La seguridad en la pyme: «Hay que apostar por el canal de confianza»
La pyme se enfrenta a las mismas amenazas de seguridad que las empresas de menor tamaño, pero le falta un buen consejero que sepa entender sus necesidades y recomendarle el producto más adecuado.
La pyme está más expuesta a las amenazas de seguridad que las grandes empresas. Por un lado pecan de confiadas con la idea de no tener nada que interese a los cibercriminales, y por otro normalmente no suelen contar con personal cualificado que blinde su negocio contra los ciberataques.
Para hablar de la Seguridad en la PYME, NetMediaEurope se ha reunido con Bosco Espinosa de los Monteros, Key Presales Manager de Kaspersky Lab Spain, y Javier Arnaiz, Business Development Manager de G Data Software, alrededor de un desayuno, el primero de otros muchos que tratarán diferentes aspectos de la seguridad.
Con estos dos expertos de seguridad se ha tratado el tema de los antivirus gratuitos y la falsa sensación de seguridad que ofrecen, del coste de la seguridad, de las amenazas de seguridad y de consejos y buenas prácticas, entre otras cosas.
¿Son seguros los antivirus gratuitos?
La seguridad es una más de las cinco megatendencias de la llamada tercera plataforma (Cloud, Big Data, Social Media…), una tendencia que como la movilidad ya peina canas… El mercado de la seguridad va muy bien, si bien es cierto que en el ámbito de la pyme sí se ha notado un cierto descenso, aunque no tan acusado como el producido en retail. La culpa de esto último lo tiene los programas gratuitos que han proliferado al albur de la crisis, ofreciendo esa seguridad que psicológicamente anhelan los consumidores pero sin rascarse los bolsillos. Dichos programas también han aterrizado masivamente en las pymes de mano de los teléfonos Android.
Javier: A los gratuitos los incluyo directamente entre las amenazas, principalmente porque ofrecen una falsa apariencia de seguridad. Es como si pongo un cubo de agua en un rincón y lo llamase sistema antiincendios. Comercialmente, el ratio de paso de una versión gratuita a una de pago es ridículo. Nno creo que existan unas “TI sin Fronteras”, no son unas ONG; entonces, ¿cómo monetizan todo su trabajo e inversión? Créeme, te asustará saberlo.
Bosco: Estos programas actúan como sondas. Conoce tus datos de navegación, las IP con las que conectas, todos los metadatos, a poco que te descuides accede a tu geolocalización, a tu lista de contactos y mensajes. Una empresa seria de antivirus y seguridad dedica el 80% a personal técnico, entre desarrolladores, preventa y soporte, así como investigación. No sirve de nada encontrar un fichero infectado, si no se le sabe “curar”. Esos recursos no caen del cielo y exigen una inversión continua para estar al día, justo lo contario de los programas gratuitos. Nosotros no dejamos nunca abandonada a la pyme, que en caso de necesitar ayuda siempre tendrá como mínimo un soporte gratuito 8 horas x 5 días a la semana, además de otras opciones más Premium.
¿Ha afectado la crisis a la renovación informática en las pymes?
El binomio pyme y nuevas tecnologías (movilidad, la nube, el pago por uso…) parece estar reñido. Son tendencias que por su fácil adopción y baja inversión se pensaba que iban a arrasar entre las empresas más pequeñas. Pero cuando lo hacen, es siempre bajo su cuenta y riesgo. Craso error, es como si les faltase alguien cercano que se lo explique bien o fueran alérgicos a confiar en el canal.
Javier: La pyme en este país ha hecho grandes esfuerzos (y no me estoy refiriendo sólo en el campo de la seguridad, sino en muchas otras cosas), son los héroes de la economía. Pero mayoritariamente aún no han entendido de la importancia de tener todas sus puertas cerradas, o al menos con cerraduras. En este aspecto en particular, se han producido alarmantes desinversiones, lo cual creemos que es un error. No un error achacable directamente a la pyme, sino a nosotros mismos como fabricantes y canal, por no haberles sabido transmitir los riesgos, o al menos hacerles ver el coste real tan ínfimo que supone estar bien protegido, ya que por menos de lo que vale el móvil que tienen en el bolsillo pueden tener toda su red blindada. Sin embargo, ante las primeras dificultades, se ha prescindido del botellón de agua y de renovar el antivirus.
