Más de la mitad de las pequeñas y medianas empresas españolas han sufrido algún ciberataque. De hecho, según Instituto Nacional de Ciberseguridad de España, este país es el tercero del mundo en número de intrusiones cibernéticas ilícitas que, año a año, parecen incrementarse.

Ahora que el teletrabajo ha venido para quedarse como una solución factible ante la crisis sanitaria originada por la COVID-19, conviene ser conscientes de que esta modalidad de trabajo puede hacer más susceptibles nuestros sistemas ante intrusiones. Por ello, tendríamos que preguntarnos si estamos preparados para afrontar este tipo de riesgos y qué podemos hacer para evitarlos. 

¿Qué es la ciberseguridad?

Se entiende como ciberseguridad el conjunto de acciones, métodos y herramientas aplicadas a controlar la seguridad de un entorno digital o espacio virtual que incluye tanto a los recursos tecnológicos como a sus usuarios.

El objetivo de un servicio de ciberseguridad es proporcionar a los diferentes clientes un nivel de protección acorde a la actividad que desempeña, asegurando la eficacia, eficiencia y continuidad de su labor ante cualquier escenario. 

¿Qué entidades requieren de este servicio?

Como hemos avanzado, el problema de la ciberseguridad no solo afecta a las grandes compañías. Un alto porcentaje de estos ataques se centran premeditadamente en organismos que, generalmente, menos recursos destinan a protegerse.

Un estudio de arquitectura, un laboratorio científico, una tienda online, una empresa de marketing o una galería de arte, por citar algunos ejemplos, pueden ser objetivos para el robo de datos. Los estragos de un ataque no solamente repercute en las diferentes entidades afectadas, que podrían incluso tener que ver paralizada su actividad. También tiene consecuencias en sus clientes, con la pérdida de confianza que ello supone.

Por tanto, para asegurar tanto la continuidad como el crecimiento de cualquier proyecto o empresa, es necesario tomar consciencia sobre estos aspectos, así como valorar y actuar sobre los posibles riesgos.

Ventajas de la ciberseguridad

• Prevención. Los ataques informáticos son cada vez más frecuentes, pues prácticamente todos los negocios desarrollan buena parte de su actividad mediante estos sistemas. Estar preparados ante posibles acciones intrusivas nos permite prevenirlas, atajarlas y resolverlas de forma más rápida, eficaz y económica. 
• Mejora de imagen. Contar con servicios de seguridad informática permite transmitir seriedad y compromiso hacia los clientes, lo que se deriva en reputación y fidelidad. Cada vez es más demandada y valorada la fiabilidad en cuanto a protección de datos personales. 
• Ahorro de tiempo y costes. Disponer de seguridad informática activa permite ahorrar, pues la previsión es fundamental a la hora de evitar o minimizar daños. También lo es a la hora de sobreponer a la empresa tras un intento de ataque. Es siempre mejor prevenir que curar, y ello es visible no solamente desde una perspectiva económica, sino también valorable en cuanto a tiempo y recursos. Un ataque exitoso puede suponer para un negocio miles de euros, lo que podría significar su cierre. 
• Servicio profesionalizado y actualizado. La contratación externa permite contar con la tecnología más actual y con profesionales muy especializados de perfil técnico avanzado, en continuo reciclaje. Esto no sería posible asumirlo desde el seno de una mayoría de empresas por su elevado coste. 

Consultorías de ciberseguridad

Desde hace años, las áreas de tecnología y seguridad se han enfocado en encontrar los mecanismos para reducir los riesgos derivados de ataques malware, phishing, bots, ransomware, etc. Estas empresas han invertido en herramientasde antivirus, control de dispositivos, antispam o control de navegación, entre otras.

Además, han generado diferentes controles y programas de concientización para evitar que los usuarios puedan ser la puerta de entrada de los infractores al abrir el correo o descargar aplicaciones.

Expertos en seguridad informática

Los y las cybersecurity consultant son profesionales de la informática especialistas en este campo que actúan bajo dos tipologías de perfiles:

1. De una parte, los que se ocupan de analizar la situación, plantear soluciones y planificar la ejecución, con rol más comunicativo.
2. De otra, el personal técnico que finalmente implementa las directrices, ya sea de forma puntual o continuada.

No obstante, a menudo ambos perfiles pueden convergir en la misma persona. En cualquiera de los casos, son personas con conocimientos en hardware, software, sistemas de comunicación, comercio electrónico, redes, etc. Han de reciclarse continuamente con cursos de formación que les permitan prevenir amenazas con metodología altamente cambiante.

Amenazas

En la actualidad, pequeñas y medianas empresas son habitualmente afectadas por medio de dos procedimientos en auge: el ransomware y el phishing.

