La ciberseguridad no es problema exclusivo de las grandes empresas. Según la más reciente encuesta de Microsoft con las Pymes, en Ecuador el 38% de las pequeñas y medianas empresas afirman haber experimentado problemas de ciberseguridad. Por eso es clave comprender mejor los riesgos actuales y también las posibles estrategias para que las Pymes operen de manera más segura:
- No es porque no esté en los titulares que no sucede
Los que aparecen en los medios de comunicación son los ataques a grandes empresas o entidades más emblemáticas, y eso genera la falsa percepción de que las pequeñas y medianas empresas no son blanco de ataques. “Sin embargo, uno de los ataques de mayor crecimiento es el realizado por correo electrónico malicioso o phishing, que ha mostrado un crecimiento del 300% en el último año según un estudio interno de Microsoft. En este tipo de ataque, la meta del criminal es conseguir tantos objetivos como sea posible, no necesariamente los grandes objetivos, sino los más susceptibles” comenta Luisa Esguerra, Líder Go To Market en seguridad de Microsoft Latinoamérica.
- La digitalización se ha acelerado para todos
Con la transformación digital acelerada por la pandemia, con el aumento de las transacciones bancarias digitales, el comercio electrónico, o con los empleados trabajando desde cualquier dispositivo o cualquier red, las empresas de todos los tamaños han ampliado su superficie de riesgo. «Las pequeñas empresas suelen tener esta falsa percepción de que no serán víctimas. Pero ellas también tuvieron que transformarse y no necesariamente tenían las mejores prácticas y políticas de seguridad para esta nueva realidad», dice Andrés García, director de Pequeñas y Medianas Empresas para Microsoft en Latinoamérica.
- Prevenir ataques de oportunidad
Cuando un ladrón asalta a una persona en la calle, hace un control previo para decidir el mejor objetivo: se aprovecha de quién está distraído, no está preparado y lo sorprende. En cierto modo, la ciberseguridad también funciona así: el delincuente cibernético no solo hace ataques bien dirigidos. En general, el ataque lo da la oportunidad y las Pymes dan esta oportunidad, porque suelen invertir menos en la protección de sus datos.
- Cuidar lo básico no es caro
Esto también significa que para proteger a una pequeña o mediana empresa en general, no es necesario invertir millones. De acuerdo al Segundo Sondeo de Ciberseguridad Ecuador 2021, realizado por IT Ahora y la consultora Deloitte, en el país, el 39,3% de las empresas que participaron en dicha encuesta, no contaban con un presupuesto aprobado. Esto evidencia la dificultad que existe para desarrollar estrategias e iniciativas para la gestión de las ciberamenazas. Los cibercriminales pueden aprovechar la vulnerabilidad de los usuarios.
“El cliente que invierte en lo básico – realizar las actualizaciones automáticas y gratuitas- ya no cae en el ataque más básico, mientras que los que no invierten y no forman a su fuerza de trabajo en mejores prácticas caen en la más simple de las estafas», dice Jimena Mora, Directora de Seguridad Digital para Microsoft en Latinoamérica. «La clave es fomentar una cultura de seguridad, porque puedes hacer que toda la tecnología esté disponible, pero al final del día, la mayoría de los ataques se “cuelan” por los usuarios, como un empleado que caen el phishing», dice agrega Jimena.
- Invertir justo después de un ataque requiere cabeza fría
Una de las razones más comunes por las que las Pymes más invierten en seguridad, es cuando han sido víctimas de un ataque o han visto a un socio o competidor serlo. Esta, paradójicamente, puede ser un arma de doble filo, pues está en el origen de inversiones mal hechas: la empresa genera una inversión por decisiones emocionales, luego vuelve esa sensación de falsa seguridad y baja el mantenimiento, o a veces sigue invirtiendo en varias tecnologías diferentes y gastando más de lo que debería y al final no estará más protegida.
- Proteger los datos y la confianza
“Si una pequeña o mediana empresa maneja un gran volumen de datos, o datos que son considerados confidenciales, además de ser vulnerable a los ataques de oportunidad, está expuesta a ataques dirigidos a la fuga o secuestro de datos, y necesita protegerse con mayor rigurosidad. Una fuga de datos personales puede dañar la reputación de una empresa de manera casi irreversible y rompe la confianza de sus clientes, socios e inversionistas” comenta Andrés Rengifo, director de Asuntos Corporativos, Externos y Legales de Microsoft para la región Andino Sur.
- El impacto de un ataque puede ser devastador
Para los pequeños negocios, más que para los grandes, el impacto de un ataque puede poner en peligro la supervivencia del negocio. La mayoría de las pequeñas empresas que han tenido algún tipo de ataque no logran seguir operando, lo que puede llevar a la bancarrota rápidamente. Además del riesgo financiero causado por la parálisis de las operaciones, un ataque también puede erosionar la reputación y la credibilidad de la empresa, dejándola aún más vulnerable.
- La seguridad es diferencial
Muchas veces son las grandes corporaciones que acaban jalonando a las más pequeñas, pues forman parte de la misma cadena de producción: muchas de las grandes compañías tienen relación comercial con proveedores y aliados más pequeños, y exigen de ellos prácticas de seguridad de la información más institucionalizadas. No contar con ellas puede perjudicar la contratación potencial.
- Seguridad por diseño para los emprendimientos
Las empresas más recientes también necesitan una estrategia de ciberseguridad. Cuando se habla de empresas que crecen a alta velocidad, naturalmente tienen más desafíos de escala. Estas “scale-ups” terminan dejando un rastro de mayor vulnerabilidad, con problemas que necesitan atención desde el día 1 del negocio. Las pequeñas y medianas empresas tienen la oportunidad de implementar estrategias de privacidad y seguridad «por diseño», es decir, en el diseño de productos y servicios, una tendencia recomendada por los expertos para desarrollarse en un contexto de ciberseguridad desde el inicio de las operaciones.
- El ABC de estrategia de ciberseguridad… independientemente del tamaño
Los simples hábitos pueden garantizar un entorno digital más seguro. Estos son algunos pasos importantes:
- Mapear toda la estructura digital enumerando los dispositivos electrónicos, especialmente los conectados a Internet, y toda la información confidencial (datos de la empresa y del cliente) almacenada en la nube o el servidor.
- Comprobar y actualizar constantemente todos los programas utilizados en su negocio, incluidos los dedicados a la protección de máquinas y datos.
- Crear contraseñas fuertes y seguras y, de preferencia, activar la autenticación multifactorial (MFA) para todos los usuarios y plataformas.
- Realizar copias de seguridad constantes de sus datos más críticos.
- Hablar con los colaboradores sobre las actitudes que deben evitarse, como abrir correos electrónicos o enlaces sospechosos o acceder a sitios web poco confiables. Explicar los riesgos potencialmente dañinos que un solo clic puede causar y la responsabilidad de todos de garantizar un entorno digital seguro. Es importante que estas conversaciones no sean puntuales, sino una práctica que forme parte de la cultura de la empresa, es decir, que ocurra con frecuencia, que las personas estén constantemente empoderadas, y que los procesos y herramientas, se actualicen para abordar las áreas de vulnerabilidades.