La ciberseguridad ha dejado de ser una preocupación exclusiva de las grandes compañías. Raúl Fernández, socio de ABF Ciberseguridad, advierte de que las pymes riojanas también están expuestas, sobre todo por su papel en la cadena de suministro. La normativa NIS2, la digitalización de procesos y la confianza entre empresas obligan a tomarse en serio un riesgo que puede comprometer la continuidad del negocio.
– La Directiva NIS2 parece algo reservado a grandes compañías, pero ustedes defienden que afecta a muchas más empresas. ¿Por qué una pyme riojana debería empezar a preocuparse ya?
– Porque el tamaño de la empresa ya no determina el nivel de riesgo. Aunque una pyme no esté obligada directamente por la normativa, puede formar parte de la cadena de suministro de empresas que sí lo están, y cada vez más clientes grandes piden garantías de seguridad a sus proveedores sea cual sea su tamaño. A esto se suma que un incidente golpea de forma mucho más dura a una empresa pequeña: unos días de parón, una fuga de información o un fraude pueden poner en serio peligro la continuidad del negocio.
– Hablan de la cadena de suministro como una de las principales puertas de entrada de los ciberataques. ¿Dónde están hoy las mayores vulnerabilidades que muchas empresas ni siquiera están viendo?
– El error más común es mirar solo hacia dentro y olvidar quién tiene acceso desde fuera. Aplicaciones en la nube que nadie supervisa, proveedores con conexiones remotas que se quedan abiertas, cuentas de antiguos empleados o colaboradores que nunca se cierran, servicios externos que manejan datos sensibles… son los puntos ciegos más frecuentes. El problema casi nunca es un gran fallo tecnológico, sino la falta de control sobre quién entra realmente en los sistemas de la empresa.
– Sectores como alimentación, logística o industria tienen cada vez más procesos digitalizados. ¿Estamos siendo conscientes del riesgo que supone depender de tantos sistemas interconectados?
– Todavía no lo suficiente. La digitalización ha traído eficiencia y competitividad, pero también más exposición. Hoy un fallo informático puede parar una línea de producción, bloquear envíos o afectar a la trazabilidad de un producto. Muchas empresas siguen pensando en sus sistemas industriales como islas, cuando en realidad están cada vez más conectados con la red corporativa, los proveedores y servicios externos. Esa conexión obliga a tomarse el riesgo mucho más en serio.
– Muchas empresas pueden pensar que invertir en ciberseguridad es un coste añadido. ¿Qué riesgos reales asume una dirección que decide no actuar o retrasar estas decisiones?
– El verdadero riesgo es pensar que no hacer nada sale gratis. Un incidente suele costar mucho más que la prevención: parón del negocio, pérdida de confianza de clientes, sanciones, reclamaciones de contratos incumplidos, gastos de recuperación… Y a esto se añade que la responsabilidad de la dirección es cada vez mayor. No tomar decisiones informadas en ciberseguridad puede acabar siendo un problema serio tanto para el negocio como para la reputación de quien lo dirige.
– Incluso empresas que no están obligadas directamente por la normativa pueden verse afectadas por trabajar con clientes estratégicos. ¿Estamos entrando en una nueva era donde la ciberseguridad será casi una condición para hacer negocios?
– Totalmente. Pasó con la calidad y con la prevención de riesgos laborales hace años, y ahora está pasando con la ciberseguridad: se está convirtiendo en una condición básica de confianza entre empresas. Los clientes quieren saber que sus proveedores gestionan bien sus riesgos, porque un fallo de seguridad en un proveedor puede acabar afectando a toda la cadena. Tener acreditadas ciertas medidas de seguridad va a dejar de ser un plus y va a pasar a ser, en muchos casos, una puerta de entrada obligatoria al mercado.
– Si mañana un gerente de una pyme os dijera «no sé por dónde empezar», ¿cuáles serían las tres decisiones más importantes que debería tomar hoy para proteger su negocio?
– Lo primero, saber qué es realmente crítico para la empresa: qué sistemas, procesos o datos no pueden fallar bajo ningún concepto. Lo segundo, poner en marcha medidas básicas pero eficaces: copias de seguridad que realmente funcionen, autenticación multifactor y un protocolo claro para reaccionar si algo pasa. Y lo tercero, no olvidarse de las personas: formar y concienciar a empleados y directivos sigue siendo, con diferencia, una de las inversiones que más rentabilidad da en ciberseguridad.