El primero se basa en un malware que consigue bloquear los dispositivos a la vez que roba información para, posteriormente, requerir un pago para el restablecimiento del sistema.

El phishing, por su parte, consigue que el usuario permita una intrusión sin ser consciente de ello, algo habitual por medio de correo electrónico. Es habitual que cierta información sensible sea robada y ello derive, como en el caso anterior, en una extorsión. 

El robo de datos sensibles o de importancia para la empresa disponible en los equipos, como bases de datos de clientes, puede resultar muy negativo para la empresa. Además, en ciertas ocasiones la pérdida de información puede ser irreversible. 

¿Cuánto cuesta contratar la ciberseguridad?

El precio de los servicios de ciberseguridad viene establecido atendiendo a diferentes aspectos como el número de equipos, servidores y usuarios conectados a una red, la existencia de diferentes oficinas, la sensibilidad de la información a proteger y su volumen, el modo de contratación o la cantidad de servicios englobados en el sistema de protección.

Hay empresas que, según su actividad y magnitud, pueden llegar a gastar varios cientos de miles de euros en este aspecto. 

Lo habitual es que las pymes destinen aproximadamente un 6% de su presupuesto tecnológico a seguridad. En otros casos, como ocurre con entidades financieras, ello asciende hasta cuatro puntos más.

El precio mínimo y máximo de contratación de un servicio de ciberseguridad para pymes oscila generalmente entre 35 € y 2200 €/mes, siendo la media de 450 €/mes. No obstante, este precio puede no incluir el estudio o auditoría inicial y otros servicios complementarios. 

1. Servicios básicos

Lo más habitual es contar con un firewall y un programa antivirus que filtre el correo electrónico, las instalaciones en el equipo y la actividad de los navegadores. No obstante, aunque todo ello es necesario, no resulta suficiente para proteger a una empresa ante ciberataques.

Además, lo normal es que esas necesidades varíen mucho entre las diferentes entidades, según su sector y tamaño. Por eso, muchas empresas ofrecen precios personalizados o paquetes diferenciados que resuelven necesidades específicas.

Las asesorías y consultorías IT se encargan de crear un entorno seguro para sus clientes desde un punto de vista técnico, pero también jurídico. Veamos a continuación algunos aspectos que han de tenerse en cuenta a la hora de implementar seguridad informática en una entidad.

2. Análisis de los riesgos

Para poder conocer el tipo de servicios de seguridad y mantenimiento que se necesitan según el caso, lo mejor es realizar una auditoría.

Su objetivo será determinar la eficacia del control existente y la magnitud de las vulnerabilidades para valorar qué puede hacer la empresa para reducir el riesgo, según la actividad que realiza y su coste derivado. Implementar seguridad en una empresa que cuenta con muchos usuarios conectados y tramita un gran volumen de información, con datos personales y bases de datos sensibles, necesitará una mayor protección, lo cual repercutirá en el precio. 

3. Auditoría básica o avanzada 

Un informe de diagnóstico que incorpore plan de implementación (recomendaciones de mejora) puede tener un precio que oscila entre 400 y 3500 €.

• Los análisis más simples revisan, entre otros aspectos, la privatización de red, la configuración de redes wifiteniendo en cuenta protocolos de cifrado y debilidades, antivirus, firewall, cuentas de correo…
• Los diagnósticos más avanzados cuentan con la realización de test y comprobaciones que permiten conocer a una mayor profundidad el estado de los sistemas, la red y su vulnerabilidad. Esto se consigue a partir del análisis detráfico en la red, test de intrusión especializados con pruebas manuales, hacking ético (simulaciones de ataques) e infecciones simuladas por ransomware a diferentes niveles.

4. Software de seguridad

Los precios de los sistemas de seguridad informática suponen una horquilla amplia que va desde los 45 € de los más básicos a los más de 5300 € anuales que podrían costar aquellos que ofrecen soluciones más avanzadas.

Generalmente, los software forman parte de los packs de seguridad que ofrecen las empresas y que vienen complementados por otra serie de servicios cuya contratación diferenciada podría aumentar el coste. Por ello, es recomendable su contratación dentro de una opción de protección integral.

5. Páginas web y aplicaciones

El precio de una auditoría aplicada a una página web, que tiene en cuenta aspectos como el aviso legal, las políticas de privacidad y cookies, o la seguridad a la hora de enviar información con formularios, suele partir de 150 €. Su precios incrementa si cuenta con tienda online o plataforma de interacción b2b.

Las consultorías de seguridad cibernética realizan pruebas de web hacking desde perfiles externos e internos (usuarios autenticados). También existe la llamada auditoría de código fuente, que busca establecer patrones de seguridad en la programación del website y las aplicaciones para dispositivos móviles. 

