El tamaño no importa en ciberseguridad. Aunque muchas pymes y autónomos crean que se trate de una medida que solo deben tomar las grandes compañías, el crecimiento constante de las amenazas digitales indica que la defensa en este terreno ya no es una opción, sino una necesidad estratégica y, en muchos casos, legal.
Además, cuando el negocio trata datos personales – como información de clientes, empleados o proveedores. La normativa de protección de datos, en especial el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), exige garantizar la seguridad, confidencialidad e integridad de esa información mediante medidas adecuadas al riesgo.
Troyano, phishing, ramsonware… las amenazas en el entorno digital afectan cada día más a un perfil variado de víctima: desde ciudadanos particulares a grandes empresas. Según datos del Instituto Nacional de Ciberseguridad (INCIBE), a lo largo de 2024, gestionaron 97.348 incidentes, de los cuáles un 32,4% afectaron a empresas.
Acelera Pyme
Acelera pyme, organismo del Gobierno que impulsa la transformación digital de pequeñas y medianas empresas, alertó a principios de este año que un 60% de las pymes víctimas de un ciberataque grave cierran al poco tiempo, como consecuencia de daños económicos, pérdidas de datos y disminución de la reputación.
Habría que recordar que, en el ámbito del RGPD, la perdida o robo de información personal puede considerarse una «violación de seguridad de los datos personales», lo que obliga a notificar el incidente a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas.
Por suerte se puede poner soluciones, recurriendo a expertos. Si quieres estar al día sobre todo lo relacionado con ciberseguridad para proteger tu negocio o tu actividad como autónomo, puedes recurrir a profesionales como los que tiene Legalitas en su equipo.
Estos especialistas también pueden asesorarte en el cumplimiento de la normativa de protección de datos, garantizando que tu empresa no solo se protege técnicamente, sino que cumple con las obligaciones legales de seguridad y confidencialidad exigidas por el RGPD.
Las ciberamenazas pueden ocasionar graves pérdidas a las pymes.
El consejo primordial: no bajar la guardia
Siguiendo con los datos de INCIBE, el malware (42.136 casos) y el phising (21.571) lideran las amenazas que recogió esta entidad el año pasado. Otras amenazas destacadas fueron 7.420 intrusiones detectadas en sistemas o redes digitales de empresas o particulares. Asimismo, en 2022 el World Economic Forum publicó un informe en el que se indicaba que el 95% de los problemas de ciberseguridad estaban causados por errores humanos.
En muchos casos, estos errores humanos suponen accesos indebidos o filtraciones de datos personales, algo que la normativa europea exige prevenir mediante formación, políticas internas y medidas de control de acceso documentadas.
Un ejemplo claro son las estafas de phishing (suplantación de identidad), los ciberdelincuentes envían mails haciéndose pasar por nuestro banco, compañía de servicios o alguna institución oficial solicitándonos algún dato, principalmente credenciales bancarias como número de cuenta o tarjetas de crédito. Pecando de buena voluntad, la víctima proporciona esta información.
El ransomware es una ciberamenaza creciente.
El ransomware actúa de una manera similar. Por descuido, una persona hace clic en un enlace malicioso (que tiene la apariencia engañosa de venir de una entidad conocida) y acaba instalando un malware. Este software perjudicial bloquea los equipos de la red y los ciberdelincuentes piden un rescate para poder liberarlos. Esto puede suponer pérdidas importantes para un negocio, tanto por el pago del rescate como por las derivadas del cese de la actividad mientras se resuelve la incidencia.
Así que es importante concienciarse de que estas amenazas acechan en los canales digitales y solo acceder a aquellos enlaces o descargarse archivos solo que vengan de remitentes de nuestra absoluta confianza. Nunca esta de más fijarse bien en los remitentes del mail (suelen ser direcciones sospechosas con dominios que no corresponden al corporativo) o URLs extrañas, muy diferentes a las habituales de la compañía. También desconfiar de aquellos mensajes que nos urgen a proporcionar información.
