Las pymes se blindan en Internet para poder optar a contratos con la Administración

Internet es un territorio hostil. Entre 'Pegasus', 'ransonware' y 'crackers' se maneja uno en el mundo virtual, al quite de los sitios web sospechosos aunque ignorante ante la mayoría de los peligros de la red. La Administración pretende ponerle cerco al riesgo y, a través de un decreto firmado en 2010 pero actualizado este año, el Ministerio del Interior obligará a que cualquier empresa que quiera acceder a la licitación de pliegos públicos deba certificar unos requisitos mínimos en ciberseguridad. Para las pymes, la cuestión supondrá una inversión media de entre 3.000 y 6.000 euros en un contexto inflacionista, además de una constante formación y la creación de un comité de ciberseguridad en su seno.

El decreto en cuestión es el llamado Esquema Nacional de Seguridad (ENS), elaborado por los centros de inteligencia y encriptación españoles (el Centro Nacional de Inteligencia [CNI] y el Incibe). El caso es que la norma obliga a levantar muros de protección a ayuntamientos de cualquier tamaño, parlamentos autonómicos y otras instituciones públicas. Por efecto tractor, las administraciones tendrán que obligar a las empresas a cumplir con los requisitos de protección de datos, creación de cortafuegos y, sobre todo, la concienciación de los trabajadores. Si el virus entra por un resquicio, el riesgo de contagio masivo es alto. En juego está la seguridad de la información que maneja la Administración, que no es otra que los datos de los ciudadanos de a pie.

No hay vuelta de hoja. Los expertos ya hablan de un incipiente aluvión de pequeñas y medianas empresas que se apuntan ya a las formaciones. Sin embargo, el desconocimiento reina sobre esta cuestión. Algunas consultoras como Kyocera o Delette Technology alertan de que el 90% de las organizaciones españolas no cumplen el nuevo esquema, que establece, entre otras cuestiones, la obligatoriedad de un borrado seguro.

Algunas consultoras como Kyocera o Delette Technology alertan de que el 90% de las organizaciones españolas no cumplen el nuevo esquema

"Dentro de 5 años, el que no se haya puesto al día con el ENS no podrá trabajar con el ente público y se quedará muy atrás", afirma David López, director ejecutivo (CEO) de Cibergob, una asesoría aragonesa que ayuda a otras empresas e instituciones a mantener actualizados y operativos sus protocolos de ciberseguridad. Las pymes ya se han puesto las pilas, si bien es cierto que las grandes multinacionales les llevan ventaja. 

Examen para el certificado

Una empresa puede certificarse por sí sola en el ENS presentándose al examen de entidades como Aenor (Asociación Española de Normalización y Certificación), pero lo habitual es preparar el camino de forma tutelada. Sirva esta analogía para una mejor comprensión. Aenor es el examinador del examen de conducir, una consultora como Cibergob es una autoescuela y la empresa aspirante es el aprendiz de conductor. El novel puede aprobar y conducir el vehículo; circular por la ciudad ya es otra cosa.

"Los ciberdelincuentes tienen una industria. Trabajan sus ocho horas y se van a casa, que nadie se piense que es algo artesanal"

David López

— CEO de la asesoría Cibergob

Una de esas empresas que ahora se prepara para obtener la certificación con Cibergob es la pyme aragonesa Sincronet, que se dedica a revisar e investigar rastros tras los ataque informáticos. Como puede deducirse, la mayoría de las organizaciones que se apresuran por adecuarse a la normativa son del gremio de la Informática todavía. Sin embargo, la seguridad informática concierne a todos. "Es un problema de concienciación. A algún gerente que ha sufrido ataques le dura la concienciación 15 días", critica José Manuel López, CEO de Sincronet.

Formación activa

"El ENS no es flor de un día. Te exige demostrar que existe un sistema de gestión, que analizas la información de la tecnología y que después tomas decisiones en base a esa información», apunta David López, de Cibergob. El responsable de la asesoría divide el protocolo en dos vertientes. Primero, la tecnológica: cortafuegos, sistemas operativos, enrutadores... Y segundo, pero infinitamente más importante, la formación de los usuarios, de los trabajadores. "Deben ser responsables de la información que gestionan y conscientes de que hay gente dispuesta a estafarnos", cuenta López.

De ahí que se vuelva primordial la gestión de los procesos internos. Explican desde Cibergob que someten a pruebas a sus clientes para comprobar que los protocolos están vigentes. Por ejemplo, envían un 'mail phising', un correo electrónico que simula ser una organización legítima pero cuyo único objetivo es robar información privada. "Enviamos 35 mensajes, uno por trabajador, y cae el 10%. Si cae uno, todo el mundo está en riesgo. Esa es la formación activa", explica López.

Secuestros informáticos

Los ataques cibernéticos más habituales en la escala de las pequeñas empresas son los secuestros y la suplantación de identidad. "Lo que más nos encontramos es el 'ransomware', que consiste en un secuestro de una máquina por el que se exige un pago para desbloquear el virus", relata el CEO de Cibergob.

También se observan muchos casos de suplantación de la identidad. Consiste esto en que el hacker se introduce en la empresa a través de correos electrónicos, cupones falsos y otras triquiñuelas. El ciberdelincuente escucha lo que pasa en la empresa, conoce quién firma los contratos o quiénes son los responsables de cada área. Y justo en el momento preciso, cuando debe hacerse una transferencia, desvía la cuenta bancaria para ejecutar el robo. "Los ciberdelincuentes tienen una industria. Trabajan sus ocho horas y se van a casa, que nadie se piense que es algo artesanal. Los ataques son masivos", advierte López. La ciberseguridad llama a la puerta. Hora de ponerse al día. 

Suscríbete para seguir leyendo