Los incidentes de seguridad no tienen límites a la hora del tamaño de una compañía o un usuario promedio, por ende es importante tener en cuenta este sector para brindarle consejos y analizar distintas estadísticas.
Los ataques cibernéticos siguen siendo un desafío para las empresas de todos los tamaños. Sin embargo, cuando de pequeñas y medianas empresas (PyME) se trata, los retos pueden volverse aún más cuesta arriba, ya que son organizaciones que pueden no contar con los recursos adecuados para afrontar un incidente de seguridad.
Además de la carencia de recursos, la falta de experiencia para implementar medidas de seguridad extensas o administrar soluciones de seguridad complejas también es un inconveniente, ya que no se suele contar con un equipo especializado y muchas veces se recurre a otras áreas las cuales no cuentan con la suficiente capacitación para mitigar el incidente, lo que las convierte en objetivos principales para los ciberdelincuentes. Tanto los riesgos a los que se enfrentan las PyMEs como su nivel actual de preparación para la seguridad no se comprenden ampliamente.
Para poder observar las tendencias en cuanto a la ciberseguridad de pequeñas y medianas empresas, así como también poder ofrecer consejos adecuados para este sector, Microsoft ideó una pequeña encuesta con la que formuló una guía para poder observar los datos entre las empresas de 25 a 300 empleados y difundir las acciones iniciales que pueden tomar para abordar los problemas de seguridad, aplicando mejores prácticas adicionales para mantenerse seguros.
Una de cada tres PyMEs ha sido víctima de un ciberataque
Con los ataques cibernéticos en aumento, las PyMEs se ven cada vez más afectadas.
La investigación muestra que el 31% de las PyMEs han sido víctimas de ataques cibernéticos como ransomware, phishing o violaciones de datos. A pesar de esto, muchas PyMEs todavía tienen conceptos erróneos que aumentan su riesgo y vulnerabilidad.
Algunos creen que son demasiado pequeños para ser atacados por hackers o asumen que el cumplimiento de las normativas ya directamente equivale a la seguridad plena. Es crucial entender que los actores maliciosos representan una amenaza para las empresas de todos los tamaños, y la complacencia en la ciberseguridad puede conducir a riesgos significativos.
Para abordar este problema y reducir la tasa de incidentes siempre se puede recurrir a los consejos más elementales para crear una base sólida de ciberseguridad. Esto incluye utilizar gestores de contraseñas, tener credenciales robustas, actualizar el software de los sistemas y aplicaciones recurrentemente, aplicar la autenticación multifactor, aprender a reconocer e informar el phishing, entre otras prácticas simples.
Los ciberataques cuestan a las PyMEs más de $250.000 dólares en promedio
Si bien es cierto que el impacto económico puede variar de país a país, el relevamiento muestra que los costos financieros pueden ser devastadores.
Estos costos pueden incluir los gastos incurridos por los esfuerzos de investigación y recuperación para resolver el incidente, y las multas asociadas relacionadas con una violación de datos.
Los ciberataques no solo presentan una tensión financiera inmediata, sino que también pueden tener impactos a más largo plazo en una PyME. La disminución de la confianza del cliente debido a un ciberataque puede causar un daño reputacional más amplio y llevar a oportunidades comerciales perdidas en el futuro.
Es difícil anticipar el impacto de un ciberataque porque el tiempo que lleva recuperarse puede variar de un día a más de un mes. Si bien muchas PyMEs son optimistas sobre su capacidad para resistir un ciberataque, algunas no logran estimar con precisión el tiempo necesario para restaurar las operaciones y reanudar las actividades comerciales normales.
Por tal motivo, es importante tener presente que el costo financiero total no deriva únicamente del pago de rescate, en caso de que sea un ransomware, sino también se debe tener en cuenta el tiempo en el que las operaciones se encuentran inactivas, el daño reputacional y las potenciales multas que puedan caer por la mala gestión del incidente.
El 81% de las PyMEs cree que la IA aumenta la necesidad de controles de seguridad adicionales
El rápido avance de las tecnologías de IA y la facilidad de uso a través de interfaces de usuario simples, crean desafíos notables para las pequeñas y medianas empresas cuando son utilizadas por los empleados.
Sin las herramientas adecuadas para proteger los datos de la empresa, el uso de la inteligencia artificial puede llevar a que la información confidencial se ponga en las manos equivocadas. Afortunadamente, más de la mitad de las empresas que actualmente no utilizan herramientas de seguridad de IA tienen la intención de implementarlas en los próximos seis meses para una seguridad más avanzada.
Muchos empleados suelen tener el constante miedo de que la inteligencia artificial les quitará el trabajo, lo cual no es cierto, ya que en realidad la adaptación será crucial en este aspecto, y quien la utilice de mejor manera terminará triunfando. Por tal motivo, las compañías deben saber usar la IA con fines éticos y sobre todo de manera sabia, pudiendo aprovechar sus beneficios para una mejor detección y mitigación de incidentes de seguridad.
El 94% considera que la ciberseguridad es crítica para su negocio
Reconociendo la importancia crítica de la ciberseguridad, el 94% de las PyME lo consideran esencial para sus operaciones. Si bien no siempre se consideró una prioridad dada los recursos limitados y la experiencia interna, el aumento de las amenazas cibernéticas y la mayor sofisticación de los ataques cibernéticos ahora plantean riesgos significativos para las pequeñas y medianas empresas que se reconocen en gran medida en todo el espacio de las PyME.
