El desafío que supone la ciberseguridad para los emprendedores

A la hora de lanzarse a emprender, el foco siempre se pone en cómo materializar una idea de negocio, algo que supone atender a infinidad de vertientes sea cual sea el sector en el que se emprenda.

Los riesgos que percibe el emprendedor suelen estar relacionados con aspectos relativos a la futura marcha del negocio, pero por lo habitual no tiende a valorar como tales a las amenazas de ciberseguridad, por considerarlas algo remoto, en buena medida porque la información que le llega al respecto es sobre ciberataques cometidos contra grandes compañías e incluso gobiernos.


De hecho, de acuerdo a un estudio de Google, el 99,8% del tejido empresarial español no se considera un objetivo atractivo para un ciberataque...

Sin embargo, en el ecosistema de negocio hiperdigitalizado actual, los ciberriesgos son un factor muy a tener en cuenta, porque un ataque de esta naturaleza tiene un potencial devastador, al poder comprometer tanto la información interna crítica de la empresa como los datos personales de los clientes, lo que puede afectar a la continuidad de las operaciones, provocar una crisis reputacional irreparable y, eventualmente, a tener que afrontar responsabilidades en caso de que no se hubiesen implementado las medidas de protección requeridas por normativas como la LOPDGDD.

En otras palabras, todo el esfuerzo invertido para levantar un proyecto se puede ir al traste de un día para otro, ya que un ciberataque potente de ransomware (secuestro y encriptación de datos para pedir un rescate por el descifrado) que tenga éxito es capaz por sí mismo de arruinar cualquier negocio.

Así lo acreditan datos como que en torno al 60% de las PYMES europeas que sufre un ciberataque quiebra en los seis meses siguientes al incidente, cifrándose el coste medio que suelen suponer en 35.000 euros.

Además, los ciberdelincuentes tienen en el punto de mira a las pequeñas empresas, por la simple razón de que son un blanco más fácil que grandes organizaciones que cuentan con departamentos de ciberseguridad (dirigidos por un director de ciberseguridad o CISO), o bien tienen este ámbito gestionado con un servicio externo (Cyber Security as a Service).

Por todo ello, la previsión de la ciberseguridad debe ser un aspecto básico a la hora de lanzar cualquier proyecto emprendedor, porque si no, haciendo un paralelismo sencillo, sería como poner todo el esfuerzo en construir la casa de nuestros sueños y dejar la puerta sin cerradura.


Medidas básicas de ciberseguridad para emprendedores

La evaluación previa de riesgos, la concienciación y formación de los equipos sobre la materia, la adopción de políticas de ciberseguridad adecuadas, los sistemas de copias de respaldo en la nube, la articulación de planes de respuesta a incidentes… son solo algunos de los ejes claves para la protección de cualquier futuro negocio que pretenda sobrevivir en el ecosistema actual de ciberamenazas.


1-Evaluación de riesgos

Antes de que los sistemas TI de la empresa estén operativos, es muy importante hacer una evaluación de riesgos potenciales. La profundidad de la misma dependerá de la naturaleza de cada proyecto y de la complejidad de su infraestructura tecnológica.

Como punto de partida se pueden utilizar herramientas como la que ofrece el INCIBE(el organismo encargado de velar por la ciberseguridad en España), para tener una primera idea de las amenazas a los que estaría expuesta la empresa, de acuerdo al uso que vaya a hacer de ordenadores, teléfonos móviles, tabletas, bases de datos, líneas de comunicaciones, etc.

Con todo, lo más idóneo sería realizar estudios de vulnerabilidades más exhaustivos, como los de metodología de análisis y gestión de riesgos Magerit, que ha sido desarrollada por el Centro Criptológico Nacional, pero está integrada en diversas herramientas comerciales como GxSGSI, homologada por la Agencia de la Unión Europea para la Ciberseguridad.

Y si se quiere ir con la mayor seguridad posible, encargar una auditoría de ciberseguridad a una empresa especializada es una decisión con la que siempre se acertará.


2-Concienciación y formación

Los expertos destacan que la ciberseguridad en cualquier empresa depende de un triángulo conformado por la tecnología, el personal y los procesos de trabajo.

El eslabón más débil de la cadena serían precisamente las personas, porque nuestra naturaleza humana nos hace vulnerables a los tipos de engaños que suelen aplicar los ciberdelincuentes para conseguir sus objetivos. Es lo que se conoce como técnicas de ingeniería social, y son cada día más sofisticadas en el fingimiento de credibilidad.