Bosco: Otra cosa a considerar es que tampoco les hemos sabido concienciar de los nuevos riesgos que supone la movilidad. Estamos todo el día con teléfonos inteligentes y tabletas y no somos conscientes de que todo esto supone una nueva vulnerabilidad, no basta ya con proteger los ordenadores de la oficina. El riesgo aumenta exponencialmente, pero no su coste, que es lineal, por una licencia más ya tienes protegida esa puerta. Un empresario o un autónomo encima tiene cada vez más sus cuentas, sus contactos o sus pedidos allí metido. Otra tecnología que está despuntando es el almacenamiento en la nube, ya sea en servicios gratuitos o de pago; y es al final otra puerta a vigilar. Los “malos” lo saben, si consiguen hackear el iCloud o el Dropbox se meten hasta la cocina. A no ser que la configuración de protección de la red esté segmentada, entonces igual pueden haber atacado a una cuenta, pero no acceder a la de al lado.
¿Sería útil poder tener una homologación oficial en seguridad?
Dentro del ecosistema que conforma el tejido empresarial, como en las relaciones personales, todas las empresas están a menos de seis grados las unas de las otras. Promiscuidad y profilaxis no siempre van de la mano…
Javier: Ahora todos somos objetivo, si no el primero o el segundo en la lista, el tercero o cuarto; muchas veces no es ciertamente por nuestra propia relevancia, sino por la de nuestros contactos, para conseguir llegar al cliente mayor: es más difícil atacar a una gran marca de automóviles que a uno de sus proveedores de la industria auxiliar que le hace el tornillo de una pieza que va en la rueda; pero a partir de ahí… Se carece de un protocolo general o buenas prácticas, no hay un plan institucional que especifique cómo debería ser esa relación y garantizar los mínimos exigibles, una especie de homologación o ISO en seguridad.
Bosco: Es cierto que cada vez hay más empresas que piden una cierta homologación en seguridad para ser dados de alta como proveedores, pero aquí surge el problema de quién es el que certifica: si yo cliente mando a mis técnicos o a mi partner a los proveedores que quieren trabajar conmigo, ¿va a valer para otras empresas? ¿Y quién asume el coste? O al revés, si mi proveedor me presenta un papel que dice que está “aprobado”, ¿yo me lo tengo que creer? ¿Cada cuánto habría que pasar la inspección? Porque los planes legislativos están muy bien, pero son muy lentos y este mundo va muy rápido, lo que valía para ayer no vale para hoy.
¿Cuáles son las amenazas más peligrosas?
El sindicato del mal no tiene descanso y continuamente está ideando cómo extorsionar y sacar beneficio al robo de identidades o de información sensible… ¿Hay alguna manera de defenderse?
Bosco: El delito informático no tiene fronteras, es internacional. A mí me ataca un “Borisoff”, un “Chinchu-Fú” o un “Mohamed”, no “Pepito el de la esquina”. Si respondo con un ataque directo resulta que el que va a la cárcel soy yo. Es más práctico la defensa proactiva, esto es, para prevenir un posible ataque hackinético, antes me debo haber atacado a mí mismo para poder averiguar mis vulnerabilidades y tratar de corregir los agujeros.
Javier: En la legislación actual es como si llevase una pistola: estoy obligado a retener al ladrón de buenas maneras, no a pegarle unos mamporros alegando autodefensa. Pero lo cierto es que el año pasado fue especialmente crudo para las pymes, recibimos un aluvión de mensajes de ayuda por el alto número de empresas infectadas con el CryptoLocker y todos sus hermanos, que secuestraban información encriptándola y pedían después un alto rescate por la clave. El mejor remedio es disponer de una configuración adecuada que nos proteja de este malware. Tecnológicamente no son más sofisticados, lo que sí ha “mejorado” mucho es el trabajo en ingeniería social. El eslabón más débil sigue siendo el usuario final, y la recomendación principal sigue siendo la de no abrir archivos de desconocidos. Pero otra versión que estamos detectando es el de los falsos CV adjuntos remitidos a los departamentos de RRHH; básicamente, vienen enmascarados en extensiones .doc o .pdf, pero tienen un comando por detrás .exe o un ASCII raro.
