Seguridad de la información para PYME

CONTENIDO

• Seguridad de la información para PYME
• Introducción a la seguridad de la información: ISO 27001 para pequeñas empresass
• Mejora de la seguridad informática de las PYME gracias a los nuevos controles
• NIS2: Por qué las PYME necesitan reforzar su ciberseguridad
• Seguridad de la información para PYME - Conclusión
• En buenas manos con DQS
• Consejo de lectura: Información documentada

Seguridad de la información para PYME

Los tiempos han cambiado, y también los requisitos de ciberseguridad para las PYME. Muchas PYME están creciendo rápidamente y a menudo se encuentran entre los líderes del mercado en sus sectores. Por lo tanto, tienen una necesidad correspondientemente alta de proteger sus conocimientos técnicos y secretos comerciales, que suelen ser únicos, pero en principio todos sus datos e información, contra el acceso no autorizado.

Sin embargo, debido a sus limitados recursos, las PYME rara vez disponen de los medios necesarios para una seguridad de la información sin fisuras a nivel empresarial, aunque sean conscientes de los riesgos de seguridad en el panorama general de la tecnología de la información y la seguridad de los datos. La escasez de especialistas en el sector informático y los enormes costes que supone operar su propio Centro de Operaciones de Seguridad (SOC) son sólo dos de los muchos problemas que se interponen en el camino de las PYME para optimizar su ciberseguridad.

Esto es tanto más problemático cuanto que las PYME se enfrentan a un aumento de los ataques de ciberdelincuentes, entre otras cosas debido a la tensa situación geopolítica y al incremento de los ataques a la cadena de suministro. El espectro abarca desde el ransomware enviado en masa hasta los ataques profesionales selectivos contra empresas individuales. Los atacantes también utilizan cada vez más los servicios en la nube como vector, que las PYME (tienen que) utilizar con especial frecuencia por razones de coste y eficiencia.

Una encuesta realizada por la aseguradora alemana HDI Versicherungen en 2024 reveló que el 53% de las pequeñas y medianas empresas ya han sido objeto de un ciberataque. Sin embargo, esta cifra no refleja el alcance total de los ataques, sino que sólo documenta aquellos incidentes que las empresas admiten públicamente.

Esta impresión se ve confirmada por el estudio alemán "Gothaer SME Study 2024", según el cual la ciberdelincuencia representa el mayor riesgo para el 48% de las PYME. Según el estudio, el 37% de las pequeñas empresas también espera que el riesgo de ser víctima de un ciberataque siga aumentando en los próximos doce meses. Esto no incluye aquellos riesgos de seguridad de la información que no proceden en absoluto de la red, sino que son de carácter interno, en su mayoría personales, y desempeñan un papel importante en el contexto de la seguridad integral de la información.

ISO 27001 para pequeñas empresas

Como responsable de la seguridad de la información (ISO) y de la protección de datos de una pequeña o mediana empresa, hoy en día apenas tiene elección: debe garantizar la seguridad de los datos y la información sensibles. No se trata sólo de la seguridad de las tecnologías de la información. También hay que tener en cuenta las medidas estructurales, los procedimientos y procesos organizativos y los requisitos de personal. El factor humano también desempeña un papel central en la seguridad de la información y debe tenerse en cuenta en consecuencia.

El patrón oro de la seguridad sistemática de la información es la norma internacional ISO/IEC 27001. Proporciona una base de pruebas establecida y directrices para implantar sistemas de gestión de la seguridad de la información (SGSI), para empresas independientemente de su estructura organizativa, orientación o tamaño. El Anexo A de la nueva ISO/IEC 27001:2022, que en su forma actualizada aborda todos los aspectos de la seguridad de la información -desde las medidas organizativas a las medidas personales y físicas, pasando por las medidas técnicas de seguridad- ofrece una buena introducción para las pequeñas empresas.

Mayor seguridad informática para las PYME gracias a los nuevos controles

El carácter pragmático del Anexo A por sí solo hace de la norma ISO 27001 una buena elección para las pequeñas empresas. Comprende un total de 93 medidas de seguridad de la información (controles), 11 de las cuales se introdujeron por primera vez en la última actualización de 2022.

Los nuevos controles se centran principalmente en la seguridad de los datos y las estructuras en el ámbito digital, por lo que ofrecen valiosas directrices que pueden mejorar significativamente la seguridad de la información para las pymes. He aquí un resumen de algunas de las novedades y de cómo pueden beneficiarse de ellas las pequeñas empresas:

• 5.7 Inteligencia de amenazas, 8.16 Monitorización de actividades, 8.23 Filtrado web
  Estos controles para la detección, prevención y reconocimiento oportuno de ciberataques pueden tener una importancia casi existencial para las pymes en términos de seguridad y gestión de la continuidad del negocio. Las pequeñas empresas no sólo son vulnerables a la ciberdelincuencia debido a sus limitados recursos, sino que también pueden llegar rápidamente al punto de insolvencia general en caso de ransomware.

• 5.23 Seguridad de la información para el uso de servicios en la nube
  Dado que las PYMES utilizan a menudo servicios externos en la nube, es especialmente relevante implementar procesos adecuados para la adquisición, uso, gestión y salida de los servicios en la nube. La medida también tiene en cuenta las responsabilidades entre el proveedor de servicios en la nube y la organización usuaria de la nube para una adecuada seguridad en la nube.

• 5.30 Preparación de las TIC para la continuidad del negocio
  La continuidad del negocio también es esencial para las pequeñas empresas como parte de cadenas de suministro a veces profundamente integradas y para mantener las pérdidas financieras al mínimo. El control "ICT Readiness for Business Continuity" ayuda a crear una estructura organizativa adecuada en caso de incidente y planes de continuidad de las TIC, incluidos procedimientos de respuesta y recuperación.

