Ilier Navarro. Las empresas que cuentan con distintas sedes físicas a lo largo de la geografía española o, incluso, a nivel internacional, afrontan un riesgo del que muchas son conscientes, pero no lo atajan de manera definitiva: contar con distintos protocolos de ciberseguridad. Un estudio confirma que casi dos de cada tres empresas españolas (el 62%) que tiene sedes distribuidas geográficamente han identificado una peligrosa disparidad en los niveles de ciberprotección de sus distintas ubicaciones.
Tal como confirma el informe “Managing geographically distributed businesses: challenges and solutions”, que ha elaborado la consultora Kaspersky, el 44% de estas compañías admite que esto supone un problema y son conscientes de ellos, pero no lo han catalogado como un asunto crítico. El motivo es la confianza: aseguran que la mayoría de las oficinas locales se encuentran bien protegidas.
Frente a ello, hay un 18% que sostiene que sus sucursales necesitan implementar más medidas de ciberseguridad, mientras que el 16 % asegura que solo algunas de las sucursales estaban bajo control. Un residual 2% admitió que ninguna de sus sedes locales estaba realmente protegida.
Únicamente el 38% de los encuestados en España confía en que la protección frente a las ciberamenazas con la que cuenta su empresa en la sede central presentara los mismos niveles de eficacia que la de las oficinas locales.
La disparidad en los sistemas de protección frente a ciberataques en las distintas sucursales de una empresa puede entrañar serios riesgos para toda la organización. Y es que lo más recomendable es contar con criterios unificados y no dar por hecho que determinadas sedes no suponen un riesgo para la compañía.
Presupuesto limitado y expertos locales
Las causas de esta disparidad en los protocolos de seguridad frente a posibles ciberataques son variadas, pero las que tienen un mayor peso son las limitaciones presupuestarias, que hace que los sistemas no sean homologables de una sede a otra por temas de costes. Pero también incide un segundo factor, que es el de la falta de confianza en los expertos locales.
De acuerdo con los resultados del estudio, en el 42% de los casos las sedes centrales asumieron la responsabilidad de todas las actividades de ciberseguridad en las sucursales, alegando que el personal local no contaba con los conocimientos o con la cualificación necesarias. Pero incluso en el 56% de los casos en los que las tareas de ciberseguridad se repartían de manera equitativa entre la sede central y los equipos locales, todas las actividades contaban con la supervisión por parte de la sede central.
Esto puede suponer ciertos obstáculos para el funcionamiento normal y la operatividad de las empresas. Y es que, aunque es habitual que los datos más críticos y la información más sensible estén centralizados, lo normal es que activos de la empresa tengan que ser accesible desde varias ubicaciones. Pero si estos no se encuentran con los mismos niveles de protección de la sede central, se crean riesgos de seguridad para toda la organización, apuntan los expertos que han participado en el informe.
Cambio de mentalidad
Lo habitual es que en muchas organizaciones exista la idea equivocada de que en las oficinas o sedes más pequeñas o que tienen un rol secundario a nivel de negocio se puede contar con niveles y sistemas de protección inferiores porque estos serán suficientes para prevenir cualquier actuación por parte de los ciberdelincuentes. Nada más lejos de la realidad.
Es como servir en bandeja un lugar vulnerable para facilitar la actuación de estos los cibercriminales. A ellos lo que les importan es entrar en la organización, ya sea por la puerta grande o por un “recoveco” virtual. Da igual que sea a través de la sede central o de la sucursal más pequeña: el objetivo es penetrar en la infraestructura de la empresa desde cualquier ubicación. El cambio de mentalidad es necesario porque hay que apostar por habilitar una protección que sea igual de eficaz en todos los lugares en los que se opere la organización.
De ahí la importancia de homologar los niveles de ciberseguridad en toda la empresa. De lo contrario, los ciberdelincuentes, que suelen estar a la caza de vulnerabilidades y de puertas de entrada traseras para acceder a los sistemas, pueden aprovechar estos menores niveles de protección de las distintas sedes locales para causar un daño que, en muchas ocasiones, puede ser irreparable.
Sin dejar de lado los costes que conlleva la reparación y recuperación de los sistemas que han sido vulnerados y de la información comprometida, en más de un caso han puesto en jaque el negocio mismo o la reputación de la compañía, además de provocar un impacto relevante en términos de responsabilidad legal tanto de la propia empresa como de sus administradores. Implantar protocolos de seguridad unificados tanto en la sede central de la compañía como en las pequeñas sucursales parece una inversión rentable a largo plazo y que evitará males mayores.