgo de ataques a la ciberseguridad también ha aumentado».
«Los ciberdelincuentes ven a las pymes como un blanco fácil porque a menudo tienen menos recursos y medidas de ciberseguridad menos sofisticadas en comparación con las empresas más grandes», explica Murphy.
Enumera las ciberamenazas más comunes a las que se enfrentan las pymes como ataques de phishing, ransomware, malware, amenazas internas y ataques de ingeniería social.
«Una violación de la ciberseguridad puede tener un impacto significativo en las finanzas, la reputación y la capacidad de funcionamiento de una PYME», afirma Murphy. Por lo tanto, es importante que las empresas se aseguren de que su personal entiende y puede identificar los diversos tipos de ataques a los que son vulnerables y aprender a reducir los riesgos de ataque.
Prevenir un ataque
Para mitigar los riesgos más comunes, Murphy aconseja a las PYMES que inviertan en soluciones de ciberseguridad, como cortafuegos, software antivirus y sistemas de detección de intrusiones.
También recomienda implantar políticas y procedimientos de ciberseguridad, formar a los empleados en buenas prácticas y realizar periódicamente evaluaciones de riesgos para detectar posibles vulnerabilidades.
Acciones como controles de acceso estrictos, procedimientos de notificación de personal/usuarios, procesos de copia de seguridad y recuperación de datos, actualización del malware y planes de recuperación de incidentes, contribuyen a garantizar una ciberhigiene eficaz.
Murphy afirma que «seguir las reglas de la ciberhigiene básica contribuirá en gran medida a proteger a cualquier organización, grande o pequeña, de un ataque».
También recomienda los siguientes recursos: EIT Digital, la Fundación Global Digital, el Centro Nacional de Ciberseguridad (NCSC) y la Guía de Preguntas y Respuestas de Huawei: Promoting Cybersecurity for SMEs in Europe.
Estos recursos, en particular el sitio web del NCSC, «pueden ayudar a informar a las pymes sobre las últimas noticias en ciberseguridad, incluidas las ciberamenazas y los incidentes que pueden afectar a las operaciones empresariales», afirma Murphy.
El elemento humano
Murphy cita un informe de Verizon según el cual en el 82% de las violaciones de datos de 2022 intervino un elemento humano.
Defiende que un “elemento esencial de la formación en cibercapacidades” para todos los empleados debería versar sobre “asegurar los datos sensibles y protegerlos del robo”.
“La ciberseguridad es una responsabilidad compartida y los gerentes deben liderar el camino comunicando muy claramente a su personal y explicando de manera concisa lo que se espera de ellos para mitigar los ciberataques en el lugar de trabajo.”
Responder a un ataque
Incluso con una preparación diligente, recursos y formación, muchas empresas seguirán sufriendo un ciberataque.
Para Murphy, «el signo de una ciberseguridad madura no es si sufres una brecha, sino lo bien que manejas la situación cuando ocurre». «La clave de un plan de respuesta es actuar con rapidez y decisión”, afirma.
Después de que se produzca una brecha, Murphy recomienda a las empresas que tomen las siguientes medidas:
- Contener la brecha
El primer paso es siempre identificar y contener la brecha lo antes posible para limitar los daños. «Esto puede implicar desconectar de Internet los sistemas afectados, desactivar las cuentas de usuario o aislar los dispositivos afectados», explica Murphy.
- Evaluar los daños
Esto puede implicar acciones como «identificar los datos comprometidos, evaluar el impacto en las operaciones empresariales o determinar si se ha incumplido alguna obligación legal o reglamentaria».
- Notificar a las partes pertinentes
Murphy advierte de que en algunos casos puede existir un «requisito legal» para «notificar a las partes pertinentes, como clientes, proveedores o reguladores».
Recomienda informar al NCSC del ataque para ayudar a la organización a «desarrollar una mejor comprensión del entorno de amenazas» y «ayudar a otras organizaciones que también puedan estar en riesgo».
- Aplicar medidas correctoras
Es vital encontrar la causa de la brecha y tomar medidas para evitar que se repita.
Las medidas a tomar pueden incluir «parchear vulnerabilidades, actualizar el software de seguridad o cambiar los protocolos de seguridad».
- Revisar las políticas y procedimientos de seguridad
Tras una brecha, intente identificar los puntos débiles de la organización. «Esto puede implicar actualizar las políticas de seguridad, mejorar la formación de los empleados o implementar nuevas medidas de seguridad».
- Buscar ayuda profesional
Murphy también aconseja a las PYMES que consideren la posibilidad de buscar ayuda profesional tras un ataque. En su opinión, «expertos en ciberseguridad, abogados o consultores informáticos» pueden ayudar a la empresa a «comprender mejor la naturaleza de la brecha e identificar las medidas correctoras adecuadas».
No espere a que sea demasiado tarde
Adoptar medidas para prevenir y mitigar los ciberataques lleva tiempo y dinero. Aunque las PYMES no disponen de los presupuestos que tienen las grandes empresas para reforzar su ciberseguridad, Murphy sostiene que la inversión es «de vital importancia» para proteger los productos y servicios de las PYMES.
«Tenemos que poner fin a las situaciones en las que las empresas se dan cuenta de la necesidad de la ciberseguridad sólo después de un incidente importante, evidentemente cuando ya es demasiado tarde».
Para mantener unos costes manejables, Murphy aconseja un enfoque proactivo que «dé prioridad a la gestión de riesgos y a las soluciones rentables».
«Adoptando un enfoque proactivo, las pymes pueden protegerse mejor contra las ciberamenazas sin arruinarse».