Seguridad de la información para PYMES

CONTENIDO

• Seguridad de la información para PYMES
• Introducción a la seguridad de la información: ISO 27001 para pequeñas empresas s
• Seguridad informática mejorada para pymes gracias a nuevos controles
• NIS2: Por qué las pymes necesitan reforzar su ciberseguridad
• Seguridad de la información para PYMES – Conclusión
• En buenas manos con DQS
• Consejo de lectura: Información documentada

Seguridad de la información para PYMES

Los tiempos han cambiado, y con ellos también los requisitos de ciberseguridad para las pymes. Muchas pymes están creciendo rápidamente y a menudo se encuentran entre los líderes del mercado en sus sectores. Por lo tanto, tienen una necesidad correspondientemente alta de proteger sus conocimientos técnicos, que suelen ser únicos, y  secretos de negocios - pero en principio todos sus datos e información - contra accesos no autorizados.

Sin embargo, debido a sus recursos limitados, las PYME rara vez cuentan con los medios necesarios para una implementación fluida.  Seguridad de la información A nivel empresarial, incluso si son conscientes de los riesgos de seguridad que existen en el panorama general de la tecnología de la información y la seguridad de los datos. La falta de especialistas en el sector de TI y los enormes costes de funcionamiento de un centro de operaciones de seguridad (SOC) propio son solo dos de los muchos problemas que se interponen en el camino de las pymes a la hora de optimizar su ciberseguridad.

Esto es aún más problemático porque las pymes se enfrentan a cada vez más ataques de ciberdelincuentes, en parte debido a la tensa situación geopolítica y al aumento de los ataques a la cadena de suministro. El espectro abarca desde el ransomware enviado en masa hasta los ataques profesionales dirigidos contra empresas individuales. Los atacantes también utilizan cada vez más los servicios en la nube como vector, que las pymes (tienen que) utilizar con especial frecuencia por razones de costes y eficiencia.

Una encuesta realizada por la compañía de seguros alemana Seguros HDI En 2024, un estudio reveló que el 53% de las pequeñas y medianas empresas ya han sido objeto de un ciberataque. Sin embargo, esta cifra no refleja el alcance total de los ataques, sino que solo documenta aquellos incidentes que las empresas admiten públicamente.

Esta impresión la confirma el informe alemán " Estudio Gothaer sobre pymes 2024 ", según el cual el cibercrimen representa el mayor riesgo para el 48% de las pymes. Según el estudio, el 37% de las pequeñas empresas también prevé que el riesgo de ser víctima de un ciberataque aumentará aún más en los próximos doce meses. Esto no incluye aquellos riesgos de seguridad de la información que no provienen de la red en absoluto, sino que son de naturaleza interna, principalmente personal, y desempeñan un papel importante en el contexto de la seguridad integral de la información.

ISO 27001 para pequeñas empresas

Como responsable de seguridad de la información (ISO) y responsable de protección de datos de una pequeña o mediana empresa, hoy en día no hay muchas opciones: hay que garantizar la seguridad de los datos y la información sensibles. No se trata solo de la seguridad de la tecnología de la información, sino que también hay que tener en cuenta las medidas estructurales, los procedimientos y procesos organizativos y los requisitos de personal. El factor humano también desempeña un papel central en la seguridad de la información y debe tenerse en cuenta en consecuencia.

El estándar de oro para la seguridad sistemática de la información es el estándar internacional  ISO/IEC 27001 Proporciona una base de prueba establecida y pautas para implementar sistemas de gestión de seguridad de la información (SGSI) para empresas independientemente de su estructura organizativa, orientación o tamaño. Anexo A de la  Nueva ISO/IEC 27001:2022, que en su forma actualizada aborda todos los aspectos de la seguridad de la información, desde las medidas organizativas hasta las medidas personales y físicas.  Medidas técnicas de seguridad - Ofrece una buena introducción para las pequeñas empresas.

Seguridad informática mejorada para pymes gracias a nuevos controles

El carácter pragmático del Anexo A por sí solo hace que la norma ISO 27001 sea una buena opción para las pequeñas empresas. Comprende un total de 93 medidas (controles) de seguridad de la información, 11 de las cuales se introdujeron por primera vez en la última actualización de 2022.

Los nuevos controles se centran principalmente en la seguridad de los datos y las estructuras en el ámbito digital y, por tanto, ofrecen valiosas directrices que pueden mejorar significativamente la seguridad de la información para las pymes. A continuación, se ofrece un resumen de algunas de las nuevas funciones y de cómo pueden beneficiarse de ellas las pequeñas empresas:

• 5.7 Inteligencia de amenazas, 8.16 Monitoreo de actividades, 8.23 Filtrado web
  Estos controles para la detección, prevención, y el reconocimiento oportuno de los ataques cibernéticos puede ser de importancia casi existencial para las PYME en términos de seguridad y  Gestión de la continuidad del negocio. Las pequeñas empresas no sólo son vulnerables a los delitos cibernéticos debido a sus recursos limitados, sino que también pueden llegar rápidamente al punto de insolvencia general en caso de ransomware.

• 5.23 Seguridad de la información para el uso de servicios en la nube
  Dado que las pymes suelen utilizar servicios de nube externos, resulta especialmente relevante implementar procesos adecuados para adquirir, utilizar, gestionar y abandonar los servicios de nube. La medida también tiene en cuenta las responsabilidades entre el proveedor de servicios de nube y la organización que los utiliza para la gestión adecuada de los mismos en la seguridad de la nube.

