Seguridad de la información para PYME

CONTENIDO

• Seguridad de la información para PYME
• Introducción a la seguridad de la información: ISO 27001 para pequeñas empresas
• Mayor seguridad informática para las PYME gracias a los nuevos controles
• NIS2: Por qué las PYME necesitan reforzar su ciberseguridad
• Seguridad de la información para PYME - Conclusión
• En buenas manos con DQS
• Consejo de lectura: Información documentada

Seguridad de la información para PYME

Los tiempos han cambiado, y también los requisitos de ciberseguridad para las PYME. Muchas PYME crecen rápidamente y a menudo se encuentran entre los líderes del mercado en sus sectores. Por lo tanto, tienen una gran necesidad de proteger su experiencia, a menudo única, y sus secretos comerciales -pero en principio todos sus datos e información- de accesos no autorizados.

Sin embargo, debido a sus limitados recursos, las PYME rara vez disponen de los medios necesarios para una seguridad de la información sin fisuras a nivel empresarial, aunque sean conscientes de los riesgos de seguridad en el panorama general de la tecnología de la información y la seguridad de los datos. La escasez de especialistas en el sector informático y los enormes costes que supone gestionar su propio Centro de Operaciones de Seguridad (SOC) son sólo dos de los muchos problemas que se interponen en el camino de las PYME para optimizar su ciberseguridad.

Esto es tanto más problemático cuanto que las PYME -sobre todo en vista de la tensa situación geopolítica y el aumento de los ataques a la cadena de suministro- se enfrentan cada vez a más ataques de ciberdelincuentes. El espectro abarca desde el ransomware enviado en masa hasta los ataques profesionales selectivos contra empresas individuales. Los atacantes también utilizan cada vez más los servicios en la nube como vector, que las PYME (tienen que) utilizar con especial frecuencia por razones de coste y eficiencia.

Una encuesta realizada por HDI Versicherungen en 2024 reveló que el 53% de las pequeñas y medianas empresas ya han sido objeto de un ciberataque. Sin embargo, esta cifra no refleja el alcance total de los ataques, sino que sólo documenta aquellos incidentes admitidos públicamente por las empresas.

Esta impresión se ve confirmada por el Estudio Gothaer sobre las PYME 2024, según el cual la cuestión de la ciberdelincuencia representa el mayor riesgo para el 48% de las PYME. Según el estudio, el 37% de las pequeñas empresas también espera que el riesgo de ser víctima de un ciberataque siga aumentando en los próximos doce meses. Esto no incluye aquellos riesgos de seguridad de la información que no provienen en absoluto de la red, sino que son de carácter interno, en su mayoría personales, y desempeñan un papel importante en el contexto de la seguridad global de la información.

ISO 27001 para pequeñas empresas

Como responsable de la seguridad de la información (ISO) y de la protección de datos de una pequeña o mediana empresa, hoy en día apenas tiene elección: tiene que garantizar la seguridad de sus datos e información sensibles. No se trata sólo de seguridad informática. También hay que tener en cuenta las medidas estructurales, los procedimientos y procesos organizativos, así como los requisitos de personal. El factor humano también desempeña un papel central en la seguridad de la información y debe tenerse en cuenta en consecuencia.

El patrón oro de la seguridad sistemática de la información es la norma internacional ISO/IEC 27001, que proporciona una base de pruebas establecida y directrices para la implantación de sistemas de gestión de la seguridad de la información (SGSI), para empresas independientemente de su estructura organizativa, orientación o tamaño. El Anexo A de la nueva ISO/IEC 27001:2022, que en su forma actualizada aborda todos los aspectos de la seguridad de la información -desde medidas organizativas a medidas personales y físicas, pasando por medidas técnicas de seguridad- ofrece una buena introducción para las pequeñas empresas.

Mayor seguridad informática para las PYME gracias a los nuevos controles

Sólo el carácter pragmático del anexo A hace de la norma ISO 27001 una buena elección para las pequeñas empresas. Comprende un total de 93 medidas de seguridad de la información (controles), 11 de las cuales se introdujeron por primera vez en la última actualización de 2022.

Los nuevos controles se centran principalmente en la seguridad de los datos y las estructuras en el ámbito digital, por lo que ofrecen valiosas directrices que pueden mejorar en gran medida la seguridad de la información para las PYME. He aquí un resumen de algunas de las novedades y de cómo pueden beneficiarse de ellas las pequeñas empresas:

• 
  5.7 Inteligencia de amenazas, 8.16 Monitorización de actividades, 8.23 Filtrado web Estos controles para ladetección y prevención y el reconocimiento a tiempo de los ciberataques pueden tener una importancia casi existencial para las pymes en términos de seguridad y gestión de la continuidad del negocio. Las pequeñas empresas no sólo son vulnerables a la ciberdelincuencia debido a sus limitados recursos, sino que también pueden llegar rápidamente al punto de insolvencia general en caso de ransomware.

• 
  5.23 Seguridad de la información para el uso de servicios en la nube Dado que las PYME utilizan a menudo servicios externos en la nube, la implantación de procesos adecuados para la adquisición, uso, gestión y salida de servicios en la nube es especialmente relevante. La medida también tiene en cuenta las responsabilidades entre el proveedor de servicios en nube y la organización usuaria de la nube para unaseguridad adecuada de la nube.

• 
  5.30 Preparación de las TIC para la continuidad del negocio Como parte de cadenas de suministro a veces profundamente integradas -y con el fin de minimizar las pérdidas financieras- la continuidad del negocio también es extremadamente importante para las pequeñas empresas. El control"Preparación de las TIC para la continuidad del negocio" ayuda a crear una estructura organizativa adecuada en caso de incidente y planes de continuidad de las TIC que incluyan procedimientos de respuesta y recuperación.

