¿Se ha parado a pensar en lo que supondría para su empresa que, de repente, perdiese la información de su negocio o la capacidad de acceder a ella? ¿Cuál es su nivel de ciberseguridad empresarial? Una mesa de debate en la sede de Fevama trató este tema y cómo afecta a las pymes.
Posiblemente su organización está expuesta a amenazas que ni siquiera imagina. Y es que la información es poder y las empresas dependen para su funcionamiento de la información y de la tecnología que nos permite gestionarla. Ordenadores, smartphones y tablets, bases de datos, redes internas… Nos hemos acostumbrado tanto a estos avances que prácticamente los damos por supuestos. Desde la Federación Empresarial de la Madera y Mueble. ponen el foco en el nivel de ciberseguridad empresarial en el sector del hábitat, con el fin de alertar e informar a los empresarios de la necesidad de implementar herramientas preventivas que puedan evitar daños graves. Así, se celebró una mesa de debate en la sede de la Federación en Paterna (Valencia), a la que acudieron empresarios y empresarias y expertos en ciberseguridad.
Una aproximación a la ciberseguridad empresarial
Existe una cita que dice así: “Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre”. La Seguridad de la Información no es una excepción, y por eso es precisa una aproximación objetiva que nos permita determinar de manera fiable los riesgos a los que estamos expuestos, en qué medida lo estamos y cuáles son las consecuencias.
En definitiva, la ciberseguridad empresarial es un problema que afecta a todos los sectores y, especialmente a uno como el de la Madera y Mueble en el que se maneja un alto volumen de datos confidenciales y sensibles, no solo de clientes sino también a nivel de producción. Con la internacionalización y la implantación de la Industria 4.0, las empresas están más expuestas a los ciberataques. Es por ello que nos hacemos esta pregunta: ¿por qué una empresa del sector debe preocuparse por su seguridad en la Red, independientemente de su tamaño?
Para contestar a esta y otras cuestiones participaron en el debate Alejandro Bermejo, CEO de Alto Turia y presidente de Fevama; Vicente Zaragozá, director de Tecnología de Andreu World; Juan Ciller, del departamento IT de Homag; Patricia Sancho, directora de Marketing de Madersan; José Miguel Chaparro, responsable del Área de Sistemas y Comunicaciones de Aidimme; Eduardo Tomás, director de Gestión de I+D+i de la UPV; y Rafael Pérez, secretario General de Fevama.
Una pandemia silenciosa: los hackers
Eduardo Tomás, hasta hace poco jefe del servicio de ciberseguridad industrial de la dirección general de TIC de la Generalitat Valenciana, explica que “venimos de una pandemia que ha acelerado la digitalización de todos los sectores y los ha hecho, al mismo tiempo, más vulnerables”. Ante la pregunta de si puedes sufrir un ciberataque siendo una pyme, su respuesta es un rotundo sí. “El teletrabajo y la maquinaria industrial conectada son focos de riesgo”. Existen robots que ciberatacan, es decir, que los hackers ya no son personas físicas, sino toda una red organizada de bots que pueden suplantar identidades o secuestrar información. “Hoy en día los piratas informáticos son organizaciones”. Y además, recalca que la Industria 4.0 es una realidad que también pone en riesgo la industria. “La automatización de la producción debe ir de la mano de la ciberseguridad empresarial”.
Alejandro Bermejo, CEO de Alto Turia, pone como ejemplo la suplantación de la identidad, un fenómeno creciente.
“Pueden recabar datos de tu entorno de forma muy sencilla, porque toda nuestra vida está en la red, y después enviar un correo electrónico a personas de nuestra empresa suplantando, por ejemplo, la identidad del director de la compañía”.
ALEJANDRO BERMEJO, CEO DE ALTO TURIA Y PRESIDENTE DE FEVAMA
Según un informe de Deloitte, el 44% de las empresas españolas sufrió un ciberataque en 2021. Vicente Zaragozá, de Andreu World, explica que “una compañía puede tardar entre 2 y 3 meses en detectar que tiene un virus en su sistema. Hay muchas que no llegan nunca a recuperarse”. Y es que, como recalcó, “cualquier dispositivo que conectes a Internet está expuesto a ser atacado”.
Los ataques son una amenaza real
Patricia Sancho, directora de Marketing de la empresa Madersan, daba su opinión como pyme. “En las empresas pequeñas hay una falta de concienciación terrible. Los trabajadores no cuentan con una formación específica al respecto”. E hizo hincapié en que muchas veces es peor el remedio que la enfermedad, ya que las pérdidas que supondrían que se tenga que parar la actividad de una empresa, por causa de un ataque cibernético, pueden ser irreparables.
Juan Ciller, de Homag, comentó la sofisticación de los hackers actualmente: “te cifran la información, te la roban y te extorsionan. Los ataques han evolucionado mucho en los últimos años”. José Chaparro relató un ciberataque sufrido por el Instituto Tecnológico Aidimme, que encriptó los servidores y paralizó toda la actividad. “Lo pudimos recuperar todo en 6 o 7 días gracias al sistema de backups”. Y es que, como coincidieron los expertos de la mesa, un sistema de recuperación o backup es fundamental para reducir el daño.
