PYME vs Estándares de Seguridad de la Información (I)

En el universo de la Consultoría de GRC (Gobierno, Riesgo y Cumplimiento), es más común llevar a cabo proyectos en compañías de tamaño medio-grande que en pequeña y mediana empresa, siendo éstas segundas muy superiores en número, tanto a nivel nacional como europeo. Dada esta tesitura cabe preguntarse, ¿por qué son menos las pymes que contratan nuestros servicios?, ¿son menos vulnerables ante ataques que comprometan la seguridad de su información?

De sobra es conocido que, durante la última década, las organizaciones han experimentado una gran dependencia de sus sistemas de información para la prestación de servicios a sus clientes y cumplir con sus objetivos de negocio. Hoy en día, no solo las grandes compañías tienen esta dependencia de las TIC, también las pymes, que constituyen más del 99% del tejido empresarial europeo y, además, son las que presentan riesgos más significativos en cuanto a seguridad de la información se refiere. Estos riesgos constituyen una gran amenaza para el negocio de estas organizaciones.

También durante la última década, y con el objetivo de apoyar a las organizaciones en la adopción de buenas prácticas en seguridad de la información, se han desarrollado y publicado numerosos estándares al respecto: familia ISO/IEC 27000 (familia de estándares por excelencia relativos a buenas prácticas en seguridad de la información), framework COBIT, PCI-DSS, etc. Dichos estándares han sido desarrollados por organizaciones de estandarización tanto europeas como internacionales (por ejemplo, ISO/IEC), asociaciones de expertos y profesionales (por ejemplo, ISACA), etc.

Entonces, si las pymes también tienen una fuerte dependencia de las TIC para la prestación de sus servicios y son las que presentan los riesgos más significativos en cuanto a seguridad de la información se refiere, ¿por qué no acometen proyectos de implantación de los mencionados estándares de forma que se adopten buenas prácticas en seguridad de la información y así reducir los riesgos hasta niveles aceptables? Parece ser que las pymes se encuentran con algunas barreras a la hora de implantar estos estándares. Veamos cuáles son esas barreras u obstáculos.

Barreras relacionadas con el conocimiento y el compromiso
Conocimiento de los estándares aplicables
En muchos casos, sobre todo entre aquellas pymes que no pertenecen al sector de las TIC, existe desconocimiento acerca de los estándares existentes. A menudo echan en falta un punto de referencia o consulta único, de modo que puedan pedir consejo acerca de que estándar es el más adecuado para ellos por ser el que mejor se adapta a sus necesidades, requerimientos por parte de terceros, etc.

Compromiso de la Dirección
Hoy en día la mayoría de pymes centran sus esfuerzos en ser competitivos en su ámbito de negocio, expandirse en otros territorios y mercados y afianzarse en la cambiante y feroz atmósfera de negocio en la que se mueven. Lograr todo eso requiere recursos, y eso es algo de lo que normalmente las pymes no van sobradas, por lo que necesitan asignar cuidadosamente sus recursos en términos de tiempo y dinero a los diferentes proyectos que llevan a cabo.

Debido a ello, y a pesar de que los riesgos tecnológicos amenazan cada vez de una forma más plausible los procesos de negocio de las pymes, éstas deciden afrontarlos adoptando un enfoque reactivo. Implantar estándares de seguridad de la información implica un alto compromiso por parte de la Dirección en forma de asignación de recursos y presupuesto a ello, los cuáles podrían destinarse a actividades de negocio con un retorno de inversión más transparente. En la mayoría de los casos, es difícil para la Dirección percibir de una manera clara cómo implementar estos estándares añade valor a su negocio y les proporciona ventaja competitiva frente al resto.

Percepción equivocada acerca de los objetivos de los ciberataques
Entre la mayoría de dirigentes y empleados de pymes, existe la extendida creencia de que los ciberataques afectan principalmente a grandes organizaciones, y no a empresas de su envergadura, ya que ellos no almacenan y/o tratan información tan crítica como las grandes compañías.

Este es uno de los motivos por el que las pymes consideran que los estándares de seguridad de la información están destinados, principalmente, a grandes organizaciones, y no entienden que valor añadido puede reportarles su adopción.

Sin embargo, recientes estudios afirman que el 90% de las grandes organizaciones han sufrido una brecha de seguridad durante 2015, y que este porcentaje se traduce en un 74% en el caso de las pymes. Las grandes organizaciones suelen tener implantados robustos controles de seguridad, los cuales pueden disuadir a un atacante y provocar que éste centre sus objetivos en una pyme, que seguramente ofrezca menos resistencia en ese sentido.

Contribución en el proceso de desarrollo de los estándares
El diseño de los estándares de seguridad de la información está impulsado, principalmente, por grandes organizaciones, y éstos están destinados a cubrir sus múltiples procesos de negocio. Como consecuencia directa, los estándares asumen que todas las organizaciones tienen los recursos suficientes para implementarlos, y que tienen el entendimiento necesario acerca de los requisitos técnicos y no técnicos que se incluyen en los mismos.

En el próximo post, seguiremos hablando acerca de otros obstáculos o barreras que se encuentran las pymes a la hora de implementar un estándar de seguridad de la información.

Referencias:
ENISA. Information security and privacy standards for SMEs. (December 2015).