Según los datos más recientes del Instituto Nacional de Estadística, no coincidentes con los de la Seguridad Social, al finalizar 2022 España contaba con 3.430.663 empresas, de las cuales casi dos millones no contaban con ningún empleado (tratándose fundamentalmente de trabajadores autónomos).
Si tenemos en cuenta el criterio establecido para la consideración de pequeñas y medianas empresas, simplificado para considerar únicamente el número de empleados, el resto se reparte de la siguiente forma: micropymes (menos de 10 empleados), 1.340.792; pequeñas (entre 10 y 49), 122.838; medianas (entre 50 y 249), 19.994; y grandes (desde 250 trabajadores), 4.720.
Digitalización
En su inmensa mayoría, si no todas ellas, hacen uso de la tecnología como soporte del desarrollo de su actividad. Incluso la más pequeña tiene algún PC y seguro que utiliza el correo electrónico para comunicarse con sus clientes y una hoja de cálculo para hacer facturas. Es más, desde hace poco, todas las personas jurídicas tienen la obligación de recibir las notificaciones de la Agencia Tributaria de forma electrónica, con lo que ninguna empresa queda dispensada de disponer de medios electrónicos para comunicarse con la hacienda pública.
De hecho, una de las acciones más recientes de los cibercriminales ha sido emular a la Agencia Tributaria con un correo indicando que se dispone de una notificación electrónica en la Dirección Electrónica Habilitada Única, invitando a acceder mediante una página falsa que pretende capturar información de acceso de los usuarios confiados.
Por tanto, ninguna organización está libre de verse atacada. Y si bien la ciberseguridad es una disciplina que lleva ya algunos años de implantación en las grandes compañías, es mucho más difícil que en una organización de reducido tamaño, especialmente las más pequeñas de la escala, se pueda contar con recursos que velen para evitar que ocurra algún incidente.
Correos fraudulentos
A priori, puede parecer que los ciberdelincuentes están más motivados por dar el golpe en una gran organización, ya que ello les puede aportar un botín mucho más suculento. Está claro que los únicos ataques de los que los medios se hacen eco y que llegan a diario a nuestros ojos y oídos son aquellos que llaman la atención por su dimensión, como por ejemplo el sufrido por el Clínic de Barcelona.
Pero muchas pequeñas empresas son sufridoras en silencio de fraudes como el mencionado de la Agencia Tributaria, que es tan fácil de perpetrar como enviar cientos de miles de correos probando direcciones tan habituales como ‘[email protected]’.
El correo es recibido por el gerente de la organización, que se acuerda de los familiares del ministro/a, y hace clic en el enlace disfrazado de https://dehu.redsara.es/ para ver la penalidad a la que debe someterse; y zas, pica en el anzuelo. El campo de cultivo para este tipo de acciones es inmenso y la mera probabilidad hace que caigan por cientos, sin que los daños sufridos individualmente se hagan públicos.
Para una pyme, la implantación y control de medidas de protección resulta una faena complicada
Inversión y concienciación en ciberseguridad
Aunque la concienciación sobre ciberseguridad va en aumento, en base a todas las noticias sobre incidentes que se publican a diario, está claro que no es suficiente. La inversión en ciberseguridad crece año tras año, y en mayor medida lo hace el número de incidentes y el coste asociado que a una gran organización puede llegar a salirle carísimo. Pero aún más a una empresa pequeña, que en términos proporcionales puede llegar a ser letal.
No obstante, incluso con esa creciente concienciación, nadie espera ser el siguiente. Desde luego, no será por falta de literatura. Disponemos de completísimas bibliotecas de políticas y procedimientos que nos cuentan cómo implantar medidas de seguridad en todos los aspectos que pueden tomarse en consideración. Pero la verdad es que, para una pyme, la lectura de decenas de megas de documentación supone un enorme esfuerzo de muy difícil digestión, y me temo que en realidad no aportan la utilidad con la que fueron concebidos.
Directiva NIS 2
También desde Europa vienen impulsos para robustecer la ciberseguridad y la resiliencia del tejido empresarial. En este contexto de pequeñas y medianas empresas, muchas de éstas van a tener que prestar mayor atención a la ciberseguridad, ya que la Directiva NIS 2 impacta en todas aquellas consideradas medianas (y también en algunas pequeñas) de todos los sectores incluidos.
Este motivo obligará a dedicar una serie de recursos para establecer medidas de seguridad y un mayor control de los riesgos asociados. Sin embargo, en ese control aparece una nueva variable: hay que incluir también a la cadena de suministro, con lo que el ámbito de aplicación se extiende mucho más allá de los propios sectores considerados en la Directiva.
Adicionalmente, la responsabilidad recae directamente en la alta dirección, que deberá establecer la definición de los planes de ciberseguridad, dotar de recursos para su ejecución y hacer seguimiento de su implantación. Además de pasar por la formación específica que hasta ahora estaba reservada a los profesionales. Todo ello, acompañado de un régimen sancionador que, sin duda, impulsará el fortalecimiento de las infraestructuras digitales.
Obligada o no por NIS 2, para una pyme, la implantación y control de medidas de protección resulta una faena complicada. Ocuparse del propio negocio ya es una tarea suficientemente laboriosa y esforzada que requiere dedicación plena, y no queda más remedio que contratar a terceros para la prestación de los servicios que no constituyen el núcleo del propio negocio; ya sean los de carácter tecnológico como otros de carácter más administrativo y soporte, siendo todos ellos necesarios para que el empresario pueda desarrollar su actividad. Además, debe poder contratar estos servicios con confianza, pero tampoco dispone de conocimientos o recursos para saber si las opciones que se le presentan resultan adecuadas.
Calificación en ciberseguridad
He intentado evitarlo, pero no me queda más remedio que hacer una mención a la utilidad que el concepto de ‘calificación‘, tan extensamente empleado en otros tan diferentes como la valoración de un hotel o la eficiencia energética, puede aportar al mundo de la ciberseguridad. La calificación facilita el entendimiento del nivel ofrecido por un servicio sin disponer de conocimiento experto para evaluarlo.
Las pequeñas empresas necesitan que se lo pongamos fácil.