PYME vs Estándares de Seguridad de la Información (II)

En el post anterior hablábamos de algunas de las razones que abocan a las pymes a ser reacias a implantar estándares de seguridad de la información. Como comentábamos en ese post, uno de los principales motivos es el desconocimiento que existe entre las pymes sobre los estándares de seguridad de la información aplicables, además de la incorrecta percepción que tienen acerca de los objetivos de los ciberataques (¿Quién va a querer atacar mi empresa?). La confluencia de estos dos factores va a resultar en que los directivos de estas organizaciones decidan invertir sus escasos recursos, en la mayoría de los casos, en proyectos con un retorno de inversión más evidente.

Precisamente, la disponibilidad de recursos es otro de los grandes obstáculos para las pymes a la hora de acometer la implantación de un estándar de seguridad de la información. Veamos porqué.

Barreras relacionadas con las capacidades y los recursos disponibles

Capacidades en ciberseguridad

En cuanto a la gestión de las funciones TIC, las pymes hoy en día o bien deciden internalizar el servicio, es decir, gestionar ellos mismos sus sistemas de información, redes, etc.; o bien deciden externalizarlo a un tercero. Independientemente del modelo seleccionado, la responsabilidad última sobre la protección de la información corporativa y de clientes recae en la pyme en cuestión.

Si las funciones TIC son asumidas internamente, los empleados (que suelen ser pocos), además de ser los encargados de gestionar toda la infraestructura TIC de la organización, son los responsables de la seguridad de la información. En estos casos es entendible que la prioridad principal de estos empleados sea mantener la disponibilidad de los sistemas de información y de las redes en las que se apoyan los procesos de negocio, por tanto, la seguridad de la información es pasada muchas veces por alto.

Cuando la pyme decide externalizar las funciones TIC en compañías especializadas en ello se suele presentar el problema de que, ante la falta de conocimiento interno en seguridad de la información, se hace complicado negociar un buen contrato con el proveedor, en el cuál éste proporcione a la pyme las capacidades en seguridad de la información que realmente necesita.

En cualquier caso, el limitado acceso que tienen las pymes a capacidades en seguridad constituye una de las vulnerabilidades más críticas para éstas, exponiendo a la organización a graves riesgos. Los estándares contienen, en muchos casos, enunciaciones o conceptos que requieren poseer un grado de especialización avanzado para trasladarlos a un contexto determinado. Incluso cuando los servicios TIC son externalizados, es necesario un conocimiento acerca de la materia, para poder así entender los requerimientos de seguridad de la información y redactar cláusulas adecuadas en los contratos con proveedores.

Finalmente, una de las principales acciones requeridas a la hora de implantar un estándar es asignar roles y responsabilidades de seguridad de la información a algunos empleados. Los roles de seguridad que son requeridos para gestionar estos estándares son varios y con distintos perfiles, y esto excede la capacidad de recursos humanos de la mayoría de pymes.

Presupuesto y recursos

El poco presupuesto destinado a seguridad de la información parece ser uno de los grandes impedimentos para las pymes a la hora de implantar un estándar. En los últimos años la tendencia está cambiando, y el presupuesto que las organizaciones destinan a este tema es cada vez mayor, aunque este incremento es más visible en grandes organizaciones y menos pronunciado en pymes.

Pero, ¿por qué se necesita tanto dinero para la implantación de estos estándares? En la mayoría de los casos las pymes necesitan la ayuda de consultores especializados que les guíen, sobre todo, en las primeras fases de implantación del estándar. Además, para cumplir con los requerimientos técnicos de los estándares, necesitarán adquirir posiblemente soluciones software, nueva infraestructura TIC, etc. Evidentemente, todo esto tiene un coste asociado.

Existen otros costes adicionales que, aunque pequeños comparados con los anteriores, no se pueden pasar por alto. En primer lugar, las tasas que hay que abonar a las organizaciones de estandarización por la adquisición de los estándares. Por otro lado, a la implementación del estándar suele seguirle un proceso de certificación (la cual debe ser renovada periódicamente), y para obtener dicha certificación deberemos, además de pasar la correspondiente auditoria, pagar una tasa a la autoridad de certificación correspondiente.

Pero no solo son necesarios recursos económicos a la hora de implantar un estándar, también recursos humanos. La mayoría de pymes tienen plantillas reducidas y es necesario asignar recursos humanos que lleven a cabo las tareas de mantenimiento del estándar y así cumplir con los requisitos del mismo. Destinar recursos a este cometido impide que éstos lleven a cabo tareas con un retorno de inversión más perceptible.

Gestión de riesgos

Para la mayoría de pymes, la seguridad de la información es todavía un campo emergente y éstas no aplican el mismo grado de rigurosidad a la hora de evaluar los riesgos de seguridad de la información que a la hora de evaluar riesgos financieros, legales, operacionales, etc.

Sin embargo, las pymes son poco a poco más conscientes del potencial impacto que puede tener hoy en día la interrupción de sus procesos de negocio debido a un incidente de seguridad, y de cómo una adecuada gestión de los riesgos puede protegerlos frente a las amenazas y vulnerabilidades asociadas a sus activos de información.

Previo a la selección e implantación de un estándar, las pymes, y cualquier organización, deben conocer a qué riesgos de seguridad de la información están expuestas. Es necesario conocer, además, a qué riesgos está expuesto el entorno de la organización para determinar el estándar que mejor se adapta a nuestras necesidades. Aun así, es cierto que existen escasos frameworks de gestión de riesgos y guías de implementación que se adapten a las necesidades de las pymes, sobre todo de las más pequeñas.

Referencias:

ENISA. Information security and privacy standards for SMEs. (December 2015).