Aumentar la ciberresiliencia de las pymes europeas
Con menos recursos que las grandes empresas, las pequeñas y medianas empresas (pymes o SME, por sus siglas en inglés) suelen tener dificultades para invertir en ciberseguridad. Además, la mayoría de los empleados de las pymes no comprenden bien la amenaza. Esto puede hacerlos vulnerables a los ciberdelincuentes, incluso con capacidades moderadas. «Los atacantes pueden atacar a un gran número de pymes al mismo tiempo utilizando métodos automatizados —explica el coordinador del proyecto CyberKit4SME, Luis Carrascal, de Inetum, con sede en Francia—. Atacar a una pyme a lo largo de la cadena de suministro también proporciona a los ciberdelincuentes acceso a sistemas o servicios en los que pueden confiar organizaciones más grandes. Esto les proporciona una atractiva vía de ataque, al permitirles piratear un objetivo de mayor valor que sería difícil atacar directamente».
Democratización de las herramientas de ciberseguridad
El equipo del proyecto CyberKit4SME, financiado con fondos europeos, pretendía democratizar los métodos de ciberseguridad mediante la adaptación de determinadas herramientas de ciberseguridad en línea a las necesidades específicas de las pymes. En concreto, el equipo del proyecto quería proporcionar a las empresas más pequeñas los medios para vigilar y prever los riesgos de ciberseguridad, y aumentar su concienciación sobre las distintas amenazas. «Equipar a las pymes con herramientas avanzadas, de bajo coste y fáciles de usar significa que podrán vigilar y detectar posibles amenazas sin tener que recurrir con frecuencia a costosos expertos en ciberseguridad», afirma Carrascal. Para ello se crearon cinco herramientas. Entre ellas están Spyderisk, una herramienta de evaluación de riesgos que automatiza gran parte del procedimiento de evaluación, y HORM, una herramienta de evaluación de riesgos que modela y visualiza el comportamiento humano y los procesos de trabajo. El equipo del proyecto también desarrolló Keenaï, una herramienta de gestión de información y eventos de seguridad (SIEM, por sus siglas en inglés) que permite a los usuarios supervisar, a través de una ventanilla única, toda la seguridad del sistema de información. La herramienta Secure Data Services permite almacenar y consumir datos de forma segura y protegida. Por último, un elemento fundamental del proyecto fue la creación de Service Ledger, una plataforma en línea a través de la cual las pymes pueden compartir información sobre ciberseguridad de forma segura. El equipo del proyecto también creó un curso de formación para utilizar las herramientas, junto con material educativo para ayudar a los empleados a adoptar un comportamiento en línea más seguro.
Éxito del conjunto de herramientas de CyberKit4SME
Estas herramientas se pusieron a prueba con pymes de cuatro sectores fundamentales: finanzas, sanidad, energía y transporte. Así, se validaron la eficacia y la utilidad de las herramientas. «El conjunto de herramientas ha demostrado ofrecer un marco eficaz para la evaluación y mitigación de riesgos, que abarca todo el ciclo de vida de los sistemas y aplicaciones —añade Carrascal—. Proporciona los medios para identificar las amenazas, analizar riesgos e introducir las medidas de seguridad proporcionadas a esos riesgos». Las herramientas también permiten evaluar los factores de riesgo humanos y organizativos, vinculados al diseño de las tareas laborales, la asignación de funciones y las responsabilidades. También se mostraron tecnologías avanzadas de codificación y aislamiento para hacer frente a amenazas específicas a los datos que se almacenan, transfieren y procesan en las instalaciones y en la nube.
Un entorno digital de la Unión Europea fiable
El resultado final es que las pymes pueden protegerse mejor adoptando este tipo de herramientas. «Todas las demostraciones piloto que participaron en nuestro proyecto expresaron su deseo de seguir utilizando las herramientas una vez finalizado el proyecto», afirma Carrascal. Algunas de las innovaciones introducidas en CyberKit4SME se desarrollarán ahora en un nuevo proyecto europeo denominado NEMECYS. El objetivo será seguir mejorando su utilidad y funcionalidad. «El hecho de que la mayoría de nuestras herramientas sean de código abierto significa que están ampliamente disponibles —concluye Carrascal—. El uso de estas herramientas reducirá los daños económicos causados por los ciberataques perjudiciales y las violaciones de la protección de datos y contribuirá a allanar el camino hacia un entorno digital de la Unión Europea fiable».
Palabras clave
CyberKit4SME, ciber, ciberataques, pyme, seguridad, ciberseguridad, sanidad