Por ello, es muy importante primero concienciar al equipo embarcado en el proyecto sobre la amenaza que suponen los ciberataques, y luego formarles sobre los distintos modos en los que los intrusos pueden intentar franquear las barreras para acceder a datos críticos. Hablamos de:

  • Ataques de phishing para recabar información de forma fraudulenta
  • Spoofing o suplantación de identidad
  • Ataques de keylogger para monitorizar las pulsaciones en el teclado y así hacerse con contraseñas
  • Malvertising, con malware introducido en anuncios

Y el que es más peligroso por el potencial devastado que tiene, el ataque de ransomware para secuestrar la información crítica de la empresa, cifrarla para que sea inaccesible y luego pedir un rescate bajo amenaza de imposibilitar la operativa normal de negocio o de hacer públicos datos personales, con lo que ello implica a efectos legales y reputacionales. De hecho, estudios realizados en Estados Unidos, establecen la esperanza de vida promedio de una PYME que ha sufrido un ataque de este tipo en tan solo de 3 a 7 días.


3-Políticas de seguridad

Asimismo, resultará crucial la definición de una política de protección a través de un plan director de ciberseguridad, para el que puede servir de guía el manual de buenas prácticas del INCIBE.

Estas políticas de seguridad deben ser asumidas por todo el equipo, y enfocarse en aspectos clave que irían desde la manera de utilizar los recursos tecnológicos de la empresa hasta el modo en que se gestionan los datos.


3.1 Acceso y control de usuarios

Es esencial delimitar distintas capas de acceso a los sistemas de información en función de las tareas que realice cada usuario, así como el empleo de contraseñas robustas basadas en autenticaciones por múltiples factores, MFA, (esto es definidas no solo por algo que el usuario 'sabe' como pueda ser una password, sino también por algo que solo él 'tiene'. Por ejemplo, cuando sacamos dinero en un cajero, empleamos un pin que sabemos y una tarjeta que tenemos).


3.2 Uso de softwares de seguridad y actualizaciones

Igualmente, también es muy importante la implementación de softwares de seguridad como antivirus (en versiones desarrolladas para empresas), firewalls, sistemas IDS/IPS de prevención y respuesta, etc.

Pero tan crucial como emplear estas herramientas es mantener actualizados los sistemas, aplicaciones y endpoints (dispositivos de la empresa ya sean ordenadores, móviles, etc.). Al igual, que ir instalando los parches que vayan apareciendo, ya que en la mayoría de ocasiones su desarrollo obedece a la subsanación de vulnerabilidades detectadas.


3.3 Protección de datos

Además, se debe blindar tanto la información crítica de la operativa de la empresa como los datos sensibles de los clientes, con medidas como el uso de redes VPN y el cifrado de la información, para que cualquier brecha de seguridad solo pueda exponer datos que resulten ilegibles.

Asimismo, hay que tener en cuenta la restrictiva legislación en vigor sobre la materia (en el caso de España sería la LOPDGDD, en cuya última actualización adapta a la legislación española al Reglamento Europeo de Protección de Datos (RGPD), que establece la responsabilidad de la empresa con respecto a la confidencialidad de los datos que maneja de personal, clientes y proveedores, previendo importantes penalizaciones y multas para aquellas que no los custodien adecuadamente.


3.4 Sistemas de respaldo y recuperación

Las soluciones de respaldo que ofrecen copias de seguridad en la nube son un recurso imprescindible, ya que en caso de ataque o catástrofe, si bien no se preservaría la confidencialidad de la información, al menos se garantizaría la continuidad de operaciones.

Las soluciones más avanzadas combinan nube pública, privada e híbrida, y utilizan infraestructuras físicas de data centers que brindan las máximas garantías de seguridad, algo fundamental porque en último término, aunque hablemos de servicios cloud, dependen de servidores que almacenan la información.


3.5 Plan de respuesta a incidentes

Asimismo, a la hora de trazar las políticas de ciberseguridad de un negocio, es necesario tener previsto un plan de respuesta a incidentes, ya sean ciberataques o accidentes catastróficos.

Este plan ha de recoger las medidas con las que se responderá ante la identificación de una brecha de seguridad o un percance serio que afecte a la integridad de la información, e incluso las pautas a seguir para comunicarlo con los usuarios o clientes afectados, y eventualmente a las autoridades competentes en los casos contemplados por la legislación vigente.

Como hemos podido ver, la complejidad de todo lo relativo a la ciberseguridad puede ser un quebradero de cabeza importante para un emprendedor que está dando los primeros pasos con su proyecto.