Seis medidas imprescindibles para la ciberseguridad de tu negocio
Aunque el entorno puede parecer muy amenazante, siendo un poco metódico se puede aplicar un plan de ciberseguridad en nuestra pyme o a nuestras canales profesionales, si somos autónomos, con estos seis pasos fundamentales que se describen a continuación.
1- Contraseñas seguras y autentificación reforzada
Hay que olvidarse de contraseñas 123456 para las cuentas de correos, bancarias o demás servicios con información sensible. Conviene combinar mayúsculas, minúsculas, números y caracteres especiales. Además, conviene actualizarlas periódicamente (cada tres o seis meses es una frecuencia recomendable). Tampoco hay que aprovecharlas en diferentes plataformas, una diferente para cada una.
También es muy recomendable activar la autentificación de dos factores. Por ejemplo, que tengamos que confirmar la conexión a través de nuestro teléfono móvil o con algún elemento biométrico (como reconocimiento facial o huella dactilar).
El uso de contraseñas seguras y autentificación reforzada es una de las medidas técnicas básicas que el RGPD considera esenciales para garantizar la confidencialidad de los datos personales y prevenir accesos no autorizados.
2- Gestión de accesos y permisos
Si tu empresa tiene varios empleados, es bueno tener claro quién tiene acceso a qué tipo de información. Concienciar bien a los integrantes del equipo de sus responsabilidades digitales. Lo mejor es ajustar los permisos de accesos a información sensible de acuerdo con las responsabilidades de cada profesional. Luego también eliminar las cuentas de los exempleados. Si se cumplen con estos parámetros, los riesgos se reducen significativamente.
El principio de “acceso mínimo necesario” también se recoge en la normativa de protección de datos, que exige limitar el acceso a los datos personales solo a quienes los necesitan para sus funciones. Estas medidas deben quedar reflejadas en las políticas internas de seguridad de la empresa.
3- Actualizaciones, las grandes aliadas
Una actualización a tiempo ahorra muchos problemas también. Un software obsoleto es la vía de entrada favorita de los ciberdelicuentes a nuestros equipos y redes. Así que conviene tener al día todos los sistemas operativos, aplicaciones y demás herramientas digitales indispensables para nuestro negocio. Muchas de estas mejoras precisamente van orientadas a mejorar la ciberseguridad del producto.
Desde el punto de vista legal, mantener los sistemas actualizados forma parte de la obligación de aplicar medidas de seguridad adecuadas al riesgo, conforme al articulo 32 del RGDP.
No hace falta tener unos grandes conocimientos informáticos, a nivel de usuario sepueden tomar precauciones que pueden ser muy útiles.
4- Protección del correo electrónico
El correo electrónico corporativo también merece una atención especial para evitar brechas en la ciberseguridad del negocio. Las medidas más recomendables en este sentido deberían ser:
- Implementar filtro antispam.
- Sistemas de encriptación de mensajes.
También es importante formar a nuestros empleados en como detectar intentos de phishing, así también reducimos el riesgo de un descuido por parte de un miembro de nuestro equipo que dé información sensible o acceso a la red corporativa de gente no deseada. No está de más insistir también en una regla básica: ninguna entidad bancaria o institución oficial solicitará datos personales o contraseñas por correo electrónico.
Cualquier filtración de información personal a través del correo electrónico puede constituir una brecha de seguridad. Es importante contar con protocolos para su detección y notificación, tal y como exige la normativa europea.
5- Hacer copias de seguridad con regularidad
Otra cuestión que está en nuestra mano para mejorar la ciberseguridad es realizar backups periódicos. Así podemos almacenar la información en ubicaciones seguras y encriptadas. Por ejemplo, es bueno hacerlo en algún servicio en la nube o en dispositivos independientes, no conectados a la red corporativa.
Almacenar estas copias de seguridad, nos permitiría seguir con nuestra actividad profesional en caso de ciberataques como los ramsonware o algún borrado malicioso de información.