6. Copias de seguridad

Recuperar los datos ante un ataque puede ser crucial para la supervivencia de una empresa. Ya se trate de borrados accidentales o robos con un fin extorsionador, la posibilidad de recuperar la información rápidamente permitirá que la actividad de una empresa no sea paralizada.

Estas copias pueden realizarse físicamente por medio de discos duros o con repositorios online, que permiten copias automáticas en la nube. Cuando el servicio de backup no se ha contratado dentro de un plan, el precio de la recuperaciónpuede variar entre 200 y 600 € para entidades medianas o pequeñas.

Algunas empresas ofrecen servicios de copias de seguridad a partir de 25 €/mes. 

7. Protección de datos

Cuando hablamos de información sensible no solamente nos referimos a datos personales de terceros, sino también a aquella que atañe a aspectos muy concretos de una determinada entidad y su funcionamiento interno, como contratos, planes de viabilidad, gestión, precios…

En ocasiones, la información confidencial sale de los sistemas de la empresa por mediación de sus propios trabajadores. Controlar la modificación, copia o el envío de datos desde un terminal a un dispositivo externo o correo es posible. Una auditoría de protección de datos, no incluida dentro de un servicio de seguridad integral, puede costar entre 200 y 600 €. 

8. Monitorización continua

Tras realizar las auditorías pertinentes e implantar los sistemas de defensa, es vital que exista una monitorización continua a todos los niveles, que permita detectar vulnerabilidades, ataques o accesos indebidos de formainmediata.

En ocasiones, estas actuaciones van más allá, llegando a analizar posibles filtraciones en internet e internet profunda. Este servicio puede complementarse con la gestión de huella digital, la cual analiza la presencia en internet de forma continuada, eliminando información que pueda ser perjudicial.

9. Formación

Las y los profesionales de la ciberseguridad imparten cursos y talleres a las plantillas de las empresas que contratan sus servicios para aminorar las posibilidades de intrusión por factores internos. Es común que los empleados reciban spam y correos maliciosos en sus buzones, lo cual no siempre es fácil de identificar, y puede derivar en una extorsión.

Para ello se realizan campañas de phishing controladas que ayudan a concienciar sobre sus peligros y la facilidad de caer en ellos. El establecimiento de contraseñas seguras, el uso de medios cifrados y la limitación de permisos según el tipo de usuario conectado ayudarán a mantener los niveles de seguridad. 

10. Otros servicios 

Además de lo ya citado, es habitual que las asesorías y las consultorías de informática especializadas en ciberseguridad ofrezcan prestaciones que pueden ser útiles ante un procedimiento legal, como estudios forenses que analizan el origen de los ataques ya sufridos.

Esos informes periciales recopilan todas las evidencias que pueden ser determinantes para aclarar interrogantes y sospechas. Además, es posible obtener el apoyo de estos peritos durante el juicio a la hora de explicar la información detallada en dicho informe. 

Cálculo del precio 

Las empresas de seguridad informática ofrecen distintas fórmulas de contratación, entre las cuales cabe destacar las siguientes: 

• Precio por licencia.

Cuando la ciberseguridad se circunscribe al uso de un determinado software, la especialización del programa, sus opciones de cobertura y la magnitud de la empresa (cantidad de equipos) determinarán en buena parte el precio inicial. También las cuotas de asistencia y las renovaciones anuales.

Su coste base suele oscilar entre los 30 y los 6000 € anuales, aunque es común necesitar contar con servicios asistenciales que podrían no estar incluídos. 

• Precio por número de equipos o usuarios.

A partir de un determinado número de equipos y según posibles franjas de servicios incluidos en la contratación, los precios pueden variar entre 3,5 y 150 €/mes por terminal. 

• Precio por niveles.

Depende esencialmente de las funciones específicas incluidas en el servicio en relación al número de equipos y recursos a proteger. Los paquetes más básicos, aunque tienen un precio menor, pueden suponer un mayor desembolso cuando es necesario contratar de forma independiente otros servicios más avanzados.

Los precios suelen variar entre 20 y 2200 € al mes, aunque algunas empresas dan opciones de tarificación anual con opción a descuentos.  

Ciberseguros

Hay seguros que protegen ante ataques cibernéticos producidos durante el desarrollo de la actividad de una entidad. Los hay de diferentes tipologías según las actividades que se llevan a cabo en los organismos contratantes.

Pueden cubrir, entre otros aspectos:

• la gestión de accidentes
• las reclamaciones y daños a terceros por vulneración de la ley de protección de datos ante la filtración de los mismos
• los posibles multas o sanciones derivadas
• la indemnización por cese de actividad como consecuencia del ataque

Su precio ronda entre los 350 y los 1200 € anuales.