Por ello, dependiendo de cada caso, puede ser una buena opción buscar el soporte de un servicio de ciberseguridad, lo que se conoce como CaaS o CyberSaaS (Cyber Security as a Service), tratando de dar con una solución que concilie la obtención de la protección requerida con unos costes asumibles para una empresa naciente. Algo que debe de ofrecer el mercado teniendo en cuenta la cantidad de emprendedores que se encuentran en esta misma situación…

Adicionalmente, se puede valorar la contratación de coberturas que ya están disponibles como las de los ciberseguros, que protegerían tanto de las repercusiones directas de un ciberataque como de sus posibles consecuencias. Si bien esto no permite despreocuparse de hacer los deberes en materia de ciberseguridad, al resultar precisamente una cláusula obligatoria para la validez de la póliza, en sintonía con lo que ocurre con los seguros de cualquier tipo.

En definitiva, protegerse lo mejor posible frente a cualquier eventualidad y recibir soporte profesional es la política más inteligente para cualquier negocio incipiente que quiera mitigar los riesgos de ciberseguridad, sin que el emprendedor tenga que dedicarle un tiempo ingente a esta cuestión, restándoselo a la creación de valor, que es lo que va a decidir el éxito de su proyecto.

Con todo ello y con un enfoque proactivo en materia de ciberseguridad que involucre a todo el equipo, se podrá alejar el fantasma de un ataque devastador que eche por tierra lo que con tanta ilusión y esfuerzo se está construyendo.



La importancia de cuidar la experiencia de usuario en tu eCommerce

La experiencia de usuario que ofrezca tu tienda online es un factor decisivo para su éxito, al influir directamente cómo sea esa interacción con la web de tu negocio en el volúmen de conversiones y ventas.



Con todo, no hay que confundir la UX o user experience con la CX o customer experience. La primera se limitaría a las interacciones con la web o la app de tu ecommerce, mientras que la segunda abarcaría la totalidad de vertientes de la relación del usuario con el negocio como cliente: proceso de compra, servicio de entrega, atención posventa…

Sin que tampoco la experiencia de cliente esté ceñida a un único canal, ya que abarcaría también otros como email, redes sociales, etc.

Así, podríamos decir que la experiencia de cliente engloba a la de usuario, pero esta tiene unas dinámicas propias, con toda una serie de aspectos que hay que cuidar al máximo para que nuestra tienda digital pueda dar los resultados deseados.


1-Navegación fácil e intuitiva

Para entender la diferencia entre una buena experiencia de usuario y otra mala, basta con que nos pongamos en la piel de la persona que navega por nuestra tienda digital.

Cuando nos conectamos a cualquier sitio web esperamos que la navegación sea sencilla e intuitiva, y que encontrar lo que buscamos no suponga una odisea. Esa exigencia, se incrementa todavía más cuando hablamos de un sitio en el que vamos a comprar un producto o un artículo.

Por ello, un diseño adecuado de la navegación resulta primordial, lo que se debe traducir desde en dotar al ecommerce de una arquitectura lógica de categorías y menús que permita encontrar fácilmente los productos deseados, hasta en crear itinerarios de compra claros que no confundan al usuario, para evitar fenómenos como la acumulación de carritos abandonados.

Hay que valorar también, que el auge de la compra online ha favorecido que realicen adquisiciones por internet nuevos perfiles de usuarios, muy alejados del prototipo de nativo digital, o de persona que por edad y nivel de uso se puede desenvolver bien en el medio, por lo que conviene facilitar al máximo la navegabilidad por nuestro ecommerce, y que este resulte accesible para personas de múltiples habilidades.


2-Diseño sencillo, equilibrado y agradable

Asimismo, como veíamos en el post en el que abordábamos el rol que juega la web en cualquier tipo de negocio, es muy importante que cualquier site, no digamos ya un ecommerce, provoque sensaciones agradables, que favorezcan la comodidad, confianza y ganas de permanecer del usuario.

Para ello, es necesario un diseño limpio, minimalista y equilibrado, que haga que la tienda online transmita una imagen fresca, ligera y moderna.

Mientras que la distribución de categorías y menús, la organización de la información, la elección del lenguaje y hasta la paleta de colores han de alinearse en pos del objetivo de retener al usuario, algo que de por sí no asegura la compra pero supone un requisito para que esta sea posible.


3-Diseño responsive

Como sabemos, hace tiempo que el móvil se ha impuesto como dispositivo preferente de conexión, frente a portátiles, equipos de mesa o tabletas, hasta el punto de que por los teléfonos móviles ya pasaría el 54.32% del tráfico web total en países como España, de acuerdo a un estudio de We Are Social recogido por Nimbo.