Las copias de seguridad también deben estar cifradas y protegidas frente accesos no autorizados, especialmente si contienen datos personales. Asimismo, debe documentarse su gestión en el registro de actividades de tratamiento exigido por el RGPD.
6- Formación continua del equipo
Como ya se ha apuntado, el fallo humano está detrás de muchos problemas de ciberseguridad. Así que es importante tener a nuestro equipo continuamente informado y formado sobre las nuevas amenazas que van surgiendo. Debe implicarse a todo el mundo, no solo centrarse en los perfiles más tecnológicos. No hay que perder de vista que todo lo relacionado con lo digital, cambia muy rápido, así que los profesionales también deben actualizarse en este sentido.
Formación continua del equipo
También es bueno tener guías de actuación y protocolos de crisis por si se produce algún ciberataque. Así todo el mundo en la empresa sabrá cómo actuar y no ser presa de los nervios o del desconocimiento.
El RGPD obliga a que todo personal con acceso a datos personales reciba formación en protección de datos y se comprometa a mantener la confidencialidad.
Auditorías caseras: un primer paso accesible
Para pymes y autónomos con recursos limitados, realizar una auditoría de ciberseguridad básica puede parecer intimidante, pero es más sencillo de lo que parece. Es conveniente tener presente estos pasos:
- Identificar los activos digitales de la empresa para saber qué proteger: ordenadores, servicios en la nube, software de gestión…
- Revisar actualizaciones de software y evitar posibles vulnerabilidades. Hay herramientas gratuitas que ayudan a hacerlo como OpenVAS.
Una buena práctica es complementar la auditoria técnica con una auditoria de cumplimiento en protección de datos, revisando políticas de privacidad, registros de tratamientos y contratos con proveedores que acceden a información personal (encargados del tratamiento).
Ayudas públicas para digitalizar con seguridad
Los autónomos y las empresas tienen ayudas para afrontar estos retos en ciberseguridad. El famoso Kit Digital también contempla ayudas económicas (que pueden llegar a los 29.000 euros en función del número de empleados) para fortalecer digitalmente a sus negocios.
Con esta ayuda económica y entrando un poco en detalle, las pymes pueden optar por implementar medidas de ciberseguridad como: antivirus avanzados, firewalls, sistema de gestión de vulnerabilidades…
Los organismos públicos también ofrecen cursos gratuitos para pymes y autónomos que les ayudan a implementar estas medidas de ciberseguridad, más allá de la pura instalación del software u otras herramientas.
Una nueva ley que cambia las reglas del juego
Además de todas estas medidas, para las empresas cuya actividad esté en el desarrollo de productos digitales debentener en cuenta un nuevo entorno legal. El 10 de diciembre de 2024 entró en vigor la Ley de Ciberresilencia europea. Esta norma de la UE ha establecido requisitos obligatorios de ciberseguridad para productos que contienen elementos digitales. Su aplicación plena no será obligatoria hasta diciembre de 2027. Hasta entonces, las empresas pueden ir adaptando sus sistemas y productos.
Ciberresilencia europea
Básicamente la normativa establece estos puntos clave:
- Clasificación de productos digitales según su nivel de riesgo.
- Obligación de los fabricantes a notificar cualquier vulnerabilidad descubierta en un plazo de 24 horas.
- Proporcionar ayuda de seguridad durante todo el ciclo de vida del producto o durante un mínimo de cinco años como mínimo.
- Del mismo modo, los responsables del tratamiento deben notificar sin dilación las brechas de seguridad que afecten a datos personales.
Como ves, la ciberseguridad toca muchos aspectos más allá de los ordenadores y del software. La mejor manera de asegurar que las cosas se están haciendo bien en un campo tan sensible es recurrir al asesoramiento de profesionales como los de Legalitas.
Lee tambiénInspección sorpresa de Hacienda en tu empresa: pasos legales para afrontarla sin sanciones
Impuesto de Sucesiones en 2025: novedades, bonificaciones y cómo ahorrar en tu herencia
Cómo cancelar tus deudas legalmente: opciones más allá de la Ley de Segunda Oportunidad
