Ilier Navarro. La ciberseguridad sigue siendo un reto para las pequeñas y medianas empresas. Y es que si se pone el foco en las medidas de seguridad con las que cuentan para afrontar los ciberataques, los propios responsables de informática de las pymes reconocen que sus organizaciones cuentan con un nivel “bajo” de seguridad. De hecho, solo un escaso 12% de ellos valora las medidas de las que disponen y las califica como de un nivel “muy seguro”.
El problema es que la idea de ciberseguridad entre las pymes se suele vincular de manera mayoritaria a la protección o reacción una vez que los ataques se han producido. Solo la mitad de las pymes tiene un enfoque proactivo y define este concepto como las “actuaciones de seguridad frente a terceros”, como los virus, los hackers, etc.
Todos estos datos están extraídos del informe de Google “Panorama actual de la Ciberseguridad en España. Retos y oportunidades para el sector público y privado”. En el apartado centrado en las pymes, el estudio advierte, además, que no es común que externalicen su desempeño en ciberseguridad. De hecho, el 64% de las pymes encuestadas se encarga de su propia ciberseguridad.
En la mayoría de los casos no parece haber una persona con un rol específico de responsable de ciberseguridad de la empresa. Las funciones no están segmentadas ni tampoco se recurre a personal especializado. En un 68% de las ocasiones el responsable de ciberseguridad es también el responsable de la gestión de la empresa.
Sin protocolos
La mayor parte de las pymes encuestadas (67%) no dispone de un protocolo específico o normas sobre medidas de seguridad. De estas medidas, las más habituales son el antivirus (91%) y las copias de seguridad (85%). Luego estarían el firewall o cortafuegos y la protección de las redes inalámbricas wifi.
Por otra parte, la contratación de un seguro contra riesgos cibernéticos es todavía muy minoritaria entre las pymes españolas, con solo un 12% de las empresas encuestadas que poseen una póliza contratada.
El porcentaje de pymes que son conscientes de haber sufrido un ataque es residual y solo un 17% de las pequeñas y medianas empresas declara haber sufrido alguna vez algún ciberataque. Entre los más comunes, están la inhabilitación de dispositivos a causa de un virus y el malware.
Medidas de ciberseguridad
La actualización de dispositivos y de contraseñas muestra una atención dispar. Aunque el 85% de las empresas lleva un control de actualización de los sistemas operativos de los dispositivos, casi la mitad lo hace solo en ordenadores. El 49% de las pymes encuestadas no dispone de normas que exigen la actualización de contraseñas cada cierto tiempo y poco más de la mitad de las pymes (58%) cambia sus contraseñas cada tres meses o con una periodicidad mayor.
Otro aspecto positivo es el conocimiento de los sistemas de verificación en dos pasos (2SV). Casi siete de cada diez responsables de empresas de más de tres empleados reconocen este sistema cuando se les presenta. Sin embargo, solo un 36% tiene establecida esta medida en su correo electrónico.
El almacenamiento en la nube muestra niveles de penetración cada vez más elevados entre las pymes españolas y la mitad de ellas lo utiliza y está satisfecha: la mitad lo califica con una puntuación de siete sobre diez.
Web corporativa y e-commerce
La seguridad de la web corporativa también se encuentra a niveles que tienen un amplio margen de mejora. Un 30% de pymes españolas no tiene implementado el protocolo https en sus webs y solo un 31% dispone de un programa específico para garantizar la seguridad de su página. De hecho, un tercio de las pymes desconoce si la empresa dispone o no de este programa específico.
También es muy bajo el porcentaje de pymes que es consciente de haber sufrido algún ataque en su página web. Entre las que manifiestan haberlo padecido, la gran mayoría reaccionó y consiguió frenarlo a tiempo.
Sobre las medidas de seguridad adoptadas por las empresas en e-commerce, el protocolo https es el más extendido, seguido del certificado SSL y el doble factor de autenticación en el pago. Al valorar la seguridad que brinda su comercio electrónico a los clientes, el 71,4% la percibe como “completamente seguro” y solo un 2,9% como “nada seguro”, para una media de 8,9 en una escala de 0 a 10.
Cultura de ciberseguridad
En cuanto a la relevancia de la ciberseguridad, 2 de cada 5 pymes atribuye un elevado nivel de importancia a la ciberseguridad para una empresa y un 44% la considera “muy importante”. Entre los elementos identificados como más complicados de implementar, destacan la formación de personal (19%), el coste (10%) y la concienciación / control del uso indebido (10%). Un 44% considera a la ciberseguridad como un aspecto muy relevante para una empresa, una tendencia al alza.
Pero falta cultura de ciberseguridad. Solo un 30% de los responsables de informática encuestados considera que los empleados están concienciados sobre lo importante que es la ciberseguridad. Además, la formación en este campo aparece como minoritaria en las pymes españolas y solo 6 de cada 10 pymes tienen restringido el acceso a determinada información sensible. Según los representantes de las pymes encuestadas, solo el 17% de sus trabajadores sabría cómo actuar ante un ciberataque.