Osane Consulting: “Contemplar la seguridad en nuestras empresas es sinónimo de competitividad”

Osane Consulting es una pyme alavesa de Ingeniería y Consultoría de carácter internacional que aglutina a profesionales expertos en las diferentes disciplinas de la seguridad patrimonial-corporativa. Fundada en 2018 y sede en el Parque Tecnológico de Álava, ofrece una visión 360º de la seguridad en los ámbitos de la ciberseguridad y la ciberinteligencia. Una visión que permite alertar, por ejemplo, de que el 99% de las pymes no consideran que puedan ser objetivo atractivo para un ciberataque o que seis de cada diez pymes víctimas de este tipo de incidentes severos terminan desapareciendo a los seis meses, señala Inga Barandiaran, consultora en Ciberseguridad de esta compañía.

 ¿Cuál es su trabajo cuando una empresa les contacta?

Todo depende de cuál sea la intención/necesidad su en ese momento. Lo ideal sería que contactase con un propósito de tomar acciones preventivas de cara a aprovechar todas las ventajas que ofrecen la digitalización o la conectividad, y así minimizar los riesgos. Sin embargo, lamentablemente en la mayoría de los casos todavía los contactos se deben en este momento a la necesidad de dar respuesta a incidentes que ya han sucedido. En ese caso, teniendo en cuenta que el tiempo es oro, hay que contener el incidente, aislar para que no afecte a más activos y tomar decisiones para tratar de restaurar la actividad de la compañía lo antes posible.

Viendo y analizando la realidad de los datos, ¿a qué cree que se debe esa falta de conciencia en el mundo empresarial en favor de implementar políticas de ciberseguridad?

A que no valoramos la seguridad como una inversión sino como un gasto. Lo cierto es que podemos estar desarrollando nuestra actividad evidente como empresa de la manera más eficiente pero un incidente de seguridad puede condicionar todos nuestros esfuerzos poniendo en peligro a nuestros negocios. De igual manera, vivimos en una sociedad donde la inmediatez es una necesidad creada. Queremos todo para ya y todo aquello que suponga tener la sensación contraria nos produce rechazo.  Contemplar la seguridad en nuestras empresas es sinónimo de competitividad.

Continúa siendo muy recurrente aquello de... ¿"A mí qué me van a atacar si soy una pyme?"

Sí, mucho más de lo deseable. Ciertamente es difícil contemplar la seguridad/ciberseguridad como una prioridad si no valoramos nuestras empresas. Al fin y al cabo, ¡solamente son el medio de vida de las familias que trabajan en ellas! Somos muy humildes. Veamos dos puntos de vista: en Euskadi el porcentaje de pymes es muy elevado, creo que entorno al 99%, y aunque solo sea por eso, desde el punto de vista estadístico, tenemos muchas posibilidades de que nos impacte un ciberataque. Otro punto de vista menos matemático es que las grandes empresas normalmente tienen más recursos destinados a su seguridad y por lo tanto es más complicado que un ciberataque les llegue directamente…

Pero…

… Estas grandes empresas tienen proveedores que en un gran porcentaje son pymes y por lo tanto podemos convertirnos en el "canal" de llegada de esos ataques a nuestros clientes. Será más pronto que tarde cuando nos empiecen a pedir cumplir un mínimo de requerimientos de ciberseguridad para poder seguir trabajando. Se suele decir que una empresa es tan cibersegura como el proveedor que menos medidas de ciberseguridad tenga. La ciberseguridad ha llegado para quedarse y si no es por convencimiento, será por requerimiento de nuestros clientes o por normativa.

 ¿Qué se puede hacer para remediarlo?

En general es mejor ser proactivos que reactivos. Mejor y más barato.  A tener en cuenta que el sector industrial ha sobrepasado el número de incidentes por primera vez al sector banca y seguros. Los ciberdelincuentes ven en las pymes un objetivo más factible para rentabilizar económicamente sus esfuerzos. Debemos tener claro cuáles son nuestros activos, nuestros riesgos y nuestros recursos. Debemos ser proporcionales en todo.

¿Se pueden establecer algunas medidas básicas para proteger los entornos empresariales de las amenazas externas?

Lo primero de todo es conocer lo que tenemos para saber que debemos proteger. Debemos hacer un inventario de todos los sistemas, maquinaria etc...  Que estén al servicio de la empresa. No olvidemos los móviles y tablets. Después debemos evaluar los riesgos que pueda tener cada elemento y el posible impacto de una amenaza sobre ellos en la organización. Y adicionalmente implementar una serie de políticas de seguridad como quién tiene acceso a qué datos, con qué fin y que están autorizados a hacer con ellos.  Uno muy importante es invertir en concienciación de los empleados, desde el primero hasta el último. El 80% de los incidentes de ciberseguridad llegan por el factor humano.

No menos importante es que la Ciberseguridad no es algo estático…

Cierto. Debe de ser un proceso continuo que nos va a exigir evaluar los cambios que se producen en la organización.  Nuevos empleados, nuevos proveedores, nuevos proyectos, bajas de empleados... modifican los riesgos y las amenazas.

Que dos de cada tres empresas tengan previsto aumentar su presupuesto en Ciberseguridad el año que viene parece una buena señal...

Parece que la clave, o al menos una de ellas, para seguir siendo competitivos y crecer, es digitalizarnos. Generar confianza en nuestros clientes de que no solo vamos a hacer bien nuestro trabajo sino que no les vamos a generar problemas adicionales. Invertir en ciberseguridad es ganar confianza del mercado y credibilidad. Es una responsabilidad que toda empresa que quiera continuar en el mercado deberá asumir.