Plan Director es la propuesta de Vodafone Empresas para ayudar a las pymes a solventar sus necesidades de ciberseguridad.

La operadora, reconocida como Agente Digital Adherido, está gestionando la subvención del Kit Consulting para pymes, de 10 a 249 empleados. Con esta iniciativa, la compañía asesora en ciberseguridad a pymes, de forma personalizada y gratuita, diseñando desde estrategias de prevención de riesgos hasta planes de respuesta en caso de que se produzcan incidentes. En concreto, la telco ofrece a las empresas dos planes, uno de seguridad básico, dirigido a pymes que no cuentan con una protección básica o que necesitan adaptar su plan de ciberseguridad a su actividad económica, y uno avanzado, orientado a empresas con protección básica que buscan implementar sistemas avanzados de protección y prepararse para certificaciones como ISO 27001.

Funcionamiento de Plan Director

El Plan Director se divide en diferentes fases: primero, se realiza una evaluación de riesgos para posteriormente definir los objetivos y la estrategia de ciberseguridad. Para que la estrategia funcione y sea adecuada, hay que hacer un correcto análisis de las amenazas potenciales y vulnerabilidades que pueden afectar a la organización, detectando los puntos débiles que requieren un mayor refuerzo.

La puesta en marcha de la estrategia incluye implementar las medidas de protección, que pueden ser desde instalación de softwares de seguridad, al cifrado de datos, pasando por la formación a los empleados. No obstante, el riesgo nunca es cero, por lo que también es necesario diseñar planes de respuesta a los incidentes: desde protocolos detallados que definen cómo la organización debe responder ante un ataque hasta los procedimientos para detectar, contener y erradicar las amenazas.

La última fase consiste en monitorizar y realizar una revisión continua de las medidas y las infraestructuras, para detectar posibles nuevas amenazas y mejorar la adaptación a las mismas. Un asesor en ciberseguridad garantiza que las prácticas de seguridad estén actualizadas y sean efectivas.

“De la misma manera que no hay negocio sin plan, no existe seguridad sin Plan Director de Ciberseguridad. Analizar, corregir y reforzar la seguridad en un proceso sistemático a través de los expertos de Vodafone Empresas y Fractalia, es una oportunidad única que representa el Kit Consulting”, ha indicado Alfonso Campoy, Manager de Soluciones empresariales y Ciberseguridad.

Principales problemas de ciberseguridad de los negocios

Precisamente este lanzamiento se hace eco de un reciente whitepaper elaborado por APD y Vodafone Empresas que lista los principales problemas de ciberseguridad a los que se enfrenta un negocio actual. Según este documento, phishing, vishing y smishing, así como el ransomware y el malware, son las técnicas más empleadas por los ciberdelincuentes para atacar a las empresas, aunque existen otro tipo de amenazas, algunas de ellas más sofisticadas, para las que también es necesario que estén preparadas. Destacan, entre ellas, el compromiso de las cuentas de correo electrónico, el spyware o el fraude de la factura electrónica.

Otras amenazas a considerar son los riesgos derivados de las nuevas prácticas implementadas en los negocios, como el uso de los dispositivos electrónicos propios de los empleados en lugar de los que facilita la empresa. En este aspecto, la falta de formación y concienciación de los empleados es un factor de alto riesgo, puesto que conlleva una baja implicación y falta de atención, permitiendo así que una gran parte de los ataques que se produzcan tengan éxito por una simple imprudencia como abrir un mail malicioso.

Los avances tecnológicos han modificado enteramente el entorno corporativo. Si bien es cierto que vienen acompañados de múltiples beneficios, como la aceleración del teletrabajo (alrededor de tres millones de trabajadores en España ya trabajan desde casa), la digitalización general de todos los procesos en la cadena de valor, la utilización de la nube para el backup de las empresas y el avance de Internet de las Cosas. También lo es que esos avances han aumentado el nivel de exposición de las empresas aumentando el número de objetivos potenciales de los ciberdelincuentes.

Las pequeñas y medianas empresas son también foco de ciberataques. Lo que hace atractivas a las empresas para ser el blanco de una amenaza de estas características es la facilidad de perpetrar el ataque y las posibilidades de éxito del mismo, simplemente por una cuestión de rentabilidad del esfuerzo. Pese a esta creciente amenaza, según datos de la Cámara de Comercio, solo el 33% de las empresas creen que van a ser víctimas de un ciberataque, lo que les dificulta estar preparadas en caso de sufrirlo, no solo a nivel de infraestructura, sino también de formación. De hecho, las principales barreras a las que se enfrentan las pymes para mejorar su seguridad son la falta de recursos económicos (28,4%) y de conocimiento técnico (26,3%).

Desconocer la normativa, otro riesgo a valorar

No considerar los datos como patrimonio a proteger y como uno de los activos más importantes y críticos en cualquier empresa es sin duda un riesgo a tener en cuenta. Además, la empresa es responsable de implementar los mecanismos necesarios para proteger estos datos, exponiéndose a sanciones si es víctima de un ciberataque y se demuestra que no tenía dicha protección.

La normativa y legislación de ciberseguridad en Europa es amplia y variada, con el objetivo de impulsar en las empresas el seguimiento de altos estándares de seguridad que contribuyan a proteger la información y asegurar la continuidad del negocio frente a ciberamenazas. Desde el SGSI y la ISO 27001, hasta las directivas NIS2 y DORA, y el GDPR, son normativa desarrollada para crear un entorno digital más seguro y resiliente.

Con la Estrategia Nacional de Ciberseguridad 2019, España también se posiciona a la vanguardia en la protección cibernética, destacando la importancia de la cooperación entre entidades públicas y privadas para enfrentar las amenazas en el ciberespacio. El plan cuenta con un presupuesto de más de 1.000 millones de euros y prevé la implementación de cerca de 150 iniciativas para los próximos tres años.

La única respuesta posible es invertir en seguridad

Tradicionalmente, la ciberseguridad se ha visto como una medida reactiva, una respuesta obligada a ataques cibernéticos o exigencias regulatorias. Este enfoque residual ha dejado de ser suficiente. Al reconocer nuestras vulnerabilidades y debilidades en los sistemas, se ha producido un cambio de paradigma. La ciberseguridad ha pasado a ser una prioridad estratégica con un enfoque en tres elementos básicos: la colaboración público-privada, la seguridad del ecosistema y el diseño de soluciones seguras.