• 8.9 Gestión de la configuración
  El funcionamiento seguro y de alto rendimiento de los entornos informáticos modernos depende en gran medida de la correcta configuración de todos los sistemas, componentes y aplicaciones implicados. Esto es bueno para la seguridad informática de las pequeñas empresas: Una vez configurados, los procesos de supervisión pueden implementarse automáticamente en su mayor parte, por lo que apenas generan costes adicionales de personal. La gestión segura de la configuración en la tecnología de la información entra dentro del ámbito de las medidas tecnológicas o técnicas.

• 8.10 Supresión de información, 8.11 Enmascaramiento de datos, 8.12 Prevención de fugas de datos
  Las PYME suelen crearse un nicho en el mercado gracias a sus conocimientos únicos. Estos conocimientos especiales son la clave de su éxito y, por tanto, merece la pena protegerlos. Las medidas técnicas de seguridad de la información ayudan a las empresas a evitar fugas y pérdidas de datos no deseadas y a minimizar la superficie de ataque para los piratas informáticos y el espionaje industrial.

Los controles del Anexo A de la norma ISO 27001 son de gran valor para las PYME, especialmente a la luz de la próxima directiva NIS 2 sobre ciberseguridad industrial en la UE.

NIS2: Por qué las PYME deben reforzar su seguridad de la información

La Unión Europea publicó la nueva versión de la Directiva sobre seguridad de las redes y de la información (NIS) a finales de 2022. NIS2 impone nuevos requisitos de seguridad de la información a las empresas de sectores críticos y también afectará a muchas pymes en lo que respecta a la protección de datos y estructuras informáticas.

Según la directiva NIS2, las empresas con 50 empleados o más y una facturación de 10 millones de euros de los sectores pertinentes deberán cumplir los requisitos. Las PYME son empresas con hasta 249 empleados y un volumen de negocio de 50 millones de euros, por lo que se ven directamente afectadas. Sin embargo, es importante tener en cuenta que incluso las empresas más pequeñas también pueden verse afectadas indirectamente por la NIS2 a través de la cadena de suministro, es decir, como proveedores de una empresa afectada. En la aplicación específica por países, que entrará en vigor el 17 de octubre de 2024, estos límites también pueden desplazarse aún más a la baja.

A las PYME no les queda mucho tiempo para prepararse para los nuevos requisitos. La buena noticia: con la ISO 27001, las pequeñas empresas pueden dar un gran paso en la dirección correcta, ya que la norma ya cubre una gran parte (aprox. el 95%) de los requisitos de la NIS 2.

Seguridad de la información para PYME - Conclusión

A la luz de los actuales escenarios de amenazas, las pequeñas y medianas empresas (PYME), las administraciones públicas y las autoridades locales también deberían implantar un sistema de gestión de la seguridad de la información conforme a la norma ISO 27001, reconocida internacionalmente, y considerar la posibilidad de obtener la certificación. La ventaja de un sistema de gestión eficaz reside no sólo en el amplio y profundo catálogo de requisitos, sino también -y esto es especialmente interesante para las PYME- en el Anexo A, explícitamente orientado a la práctica, que enumera 93 medidas de seguridad (controles) a lo largo de cuatro capítulos en la nueva edición de 2022.

En lo que respecta a la seguridad de la información para las PYME, no solo aumenta la necesidad de implantar y certificar un SGSI completo conforme a la norma ISO 27001 -basta con echar un vistazo a la NIS-2-, sino que los requisitos estructurales también han cambiado fundamentalmente en algunos casos. Esto se debe a que, en la actualidad, muchas PYME ya disponen de un sistema de gestión de la calidad certificado de conformidad con la norma ISO 9001, lo que significa que las bases para un sistema de gestión integrado junto con la norma ISO 27001 ya están establecidas, lo que ahorra tiempo, personal y costes. Por tanto, la ISO 27001 para pequeñas empresas está a su alcance.

En buenas manos con DQS

Nuestras auditorías de certificación le aportan claridad. La visión externa, holística y neutral de las personas, los procesos, los sistemas y los resultados muestra la eficacia de su sistema de gestión y cómo se aplica y controla. Para nosotros es importante que perciba nuestra auditoría no como un examen, sino como un enriquecimiento de su sistema de gestión.

Nuestro enfoque siempre empieza donde terminan las listas de comprobación de auditorías. Preguntamos específicamente "por qué" porque queremos entender las razones por las que ha elegido una forma concreta de implantación. Nos centramos en el potencial de mejora y fomentamos un cambio de perspectiva. Este enfoque exhaustivo le garantiza la identificación de áreas de mejora continua en su sistema de gestión.

Consejo de lectura: información documentada

La velocidad a la que se distribuye y procesa la información es un reto importante en las organizaciones actuales. La diversidad de la información hace cada vez más difícil identificar la información crucial que es relevante para la organización y su sistema de gestión.

Al mismo tiempo, el uso de medios de comunicación modernos para controlar la información documentada está dando lugar a aspectos totalmente nuevos. Por tanto, la disponibilidad, la integridad y la confidencialidad son cada vez más importantes. Sin embargo, a medida que aumenta el grado de disponibilidad, disminuye la seguridad de la información, a menos que se adopten las medidas de protección adecuadas.

Confianza y experiencia

Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores de larga trayectoria. Si tiene alguna pregunta sobre el contenido del texto o los servicios que ofrecemos a nuestro autor, póngase en contacto con nosotros.