Bosco: Las máquinas de los hackers están continuamente escaneando Internet en busca de vulnerabilidades, localizando y cazando ordenadores para poder operar desde ellos y lanzar luego sus ataques distribuidos. Yo no tengo ni idea, pero si mi ordenador es el origen de un ataque a otros de la competencia o del Gobierno, por ejemplo, el responsable soy yo. Lo más fundamental es cómo conseguir ser anónimo. Ya no se trata de frikis que desde el garaje de sus casas quieren hacer una travesura a cambio de un poco de notoriedad, sino de transnacionales bien organizadas que funcionan como unos grandes almacenes: en la planta primera, gusanos y troyanos, en la segunda, ordenadores zombis y spam, en la tercera números de cuenta y tarjetas de crédito…
Javier: El adware también está de moda, no es tan peligroso para la integridad de los datos, pero sí muy molesto para la navegación y la rapidez del equipo. Cada vez es más común que en las actualizaciones o en los programas gratuitos que te descargas de la web te inciten a descargarte barras de navegación y buscadores por defecto. Hay que leerse bien lo que pone, somos unos histéricos en el clic y en el tap, pero solo tardas diez segundos en pararte y asegurarte de lo que aceptas. No aceptes por defecto lo que te proponen y fíjate en los cuadraditos marcados, normalmente son complementos de navegación que no sirven para nada más que para consumir recursos de tu máquina.
La garantía de un soporte técnico basado en el canal
El canal toma el papel de los departamentos TI de las grandes empresas pero al servicio de la pyme. Es la forma normal de trabajar, externalizar esta función y pagar en función de los servicios contratados.
Javier: Ya lo decía Calderón: “Casa con dos puertas, mala es de guardar”. ¿Cuántas puertas tengo? Si tengo diez, que se comunican con otras diez, ya son cien puntos de riesgo… La solución más eficaz es protegerse por capas, para saber lo que te falta y lo que te sobra. Existen casos de sobreventa, es cierto, una pyme no necesita un Fortinet que es como matar moscas a cañonazos; no me compro un Stradivarius para empezar a aprender a tocar el violín. La sobreconfiguración no es mala por sí misma, pero implica haber gastado más de lo realmente necesario. Es más práctico tener una configuración que se adapte a tus necesidades reales, que se pueda cambiar y ajustar tanto si reduces personal como si abres una sucursal.
Bosco: Un consejo es buscar la solución y el partner que se adapte a nuestras necesidades, que no se intente ir ni muy por arriba ni muy por abajo. No se trata de que nos despachen justo cuarto y mitad, sino de que nos expliquen bien nuestras necesidades y lo que nos van a instalar. Nosotros como fabricantes tratamos de incentivarles y motivarles, con cursos de formación, con más margen para sus ventas, con webs mejor diseñadas…
Javier: Confiar en compañías que no son especialistas puede resultar muy caro. Hay que acudir al canal certificado por el fabricante, que garantizan tener suficiente capacidad y conocimientos para realizar servicios con solvencia. Para una pyme esto es si cabe más importante que para una gran compañía que en general dispone de un departamento TI propio. La OCU ya alerta de que se desconfíe de los regalos y de las llamativas ofertas en lo que todo se prometa gratis o a muy bajo precio. Al final se lo van a cobrar, sea a costa de tus datos o de tus vulnerabilidades.
Bosco: Aún queda mucha pyme por securizar, pero sobre todo queda mucha micropyme. Ya son conscientes del palo que supone tener tres ordenadores colgados durante dos días y a tres empleados mano sobre mano, ese mes te han destrozado la facturación; ya no es sólo el coste directo de tener que comprar tres máquinas, sino los indirectos del negocio que no haces. Te has ahorrado 50 euros de una licencia “cara”, pero ¿cuánto cuesta una hora de trabajo de un empleado? Y ya no solo su sueldo, sino lo que deja de producir… ¿Cuánto pagas de factura telefónica al mes? Si te preguntas cuánto cuesta una licencia cross [que cubra tanto ordenador como móvil], no más de 30 euros. Estamos hablando de 100 o 200 euros al año por tenerlo “todo”. Respecto al SaaS, el autoservicio no lo veo aún factible porque una pyme no suele tener ese departamento TI que se pudiera encargar de ello; pero un servicio gestionado desde el canal sí.
Consejos y buenas prácticas
¿Qué necesita una pyme para estar medianamente asegurada… Necesita algo más que una suite multilicencia? A veces se ha pecado de despilfarro por una sobreprotección mal entendida… ¿Cuánto se aprovecha de todo lo que se ha vendido y está instalado?