• 
  8.9 Gestión de la configuración El funcionamiento seguro y de alto rendimiento de los entornos informáticos modernos depende en gran medida de la configuración adecuada de todos los sistemas, componentes y aplicaciones implicados. Esto es bueno para la seguridad informática de las pequeñas empresas: Una vez configurados, los procesos de supervisión que deben aplicarse pueden automatizarse en su mayor parte y, por tanto, apenas generan costes de personal adicionales.La gestión segura de la configuración en las tecnologías de la información pertenece al ámbito de las medidas tecnológicas o técnicas.

• 
  8.10 Supresión de información, 8.11 Enmascaramiento de datos, 8.12 Prevención de fugas de datos Las PYMES suelen crearse un nicho en el mercado gracias a sus conocimientos especializados únicos. Estos conocimientos especializados son la clave de su éxito y, por tanto, merece la pena protegerlos. Lasmedidas técnicas de seguridad de la información ayudan a las empresas a evitar fugas y pérdidas de datos no deseadas y a minimizar la superficie de ataque para los piratas informáticos y el espionaje industrial.

Los controles del anexo A de la norma ISO 27001 son de gran valor para las PYME, sobre todo teniendo en cuenta la directiva NIS 2 sobre ciberseguridad industrial, que pronto entrará en vigor.

NIS2: Por qué las PYME deben reforzar su seguridad de la información

La Unión Europea publicó la nueva versión de la Directiva sobre seguridad de las redes y de la información (NIS) a finales de 2022. NIS2 impone nuevos requisitos de seguridad de la información a las empresas de sectores críticos y también afectará a muchas pymes en lo que respecta a la protección de datos y estructuras informáticas.

Según la directiva NIS2, las empresas con 50 o más empleados y un volumen de negocio igual o superior a 10 millones de euros de los sectores pertinentes deberán cumplir los requisitos. Las PYME son empresas con hasta 249 empleados y un volumen de negocio de 50 millones de euros, por lo que se ven directamente afectadas. Sin embargo, otras empresas aún más pequeñas también pueden verse afectadas indirectamente por la NIS2 a través de la cadena de suministro, es decir, como proveedores de una empresa afectada. En la aplicación específica para cada país, que entrará en vigor el 17 de octubre de 2024, estos límites también pueden desplazarse aún más a la baja.

A las PYME no les queda mucho tiempo para prepararse para los nuevos requisitos. La buena noticia: con la norma ISO 27001, las pequeñas empresas pueden dar un gran paso en la dirección correcta, ya que la norma ya cubre una gran parte (aproximadamente el 95%) de los requisitos de la NIS 2.

Seguridad de la información para PYME - conclusión

A la luz de los actuales escenarios de amenazas, las pequeñas y medianas empresas (PYME), así como las administraciones públicas y las autoridades locales, también deberían implantar un sistema de gestión de la seguridad de la información conforme a la norma ISO 27001, reconocida internacionalmente, y considerar la posibilidad de obtener la certificación. La ventaja de un sistema de gestión eficaz reside no sólo en el amplio y profundo catálogo de requisitos, sino también -y esto es especialmente interesante para las PYME- en el Anexo A, explícitamente orientado a la práctica, que enumera 93 medidas de seguridad (controles) a lo largo de cuatro capítulos en la nueva edición de 2022.

En lo que respecta a la seguridad de la información para las PYME, no solo ha aumentado la necesidad de implantar y certificar un SGSI completo conforme a la norma ISO 27001 -palabra clave NIS-2-, sino que los requisitos estructurales también han cambiado fundamentalmente en algunos casos: Esto se debe a que hoy en día muchas PYME ya disponen de un sistema de gestión de la calidad certificado de acuerdo con la norma ISO 9001, lo que significa que ya existen las bases para un sistema de gestión integrado junto con la norma ISO 27001, lo que ahorra tiempo, personal y costes. Por tanto, la ISO 27001 para pequeñas empresas está al alcance de la mano.

En buenas manos con DQS

Nuestras auditorías de certificación le aportan claridad. La visión externa, holística y neutral de las personas, los procesos, los sistemas y los resultados muestra la eficacia de su sistema de gestión y cómo se aplica y controla. Para nosotros es importante que perciba nuestra auditoría no como un examen, sino como un enriquecimiento de su sistema de gestión.

Nuestro enfoque siempre empieza donde terminan las listas de comprobación de auditorías. Preguntamos específicamente "por qué" porque queremos entender los motivos que hay detrás de su elección de implantación. Nos centramos en el potencial de mejora y fomentamos un cambio de perspectiva. Esto le permite reconocer opciones de actuación con las que puede mejorar continuamente su sistema de gestión.

Consejo de lectura: Información documentada

La velocidad a la que se distribuye y procesa la información es un reto importante en las organizaciones de hoy en día. Debido a la diversidad de la información, cada vez resulta más difícil identificar la información decisiva y relevante para la organización y su sistema de gestión.

Al mismo tiempo, el uso de medios de comunicación modernos para controlar la información documentada está dando lugar a aspectos completamente nuevos. Por tanto, la disponibilidad, la integridad y la confidencialidad son cada vez más importantes. Sin embargo, a medida que aumenta el grado de disponibilidad, disminuye la seguridad de la información, a menos que se adopten las medidas de protección adecuadas.

Confianza y experiencia

Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores de larga trayectoria. Si tiene alguna pregunta sobre el contenido del texto o sobre nuestros servicios a nuestro autor, envíenos un correo electrónico.

Nota: Por razones de mejor legibilidad, utilizamos el masculino genérico. No obstante, la directiva incluye a personas de todas las identidades de género cuando sea necesario para la declaración.