• 5.30 Preparación de las TIC para la continuidad del negocio
  La continuidad del negocio también es esencial para las pequeñas empresas, ya que forman parte de cadenas de suministro a veces muy integradas y para mantener las pérdidas financieras al mínimo. El control "ICT Readiness for Business Continuity" ayuda a crear una estructura organizativa adecuada en caso de incidente y planes de continuidad de las TIC, incluidos los procedimientos de respuesta y recuperación.

• 8.9 Gestión de la configuración
  El funcionamiento seguro y de alto rendimiento de los entornos informáticos modernos depende en gran medida de la configuración adecuada de todos los sistemas, componentes y aplicaciones implicados. Lo bueno para la seguridad informática de las pequeñas empresas es que, una vez configurados, los procesos de monitorización se pueden implementar en su mayor parte de forma automática, por lo que apenas se generan costes adicionales de personal. Gestión de configuración en tecnologías de la información cae dentro del ámbito de las medidas tecnológicas o técnicas.

• 8.10 Eliminación de información, 8.11 Enmascaramiento de datos, 8.12 Prevención de fugas de datos
  Las PYME suelen crearse un nicho en el mercado gracias a su especialización. Este conocimiento especial es la clave de su éxito y, por tanto, merece la pena protegerlo. Medidas técnicas en seguridad de la información para ayudar a las empresas a evitar salidas de datos no deseadas y pérdidas de datos y minimizar la superficie de ataque para piratas informáticos y espionaje industrial.

Los controles del Anexo A de la norma ISO 27001 son de gran valor para las PYME, especialmente a la luz de la próxima directiva NIS 2 sobre ciberseguridad industrial en la UE.

NIS2: Por qué las pymes necesitan reforzar su seguridad de la información

La Unión Europea publicó a finales de 2022 la nueva versión de la Directiva de Seguridad de las Redes y de la Información (NIS). La NIS2 impone nuevos requisitos de seguridad de la información a las empresas de sectores críticos y también afectará a muchas pymes en lo que respecta a la protección de datos y estructuras informáticas.

Según la directiva NIS2, las empresas con 50 empleados o más y una facturación de 10 millones de euros de los sectores pertinentes deben cumplir los requisitos. Las pymes son empresas con hasta 249 empleados y una facturación de 50 millones de euros, por lo que se ven afectadas directamente. Sin embargo, es importante tener en cuenta que las empresas más pequeñas también pueden verse afectadas indirectamente por la NIS2 a través de la cadena de suministro, es decir, como proveedores de una empresa afectada. En la implementación específica de cada país, que entrará en vigor el 17 de octubre de 2024, estos límites también pueden desplazarse aún más hacia abajo.

Las pymes no disponen de mucho tiempo para prepararse para los nuevos requisitos. La buena noticia es que con la ISO 27001 las pequeñas empresas pueden dar un gran paso en la dirección correcta, ya que la norma ya cubre una gran parte (aproximadamente el 95 %) de los requisitos de la NIS 2.

Seguridad de la información para PYMES – Conclusión

Ante los escenarios de amenazas actuales, las pequeñas y medianas empresas (PYME), las administraciones públicas y las autoridades locales también deberían implementar un sistema de gestión de seguridad de la información de acuerdo con las normas internacionalmente reconocidas.  ISO 27001 estándar y considerar proceso de dar un título. La ventaja de un sistema eficaz  Sistema de gestión la importancia de la seguridad de la información no reside únicamente en el amplio y profundo catálogo de requisitos, sino también -y esto es especialmente interesante para las pymes- en el Anexo A, explícitamente orientado a la práctica, que en la nueva edición de 2022 enumera 93 medidas de seguridad (controles) en cuatro capítulos.

En materia de seguridad de la información para las pymes, no sólo aumenta la necesidad de implementar y certificar un SGSI completo conforme a la norma ISO 27001 (basta con ver la NIS-2), sino que también han cambiado fundamentalmente los requisitos estructurales en algunos casos. Esto se debe a que hoy en día muchas pymes ya cuentan con un SGSI certificado y sistema de gestión de calidad de acuerdo con  ISO 9001, lo que significa que las bases para un  sistema de gestión integrado  junto con la ISO 27001, ya están en marcha, lo que supone un ahorro de tiempo, personal y costes. La ISO 27001 está, por tanto, al alcance de las pequeñas empresas.

En buenas manos con DQS

Nuestras  auditorías de certificación le ofrecen claridad. La visión externa, holística y neutral de las personas, los procesos, los sistemas y los resultados muestra la eficacia de su sistema de gestión y cómo se implementa y controla. Para nosotros es importante que usted perciba nuestra auditoría no como un examen, sino como un enriquecimiento para su sistema de gestión.

Nuestro enfoque siempre comienza donde terminan las listas de verificación de auditoría. Preguntamos específicamente "por qué", porque queremos entender las razones por las que ha elegido una forma particular de implementación. Nos centramos en el potencial de mejora y fomentamos un cambio de perspectiva. Este enfoque exhaustivo garantiza que identifique áreas procesables para la mejora continua en su sistema de gestión.

Consejo de lectura: Información documentada

La velocidad con la que se distribuye y procesa la información es un gran desafío para las organizaciones actuales. La diversidad de información hace que sea cada vez más difícil identificar la información crucial que es relevante para la organización y su sistema de gestión.

Al mismo tiempo, el uso de medios de comunicación modernos para controlarla  información documentada. La seguridad de la información está dando lugar a aspectos completamente nuevos. Por ello, la disponibilidad, la integridad y la confidencialidad adquieren cada vez más importancia. Sin embargo, a medida que aumenta el grado de disponibilidad, la seguridad de la información disminuye a menos que se tomen las medidas de protección adecuadas.

Confianza y experiencia

Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores con experiencia. Si tiene alguna pregunta sobre el contenido de los textos o sobre nuestros servicios a nuestros autores, póngase en contacto con nosotros.