3 pasos para la protección cibernética

Ciberseguridad en Siemens

Eso no se aplica a mí, todo ha ido bien hasta este punto y es un muy mal momento para una actualización de software en este momento: muchas pequeñas y medianas empresas no se toman muy en serio la protección contra los ataques de piratas informáticos. Aunque una buena protección es vital, y de ninguna manera inalcanzable. La Carta de Fideicomiso ha desarrollado un plan de tres pasos.

¿Por qué las pequeñas y medianas empresas (PYME) son repetidamente atacadas por hackers y no se dan cuenta hasta que es demasiado tarde? ¿Qué riesgo corren los empleados? Y: ¿Cómo se benefician las empresas de invertir en una mayor protección contra los intrusos de la Web? La primera de las cuatro publicaciones de la serie titulada “Ciberseguridad en las pequeñas y medianas empresas” ha respondido a estas y muchas más preguntas. Ahora le toca al quinto y último post responder a la pregunta más importante de todas: ¿Qué se puede hacer? ¿Cómo puede una empresa con recursos limitados protegerse contra la mayoría de los ataques? “Con un concepto de seguridad integral”, recomienda Christian Haas, Director del Laboratorio de Capacitación en Ciberseguridad de Fraunhofer IOSB en Karlsruhe, Alemania. Contar con una buena ciberseguridad suele ser un problema organizativo en las pymes: responsabilidades poco claras, falta de conocimientos sobre ciberseguridad en la producción, prioridad simplemente dada a los volúmenes, solo por nombrar algunos. El Laboratorio de Capacitación en Ciberseguridad quisiera cambiar eso. Allí, las empresas pueden simular ataques de piratas informáticos y utilizar el conocimiento resultante para crear una mejor seguridad subyacente para su propia TI de producción.

Esperando la explosión

Sin embargo, las cosas casi nunca funcionan así. Muchas empresas desconocen los peligros, lamenta Ernst Esslinger. “La ciberseguridad en la industria se considera una especie de espada de Damocles”. Esslinger es el Director de Métodos y Herramientas de Homag, un fabricante alemán de máquinas para trabajar la madera en Schopfloch, Alemania. Las máquinas Homag están completamente conectadas, porque eso es lo que requiere la industria del mueble actual: los clientes configuran los armarios en línea, generando automáticamente datos de producción para las máquinas, que luego se utilizan para cortar las tablas y perforarlas. En términos de seguridad, todavía hay margen de mejora. El ingeniero mecánico fue coordinador del proyecto de investigación IUNO, que evaluó conceptos para garantizar la seguridad informática para la Industria 4.0 y fue impulsado por el Ministerio Federal de Educación e Investigación de Alemania. Siemens también era socio. Según Esslinger, IUNO desarrolló soluciones de seguridad para las cuatro áreas de aplicación, sin embargo, actualmente apenas hay demanda de temas relacionados con la seguridad. Las excusas son familiares: las empresas creen que no son interesantes para los piratas informáticos. O que bastará con la instalación de un cortafuegos. Y las actualizaciones de las máquinas se posponen porque nadie puede permitirse el tiempo de inactividad en este momento. “Pero en algún momento las cosas explotan”, advierte Esslinger.

 

Al igual que el investigador de Fraunhofer Christian Haas, Ernst Esslinger se ha encontrado con obstáculos menos técnicos pero más organizativos y una falta de conciencia. El Charter of Trust, que Siemens lanzó con empresas internacionales y socios de investigación en 2018, también ha llegado a esta conclusión. La iniciativa ha elaborado un catálogo de medidas con tres fases. Está destinado a abordar precisamente esas áreas.

Fase I: Establecimiento de una cultura de ciberseguridad

La ciberseguridad concierne a todos los empleados, en primer lugar a la dirección, que prefiere lavarse las manos y delegar en el departamento de TI la tarea de adoptar las medidas necesarias. En cambio, los gerentes deben declarar este tema como una prioridad máxima y asumir la responsabilidad. Primera medida: evaluación del riesgo. Los propios empleados de las empresas representan el mayor riesgo. Según Kaspersky, un proveedor de software de seguridad, más del 80 por ciento de los incidentes de seguridad son el resultado de un error humano. Ejemplos clásicos de esto son los correos electrónicos fraudulentos y las contraseñas simples. El único remedio aquí son los cursos regulares de capacitación. “Estas sesiones de formación también son importantes, porque permiten a las empresas demostrar que han tomado todas las medidas necesarias que se describen en el Reglamento general de protección de datos”, enfatiza Markus Schließ, un abogado con sede en Stuttgart que se especializa en derecho de TI.

Fase II: Implementación e incorporación de medidas

Las amenazas son conocidas, ahora se trata de medidas organizativas concretas. Las pymes deben examinar y optimizar detenidamente la protección de datos, las políticas de seguridad, la seguridad física y la gestión del acceso y comenzar a realizar medidas de formación. Estas medidas también son recomendadas por la Carta de Confianza, que Siemens ha agregado a sus Términos y Condiciones para proveedores. Pero eso no es todo: en particular, las empresas que ofrecen productos y servicios digitales y conectados deben incorporar la ciberseguridad como parte de estos productos. Aquí es donde entra en juego el concepto clave: seguridad desde el diseño, desde el desarrollo hasta el servicio, pasando por el funcionamiento del producto. Esto está estrechamente relacionado con la seguridad por defecto: todas las medidas de protección deben estar vigentes en el momento de la entrega, como contraseñas más seguras en lugar del "0000", que todavía se usa con frecuencia.

La protección cibernética no es un producto en el que simplemente invierte una vez y luego puede olvidarse de todo. Es más bien un proceso continuo.

Fase III: Comunicar medidas y actuar como modelo a seguir

Haz un buen trabajo y cuéntaselo a la gente. Esta recomendación también se aplica a las medidas destinadas a la ciberseguridad. Significa algo más que "relaciones públicas", sino una prueba individual del estado de seguridad mediante medidas de certificación como IEC 62443 o ISO 27001. Las empresas que dan un buen ejemplo animan a otras a adoptar el mismo enfoque. Esto es importante porque los ciberataques no se detienen simplemente en las fronteras corporativas o nacionales. Es por eso que las medidas de ciberseguridad siempre deben verse en contexto, como a lo largo de las cadenas de suministro o, por ejemplo, con los proveedores de servicios que luego son responsables del mantenimiento del producto.

 

Si una empresa ha completado estas tres fases, entonces está bien protegida de los piratas informáticos, pero no para siempre, ya que los delincuentes desarrollan constantemente nuevos métodos maliciosos de ataque. Por lo tanto, la protección cibernética no es un producto en el que simplemente invierta una vez y luego pueda olvidarse de todo. Es más bien un proceso continuo que requiere atención constante, pero también es precisamente por eso que es una forma de protección más sostenible.

 

Pero ahí radica la oportunidad: una buena ciberseguridad sirve como base para el cambio y los nuevos modelos de negocios digitales. Estos ya existen en la industria del mueble, un ejemplo de ello es la configuración online de muebles a medida. Sin embargo, muchas otras industrias todavía están en sus comienzos, señala Ernst Esslinger de Homag. Y cree que esto tiene que cambiar: "Solo hay una cosa que recomiendo para asegurarse de que no se pierda las muchas oportunidades que ofrece el mundo digital: hacer más por la ciberseguridad".

 

Clic aquí si deseas obtener más información sobre los riesgos cibernéticos que enfrentan las pequeñas y medianas empresas y saber qué puede hacer para abordarlos, incluso con la ayuda de Siemens.