La gestión de datos de trabajo en dispositivos personales, ransomware y phishing y más se citan como los principales desafíos que enfrentan las PyMEs.
Afortunadamente, este número ha crecido exponencialmente en los últimos años, lo que significa que las organizaciones han tomado mayor conciencia sobre la importancia de tener un personal capacitado y educado en seguridad informática, entendiendo que la prevención es la mejor barrera defensiva para evitar un ataque cibernético.
Menos del 30% de las PyMEs gestionan su seguridad internamente
Dados los recursos limitados y la experiencia interna dentro de las organizaciones, muchos recurren a especialistas en seguridad externos para obtener asistencia. Menos del 30% de las PyMEs gestionan la seguridad internamente y generalmente dependen de consultores de seguridad o proveedores de servicios para gestionar las necesidades de seguridad.
Estos profesionales de la seguridad brindan un apoyo crucial en la investigación, selección e implementación de soluciones de ciberseguridad, asegurando que las PyMEs estén protegidas de nuevas amenazas.
Esto, por supuesto, eleva el presupuesto que se tiene a disposición y puede ser algo no rentable para una pequeña empresa que cuenta con un apartado financiero limitado. Por ende, siempre va a ser crucial contar con un personal interno concientizado e informado de las últimas tendencias en seguridad o un área en específico dedicada a la ciberseguridad que sepa afrontar los incidentes de manera efectiva. Además, los mismos empleados internos deben tener en cuenta las reglas éticas y evitar que atenten contra los intereses de la misma organización.
Podríamos tener en cuenta a un Proveedor de Servicios Administrados (MSP), los cuales pueden implementar y administrar la solución configurando políticas de seguridad y respondiendo a incidentes en nombre de las PyMEs. Este modelo permite más tiempo para que las pequeñas y medianas organizaciones se centren en los objetivos comerciales centrales, mientras que los MSP mantienen el negocio protegido.
El 80% tiene la intención de aumentar su gasto en ciberseguridad
Otro aspecto positivo en las PyMEs es que muchas de ellas están comprometidas en elevar su presupuesto dedicado a la ciberseguridad, especialmente en Estados Unidos, aunque todavía en América Latina la situación no esté comprendida del mejor modo.
Los principales motivadores son la protección contra pérdidas financieras y las medidas de seguridad para los datos de clientes. No es de extrañar que la protección de datos llegue como la principal área de inversión con el 65% de las PyMEs diciendo que es donde se asignará un mayor gasto, validando la necesidad de seguridad adicional con el aumento de la IA.
Otras áreas principales de gasto incluyen servicios de firewall, protección de phishing, ransomware y protección de dispositivos, control de acceso y administración de identidades.
Un dato más que interesante es que muchas empresas suelen invertir una vez el ataque ocurrió, lo cual es un aspecto a mejorar de cara a evitar ese primer impacto.
El 68% de las PyMEs consideran que el acceso seguro a los datos es un desafío para los trabajadores remotos
La transición a los modelos de trabajo híbridos ha traído nuevos desafíos de seguridad para las PyMEs, y estos problemas continuarán a medida que el trabajo híbrido se convierta en un elemento permanente. Con el 68% de las PyMEs que emplean trabajadores remotos o híbridos, garantizar el acceso seguro para los empleados remotos es cada vez más crítico.
Un significativo 75% de las PyMEs están preocupadas por la pérdida de datos en dispositivos personales. Para proteger la información confidencial en un entorno de trabajo híbrido, es vital implementar soluciones de seguridad y administración de dispositivos para que los empleados puedan trabajar de forma segura desde cualquier lugar.
Recordemos que durante la época de la pandemia, muchas empresas se vieron forzadas a cambiar su modelo hacia el trabajo remoto obligatorio, lo cual obligó a dar vuelta el panorama. Con la vuelta a las actividades presenciales y a la «normalidad» en sí misma, el trabajo remoto continúa ocupando un porcentaje significativo entre las actividades de las organizaciones, aunque en este sentido las pequeñas y medianas empresas se vuelven más vulnerables, necesitando de mucho personal a nivel presencial para mantener las operaciones en buen nivel, fomentando además la comunicación entre los empleados.
Pero para quienes aún optan con el trabajo remoto e híbrido quizá el control por parte de las áreas especializadas en la capacitación del personal puede volverse menos sencillo. Por lo tanto, es importante saber implementar medidas para proteger los datos y los dispositivos conectados a Internet. Eso incluye instalar actualizaciones de software de inmediato, garantizar que las aplicaciones móviles se descarguen de tiendas de aplicaciones legítimas y abstenerse de compartir credenciales por correo electrónico o texto, y solo hacerlo por teléfono en tiempo real.
En conclusión, si bien las pequeñas y medianas empresas pueden ser de los sectores más vulnerables a la hora de poner en marcha sus operaciones que eviten el impacto de un ciberataque, la realidad es que si se cuenta con un personal capacitado y con medidas de seguridad acordes, la probabilidad de que el costo financiero sea alto disminuye notablemente.
En ese marco, la concientización y la prevención resultan las mejores barreras ante el constante crecimiento de los incidentes de seguridad, en un contexto donde el aspecto normativo deja mucho que desear, especialmente en la región latinoamericana.