Red Seguridad 101

red seguridad segundo trimestre 2023 33 pymes monográfico que debe someterse; y zas, pica en el anzuelo. El campo de cultivo para este tipo de acciones es inmenso y la mera probabilidad hace que caigan por cien- tos, sin que los daños sufridos indivi- dualmente se hagan públicos. Inversión y concienciación Aunque la concienciación sobre ciber- seguridad va en aumento, en base a to- das las noticias sobre incidentes que se publican a diario, está claro que no es suficiente. La inversión en ciberseguri- dad crece año tras año, y en mayor me- dida lo hace el número de incidentes y el coste asociado que a una gran orga- nización puede llegar a salirle carísimo. Pero aún más a una empresa pequeña, que en términos proporcionales puede llegar a ser letal. No obstante, incluso con esa crecien- te concienciación, nadie espera ser el si- guiente. Desde luego, no será por falta de literatura. Disponemos de completísimas bibliotecas de políticas y procedimientos que nos cuentan cómo implantar medi- das de seguridad en todos los aspectos que pueden tomarse en consideración. Pero la verdad es que, para una pyme, la lectura de decenas de megas de docu- mentación supone un enorme esfuerzo de muy difícil digestión, y me temo que en realidad no aportan la utilidad con la que fueron concebidos. Directiva NIS 2 También desde Europa vienen impulsos para robustecer la ciberseguridad y la resiliencia del tejido empresarial. En este contexto de pequeñas y medianas em- presas, muchas de éstas van a tener que prestar mayor atención a la ciberseguri- dad, ya que la Directiva NIS 2 impacta en todas aquellas consideradas media- nas (y también en algunas pequeñas) de todos los sectores incluidos. Este motivo obligará a dedicar una serie de recursos para establecer medi- das de seguridad y un mayor control de los riesgos asociados. Sin embargo, en ese control aparece una nueva varia- ble: hay que incluir también a la cadena de suministro, con lo que el ámbito de aplicación se extiende mucho más allá de los propios sectores considerados en la Directiva. Adicionalmente, la responsabilidad recae directamente en la alta dirección, que deberá establecer la definición de los planes de ciberseguridad, dotar de recursos para su ejecución y hacer se- guimiento de su implantación. Además de pasar por la formación específica que hasta ahora estaba reservada a los profesionales. Todo ello, acompañado de un régimen sancionador que, sin duda, impulsará el fortalecimiento de las infraestructuras digitales. Obligada o no por NIS 2, para una pyme, la implantación y control de medidas de protección resulta una faena complicada. Ocuparse del pro- pio negocio ya es una tarea suficien- temente laboriosa y esforzada que requiere dedicación plena, y no queda más remedio que contratar a terceros para la prestación de los servicios que no constituyen el núcleo del propio negocio; ya sean los de carácter tec- nológico como otros de carácter más administrativo y soporte, siendo todos ellos necesarios para que el empre- sario pueda desarrollar su actividad. Además, debe poder contratar estos servicios con confianza, pero tampoco dispone de conocimientos o recursos para saber si las opciones que se le presentan resultan adecuadas. Calificación He intentado evitarlo, pero no me queda más remedio que hacer una mención a la utilidad que el concepto de ‘califica- ción’, tan extensamente empleado en otros tan diferentes como la valoración de un hotel o la eficiencia energética, puede aportar al mundo de la ciberse- guridad. La calificación facilita el en- tendimiento del nivel ofrecido por un servicio sin disponer de conocimiento experto para evaluarlo. Las pequeñas empresas necesitan que se lo pongamos fácil.