Ni las pequeñas empresas son más vulnerables a padecer problemas de seguridad ni las más grandes son ajenas a todos los riesgos que se deben tener en cuenta a la hora de establecer las políticas de seguridad. Sin embargo, es cierto que las PYMES pueden necesitar más orientación al disponer de menos recursos, aunque muchos estudios evidencian que, ante vulnerabilidades y fallos, todas son iguales. Y es que, a veces, el enemigo reside en casa.

Si todos somos iguales ante la ley, algo parecido se podría decir de las empresas a la hora de sufrir ataques en sus redes y sistemas o a padecer los efectos de alguna vulnerabilidad. Y es que, como veremos más adelante, a veces son los propios empleados las principales causas de los problemas de seguridad a los que las corporaciones deben hacer frente.

Sin embargo, no es menos cierto que, a menor tamaño, los recursos disponibles, de toda índole y condición, suelen ser también más limitados. Por eso, se ha editado, a nivel internacional, una guía para que las PYMES se protejan de los agujeros de seguridad. Una iniciativa promovida por varios grupos, quienes han decidido unirse con un objetivo claro y sencillo: ayudar a las pequeñas empresas que sean vulnerables a protegerse contra los agujeros de seguridad, especialmente en lo relativo a los datos.

Aunque los agujeros de datos en las grandes compañías son los que copan los grandes titulares, se calcula que el 56 por ciento de las pequeñas empresas en Estados Unidos padecieron este problema el pasado año. La mayor parte de los 23 millones de pequeñas empresas suelen tener información de carácter personal, según Steve Cole, presidente y CEO de Council of Better Business Bureaus (CBBB), organización que, junto al think tank Privacy & American Business y al patrocinio de IBM y eBay, han anunciado el programa Security and Privacy -- Made Simpler (Seguridad e Intimidad, hechas simples), destinado a empresas de menos 500 empleados.

Muchas de estas compañías no tienen el dinero o la experiencia para implantar programas de seguridad exhaustivos, según CBBB. “Las pequeñas empresas son tan valiosas, sino más, que las grandes”, manifiesta Cole. “El reto es hacer menos intimidatorios estos aspectos y situar a las pequeñas corporaciones en la dirección correcta”.

Qué incluye la guía

El paquete de seguridad anunciado está disponible para su descarga gratuita en BBB.org/securityandprivacy. Este kit incluye una guía sobre cómo crear políticas de seguridad e intimidad, controlar el acceso de los empleados a datos sensibles y la disposición de los archivos electrónicos e informáticos antiguos. Además, se otorgan consejos como “si no necesita realmente algún tipo de información del cliente, la mejor política es no guardar estos datos”.

Pero, además, la CBBB (una organización bajo la que se agrupan 116 Better Business Bureaus de todo Estados Unidos) también planea anunciar una herramienta para la protección de los datos de los empleados, además de un seminario Web sobre seguridad y más actualizaciones sobre desarrollos de seguridad que puedan afectar a las PYMES, según Cole.

Según un estudio llevado a cabo por Small Business Technology Institute, el 20 por ciento de las pequeñas empresas no emplean un antivirus para su correo electrónico y más de un 60 por ciento no protege sus redes inalámbricas con sistemas de encriptación.

Las pequeñas empresas pueden tener que hacer frente a problemas serios si no llevan a cabo prácticas de seguridad razonables. Entre los riesgos que corren está el perder la confianza de los clientes, según Lydia Parnes, directora de la Oficina de Protección del Cliente de la Comisión Federal de Comercio de Estados Unidos. “Si no proteges la información del cliente, no sólo estás poniendo estos datos en riesgo, sino que también pones en peligro tu negocio”, declara.

Las empresas no saben gestionar su intimidad

Hablando de la confianza de los clientes en las empresas, es obligado mencionar la protección de los datos. No en vano, la presión hacia las empresas para que salvaguarden la intimidad y garanticen la seguridad de los datos personales de sus trabajadores cada vez es mayor, pero la complejidad de esta tarea hace difícil que se puedan cumplir estas altas expectativas. Así al menos lo consideran algunos expertos de la industria.

Tanto los gobiernos como los consumidores son los que, principalmente, ejercen esta presión, ya que quieren tener un mayor control sobre cómo se guardan y gestionan sus datos personales, según Pete Bramhall, director de proyecto en el laboratorio que HP posee en Bristol (Inglaterra). A nivel interno, las empresas intentan resolver el coste y la complejidad de tener que conjugar esto con las redes distribuidas.

“En estos momentos, el CIO y el responsable de la intimidad están intentando perfilar cómo debe ser el diálogo adecuado en el uso de la tecnología para cuestiones relativas a la intimidad”, explica Bramhall, quien considera que, “pese a que aún estamos en los primeros estadios, se está empezando a notar un cambio de tendencia”.

Cabe señalar que el conocido como Trusted Systems Laboratory es una sección dentro del laboratorio de HP que se dedica a las cuestiones relativas a la privacidad e identidad. Los investigadores se están centrando en estos momentos en dos áreas: el refuerzo de las reglas de intimidad y el control de que los datos, cuando se ofrecen, se hace de una manera segura, según las explicaciones de Bramhall. Unos datos que pueden oscilar entre detalles financieros relacionados con el comercio electrónico, las políticas empresariales para acceder a los ordenadores o datos de carácter personal como dirección o número de afiliación a la Seguridad Social.

Automatización de las tareas

Dado que los empleados no suelen leer los manuales en los que las compañías plasman sus políticas al respecto, la idea que persigue el equipo de Bramhall es que el software pueda, de manera automática, prevenir errores humanos a la hora de trabajar con datos. “Las personas son impredecibles”, argumenta este responsable, “por lo que el reto es intentar que no trabajen, en la medida de lo posible, con estos asuntos”.

Las leyes que obligan a las empresas a salvaguardar los datos personales son el catalizador de estas nuevas inversiones en software, a lo que hay que añadir que los problemas de seguridad en datos personales suponen también un daño de imagen muy importante y serio para la reputación de las empresas. Eso sí, “la cantidad total de la inversión depende del miedo que se tenga a cometer un error”, confiesa este experto, quien también asegura que el hecho de que cada vez más países tengan legislación al respecto hace crecer los miedos de las empresas.

Los empleados son la principal amenaza

Sin embargo, HP no es la única compañía desde la que se cree constatar el hecho de que los errores humanos están detrás de la mayoría de los problemas de seguridad a los que hay que hacer frente. De hecho, según el reciente estudio IBM Global Business Security Index, los ataques internos son una incipiente amenaza de seguridad dentro para las empresas. Algo en lo que también coincide el CSI/FBI 2005 Computer Crime and Security Survey, quien concreta que el 56 por ciento de las empresas reconoc