Igualmente, cada vez se hacen más compras con el smartphone, como también lo reflejan estudios como el de Statista, que cifra en hasta un 60% el porcentaje de los participantes en su muestra que afirmaban haber adquirido algún producto o servicio a través de su móvil a lo largo de 2022.

Así, vemos que se están venciendo reticencias incluso entre aquellos perfiles de usuarios en principio más reacios a realizar operaciones de compra con un terminal más pequeño, que no ofrece las ventajas en cuanto a tamaño de pantalla de otros.

Este rol que juegan los smartphones en el comercio online se debe en gran medida a la extensión del diseño responsive, que garantiza una buena experiencia de usuario desde cualquier dispositivo de conexión, y que ha de ser implementado en la web de cualquier ecommerce, con independencia de que la tienda digital disponga además de una app específica para móviles.



4-Velocidad de carga

¿Cuando estamos buscando un artículo concreto y nos metemos a una tienda online que tarda mucho en cargarse cuál es nuestra reacción natural? En un altísimo porcentaje de casos abandonar, e ir a buscar lo que queremos a otra.

El comportamiento de los usuarios de nuestro ecommerce va a ser exactamente el mismo, por lo que hay que aplicar todas las medidas necesarias para tener una alta velocidad de carga, ya que esta además repercute también en posicionamiento SEO que tendrá la web en Google.

En este contexto, una Red de Distribución de Contenido (CDN) resulta una herramienta muy valiosa al permitir almacenar recursos de tu web (imágenes, JavaScript, CSS, etc.) en servidores cercanos para reducir la latencia; distribuir el tráfico entre diversos nodos en periodos en los que este es particularmente intenso (pensemos en días como el Black Friday); alojar en caché contenidos estáticos u obtener soluciones de compresión Gzip para que los archivos pesen menos.


5-Información clara sobre productos

La descripción de los productos de nuestra tienda debe ser siempre nítida, valiosa y relevante de acuerdo a las intenciones de búsqueda de los usuarios.

Pero además, hay que cuidar toda la vertiente visual de la presentación, algo más importante todavía, máxime si tenemos en cuenta las últimas tendencias en el ecommerce actual, que van más allá de ofrecer al usuario fotografías de buen tamaño y con calidad de resolución en diferentes ángulos, que sería lo básico, para brindar vídeos e incluso recreaciones en 3D de los artículos.


6-Simplificación del proceso de compra

Asimismo, es fundamental para una tienda online que los pasos que tenga que dar el usuario para compra sean los menos posibles, y no haya resquicios para la confusión durante el proceso.

De hecho, este aspecto sería el núcleo de la UX en un ecommerce, por lo que habría que favorecer un itinerario de navegación perfecto desde que el cliente selecciona el producto, hace clic en comprar, escoge la vía de pago y elige el formato de envío hasta que sale a la página de confirmación de pedido, ya que cualquier pequeña cosa que propicie la equivocación en este itinerario tendrá repercusiones negativas.


7-Personalización

La personalización tiene un doble sentido en el contexto de la experiencia de usuario, ya que por un lado se referiría a la atención particularizada que le damos, y por el otro al ofrecimiento de productos que puedan interesarle especialmente a él, con base por ejemplo a sus búsquedas anteriores.


8-Ciberseguridad

La seguridad que es capaz de un ofrecer una tienda online a sus clientes trasciende a la mera percepción que puedan tener del sitio web como usuarios, por muy importante que sea esta para los objetivos de negocio.

Dado además el actual ecosistema de ciberamenazas, resulta primordial la protección tanto de la integridad de las transacciones que realicen como de sus datos personales, cuya custodia debe atenerse asimismo a la legislación vigente.

En definitiva, a la hora de tratar de diseñar la experiencia de usuario de nuestro negocio online hemos de cuidar que en la interacción de este con la web no existan elementos de 'fricción'. Entendida esta como cualquier cosa que le provoque rechazo, frustración o molestia, y no hablemos ya de un problema serio que afecte al blindaje de su compra o la integridad de sus datos.

Los negocios online que cuidan la experiencia de usuario, subsumiéndola en una experiencia de cliente general satisfactoria tienen las mejores perspectivas de éxito, medido este por las ventas, pero sobre todo por la capacidad de retener y fidelizar clientes, que a su vez se vuelvan prescriptores del ecommerce para atraer a nuevos leads maduros para la conversión, propiciando así un ciclo virtuoso ilimitado.