Javier: De las características básicas, el 100%; bueno, el firewall no tanto, que se deshabilita en la mayoría de los casos. Pero por muy poco más tendrías todo cubierto. Estoy hablando que en vez de tener solo la funcionalidad “A”, para tener la “B” solo me tendría que gastar un euro más por equipo al año.
Bosco: En los tiempos que corren, ya tienes que meter seguridad perimetral, porque si tienes una infraestructura fija tienes más puntos de acceso. Si solo funcionas con un teléfono, lo llevas tú y eres el único usuario, pero desde el momento que tienes uno o varios servidores, empleados, proveedores conectándose o recibiendo correos… Yo apuntaría a la protección multicapa y una visibilidad de los dispositivos de 360º. No vale de nada proteger el teléfono si no protejo el correo. Y no es más caro, insisto, y a la larga sale más barato. En caso de tener que localizar un teléfono, en un instante podremos confirmar si se trata de una pérdida o un extravío, pero no un robo… si se mueve sólo, malo.
Javier: Si la red está bien desplegada y configurada y actualizada, si tiene bien hecho el trabajo, en el 99,999% de los casos te va a detectar las amenazas y te lanza una alarma. Basta con una regla del tipo “aplicaciones desconocidas no permitir que se ejecuten”, listas blancas/negras basadas en reputaciones y que se vayan retroalimentando. Por eso es clave echar mano del canal y del soporte del fabricante. Tenemos que transmitir a las pymes que no están solas nunca, que igual con la crisis ha desaparecido la tienda que le surtía y daba servicio, pero el fabricante sigue, y hay partners de primer nivel muy especializados en pymes. Son expertos en administrar esa seguridad que se requiere en el mundo actual, a través de servicios gestionados controlan tu red, tus servidores, tu página web, tu correo… Además, se puede hacer auditorías de seguridad, si alguien ha pinchado un USB donde no debía, si se ha grabado algo que no le correspondía… La mayoría de los robos de información o de los daños a la red lo sigue produciendo personal interno de la empresa, bien por desconocimiento bien por resentimiento. No estamos hablando de excepciones exóticas… se trata de que el segurata en su guardia nocturna no pinche un USB con una peli descargada y traída de casa; si se lleva su propia tablet y pasa así la noche, es un problema laboral, pero si te mete un virus o un troyano en el sistema, ya es un problema de seguridad. Un control de los dispositivos con funciones forenses, rastreo de positivos y trazabilidad; el poder cifrar archivos con un guardar como y enviarlo con el ejecutable, no el correo abierto; y el poder inhibir webcams en determinados ámbitos como el educativo o financiero, serían otras buenas practicas.
Bosco: Otro asunto es el de la gestión de contraseñas. Es lo mismo de siempre: cuando instalas un router por Dios, cambia la configuración que viene por defecto, quítale el WiFi abierto, cambia la password, ponle cifrado WEP y filtros MAC… y si no sabes, llama a tu proveedor, los tutoriales en Internet tienen un coste cero. Respecto a las contraseñas, se ha hecho una labor de concienciación muy positiva: cuanto más compleja mejor, si combina caracteres alfanuméricos, mayúsculas y minúsculas, mejor. Con tener tres diferenciadas, una para temas personales y bancos, otra para redes sociales y otra para el trabajo, es suficiente, con tal de irlas renovando periódicamente.
Javier: Son cosas de sentido común, el último que cierre (y llévate la llave, no la dejes puesta). Es como el mal ejemplo de la ducha: cualquiera puede tener un resbalón y caer; la solución para prevenir los accidentes no puede ser dejar de ducharse, sino poner las medidas oportunas: suelo antideslizante, agarraderos, mampara… Hay soluciones, también en el ámbito de la seguridad informática, que no tienen coste, y otras muchas sorprendentemente muy baratas.
G DATA SmallBusiness Security se concibió especialmente para las exigencias de las pequeñas empresas.Todas las funciones de protección, como AntiVirus, cortafuegos o MailSecurity trabajan en segundo plano, sin ningún mantenimiento, para que usted pueda concentrarse en su negocio principal.
Kaspersky Small Office Security ofrece tecnologías de protección para empresas diseñadas para garantizar facilidad de instalación, configuración y uso. El programa protege sus equipos de escritorio y servidores de archivos con Windows, así como smartphones y tablets Android; para mantener a buen recaudo sus transacciones bancarias online, los datos de su empresa y la información que le confían sus clientes.