“los hackers actualmente te cifran la información, te la roban y te extorsionan. Los ataques han evolucionado mucho en los últimos años”
JUAN CILLER, DEL DEPARTAMENTO IT DE HOMAG
Prevenir, mejor que curar
Todos los asistentes a la mesa de debate de Fevama se mostraban de acuerdo con que lo más efectivo para afrontar la ciberseguridad corporativa es la prevención. Rafael Pérez, secretario General de la Federación, recordó que costó un tiempo concienciar a las empresas sobre la prevención en materia de riesgos laborales. “Desde que se publicó la Ley en 1995, las empresas tardaron bastante en concienciarse. Con la prevención en ciberseguridad empresarial está ocurriendo lo mismo”. Y aseguró que al final la prevención siempre es la opción más rentable para una organización: “si pones en una balanza el coste de prevenir y el de solventar un ataque, la prevención es una inversión que va a suponer un ahorro”. A lo que añadió que “las empresas deben estar bien asesoradas para implementar políticas preventivas”.
«la prevención es rentable porque un ciberataque “supone pérdidas para toda la cadena de suministro. Es como un control de calidad más de los proveedores y para ello resulta fundamental la formación y la concienciación”.
EDUARDO TOMÁS, DIRECTOR DE GESTIÓN DE I+D+I DE LA UPV
¿Qué puede hacer una pyme?
Cuando se trata de implementar herramientas informáticas o contratar servicios a una empresa de ciberseguridad, se tiende a pensar que las pequeñas y medianas empresas no cuentan con recursos suficientes para destinar a este menester. Sin embargo, los asistentes a la mesa de debate de Fevama coincidieron en que hay ciertas acciones que toda empresa puede realizar con un coste bajo o incluso nulo.
José Chaparro dice que “faltan recursos en las pymes, pero es que no es necesario destinar muchos recursos, con los que tiene una pequeña empresa puede implementar estrategias de ciberseguridad”. En la misma línea, Vicente Zaragozá explicó que “hay estrategias que son completamente gratuitas, como la concienciación”. Es decir, formar a los empleados mínimamente para evitar por ejemplo que entren virus en el sistema. “Otra herramienta que es gratis, por ejemplo, es la doble autenticación en el correo electrónico”.
«faltan recursos en las pymes, pero es que no es necesario destinar muchos recursos, con los que tiene una pequeña empresa puede implementar estrategias de ciberseguridad”
JOSÉ CHAPARRO, ÁREA DE SISTEMAS Y COMUNICACIONES DE AIDIMME
Rafael Pérez cree que una pyme no tiene estructura suficiente para contar con un departamento interno dedicado a la ciberseguridad, pero pueden acudir a un asesoramiento externo de prevención. “Debería existir un sistema de asesoramiento colectivo para el sector de Madera y Mueble”.
Juan Ciller comentaba que el INCIBE (Instituto Nacional de Ciberseguridad) es un excelente punto de partida para una empresa, ya que ofrece asesoramiento básico gratuito. “De ahí puedes sacar información para saber por dónde empezar”. Y aseguró que, aunque una empresa realice una gran inversión, ni siquiera así está protegida al 100%.
Vicente Zaragozá opina que simplemente con mejorar los procedimientos internos de la empresa ya se tiene mucho camino andado. “Elaborar un plan de prevención y cumplirlo ya es un paso”. Aunque según Alejandro Bermejo, es preciso que surjan más empresas de ciberseguridad en este sector que permitan externalizar el servicio.
“La prevención se puede llevar a cabo incluso siendo una empresa pequeña. Implementar protocolos de seguridad y mejorar los procedimientos internos no tiene ningún coste”.
VICENTE ZARAGOZÁ, DIRECTOR DE TECNOLOGÍA ANDREU WORLD
Riesgos en la internacionalización
Con la internacionalización de las empresas se eliminan las fronteras, pero también las barreras para los piratas informáticos, “incluso para las pequeñas empresas, que dan el salto a la exportación”, afirma Alejandro Bermejo.
Vicente Zaragozá, de Andreu World, conoce bien el tema debido a las características de su empresa: “todo se complica cuando entran en juego oficinas de distintos países, donde los hackers tienen distintos intereses y objetivos”, dice. “Todas las sedes internacionales deben estar bajo un mismo paraguas de ciberseguridad”. El peligro está ahí fuera, ya que en el extranjero hay aún más ataques que en España y a esto se suma el riesgo que corren los comerciales que viajan y se conectan para trabajar a redes abiertas en hoteles o aeropuertos.
Por otro lado, la llamada “nube” es un peligro que no se suele tener en cuenta. José Chaparro, de Aidimme, comentó que “aunque la nube tiene su propia seguridad, no lo es completamente si no se implementan protocolos propios de seguridad”. A lo que Juan Ciller añadió que es necesario crear siempre copias de seguridad fuera de la nube.
El problema de una digitalización precipitada
“Queremos digitalizarnos a toda prisa sin valorar los riesgos”, aseveró Alejandro Bermejo, “y eso es como ir a 200 Km. por hora en un coche sin cinturón de seguridad”. El problema, según Eduardo Tomás, es que “la industria piensa exclusivamente en la productividad, y se encuentra desactualizada en muchos aspectos”.
Respecto a la Industria 4.0 y la conexión de las máquinas, Juan Ciller es un gran conocedor del tema. “La desactualización de algunas máquinas antiguas es un problema porque se conectan a la red sin poderse integrar en un sistema de ciberseguridad adecuado, por lo que están desprotegidas”, explicaba. “En Homag recomendamos conectar las máquinas en redes diferentes a las generales de la empresa, es decir, segmentar redes para que, en caso de ataque, los piratas no tengan acceso a datos sensibles de la empresa”. De esta forma, las empresas deben aprovechar su introducción en la Industria 4.0 para introducir al mismo tiempo la ciberseguridad.
Puedes leer el reportaje completo en el periódico El Sector núm. 143