Los puntos débiles de la ciberseguridad en las pymes
[wpdreams_ajaxsearchlite]

Los puntos débiles de la ciberseguridad en las pymes

Lectura: 6 min | 18 Ene 21

Autor: Monica Valle

¿Quién me va a atacar a mí, si yo no soy nadie? A raíz de esta (falsa) idea caen constantemente más y más víctimas en las redes de la ciberdelincuencia. Y muchas de ellas son pymes. El hecho de creer que sus datos o sistemas no son valiosos para el cibercrimen podría considerarse uno de los puntos débiles en torno a la seguridad digital por parte de las pequeñas y medianas empresas. Pero no es el único.

 

La ciberseguridad sigue siendo una de las asignaturas pendientes de las pymes. Prueba de esto es que el 43% de los ciberataques detectados por el Instituto Nacional de Ciberseguridad (INCIBE) van dirigidos a las pymes, según se revela en el informe Panorama actual de la Ciberseguridad en España (2019).

En este mismo estudio se pone de manifiesto que el coste medio de un ciberataque a una pyme es de 35.000 euros, sumado a que hasta el 60% de las pymes puede llegar a cerrar seis meses después de haber sufrido un ciberataque. Esto es debido no solo al impacto económico sino también a los efectos de una larga parada de negocio y la consecuente pérdida de reputación.

Además de la creencia de que no son objetivo de ciberataques, el hecho de digitalizarse sin ir de la mano de la ciberseguridad, no prestar la suficiente atención a los datos, una reducida inversión en tecnologías de seguridad y la falta de formación de los empleados en este ámbito son algunos de los principales puntos vulnerables de las pequeñas y medianas empresas.

“Mis datos no son valiosos”

Esta idea es equivocada por varias razones. En primer lugar, porque todos los datos tienen valor para el cibercrimen. Este mercado gira en torno al dinero y cuánto pueden obtener con la información que roban o secuestran.

Las artimañas que están usando los ciberdelincuentes para lograrlo son tantas como alcance la imaginación. El cibercrimen es un negocio lucrativo y en alza. Aunque es imposible saber cuánto puede mover, para hacernos una idea, en el informe “2019  Internet Crime Report» publicado por el FBI se explica que el coste total de los crímenes cibernéticos reportados asciende a más de 3,5 billones de dólares. Los datos de 2020 pueden llegar a ser muy superiores, teniendo en cuenta que esta misma institución desvelaba que durante la pandemia las denuncias prácticamente se han cuadruplicado.

Hay que tener en cuenta que el cibercrimen está completamente profesionalizado, y como tal podemos encontrar diferentes modelos de negocio. En el caso de ciberataques que afectan a las grandes empresas, son habituales las intrusiones extremadamente sofisticadas, siguiendo un modelo en el que se dedican muchos recursos a un gran objetivo mayor, ya que el retorno de esa inversión también será más elevado.

Sin embargo, en el caso de las pymes no encontraremos habitualmente ese tipo de ataques tan personalizados; en la mayoría de las ocasiones los ciberdelincuentes lanzan ataques más masivos a gran escala. No por ello son menos apetecibles o rentables para ellos, al contrario, ya que el botín de cada una de las víctimas será proporcionalmente menor en comparación, pero lograrán muchas más.

Ojo, que cuando hablamos de “menor” no significa que no suponga un verdadero varapalo para esas pequeñas empresas el hecho de ser víctimas de un ciberataque. Más bien al contrario, como ya hemos visto en las cifras anteriores.

Además de esto, las pymes dedican menos recursos que las grandes empresas a la ciberseguridad, lo que significa que son más vulnerables. A los ciberdelincuentes les resulta más sencillo atacar un objetivo menos protegido, y su esfuerzo será más recompensado.

Por otro lado, hay que tener en cuenta otro factor importante por el que los cibercriminales quieren atacar a las pymes e incluso dedicar recursos y esfuerzos a vulnerar los sistemas de una pequeña o mediana empresa en concreto. Y es que las pymes en una gran cantidad de ocasiones son proveedoras de empresas más grandes y corporaciones.

Si un grupo de cibercriminales quiere acceder a una organización, pero no logra hacerlo debido a sus sistemas de seguridad, su segunda opción (o incluso la primera) puede ser atacar a través del proveedor que tiene una protección más débil, y una vez ha accedido a sus sistemas, atacar al objetivo mayor.

Por este motivo, una gran cantidad de organizaciones solicita ya a sus proveedores certificados o garantías de estar implementando medidas de ciberseguridad. En este sentido, cuanto antes se pongan esas medidas, no solo estaremos protegiendo nuestros activos y los de nuestros clientes, sino también estaremos en una mejor posición de competitividad dentro del mercado.

La digitalización y la pandemia como punto de inflexión

La pandemia mundial provocada por la COVID-19 ha supuesto un antes y un después en muchos sentidos, uno de ellos es la elevada implantación del teletrabajo. Ha provocado que muchas empresas adoptasen esta modalidad de forma acelerada. Las que ya tenían “hechos los deberes” y habían dado pasos hacia este modelo, tuvieron una clara ventaja en este sentido, pero para quienes aún no habían implementado herramientas tecnológicas de teletrabajo ha supuesto un esfuerzo mayor.

En cualquier caso, el 70% de las pequeñas empresas están ya acelerando sus tasas de digitalización para hacer frente a los retos actuales, según un estudio de Cisco e IDC.

Eso sí, una de las claves es ser conscientes de que esta digitalización va más allá de las herramientas: se trata de un verdadero cambio de cultura empresarial. Y este es uno de los aspectos en los que también suelen fallar las pequeñas y medianas empresas. Parte de esa cultura pasa por establecer una estrategia y políticas muy claras de ciberseguridad, que incluyan tanto las tecnologías como la formación necesaria para hacer frente a los riesgos de ciberseguridad intrínsecos al trabajo en remoto.

Entre algunos los puntos a reforzar en este sentido podemos destacar por ejemplo la gestión de los dispositivos, haciendo especial hincapié en la protección de equipos corporativos y el control de uso de los personales, más aún en entornos de trabajo remotos o híbridos. El mantenimiento constante de los equipos es otro importante punto, atendiendo entre otros aspectos a sus actualizaciones de seguridad o a la generación y mantenimiento de copias de seguridad continuas.

Asimismo, la protección de la propia información y saber adaptarse al cumplimiento de las normativas de protección de datos es vital.

En este contexto, podemos resumir en que cualquier paso dado en la digitalización de la empresa debe ir necesariamente acompañado de la ciberseguridad y la protección de los datos.

Inversión en la tecnología adecuada

En relación a lo anterior, contar con la tecnología de ciberseguridad adecuada es fundamental, para lo que se requiere una inversión inicial y un mantenimiento en el tiempo de las soluciones elegidas.

En este caso, una de las principales barreras de entrada en este sentido para las pymes es su limitación en cuanto al presupuesto. Sin embargo, no tiene por qué ser así. Existen actualmente en el mercado una gran cantidad de soluciones, servicios y herramientas de ciberseguridad adaptables en cuanto a necesidades y presupuestos para cualquier casuística.

Es más, muchas veces no se trata de cuánto se invierte sino de cómo se hace. No se trata de adquirir la última tecnología o el dispositivo más novedoso, sino de implementar las soluciones que mejor se adaptan a la propia empresa. Y de nuevo, de que los pasos que se den hacia la digitalización se hagan siempre de la mano de la ciberseguridad.

Por poner tan solo unos ejemplos, las soluciones de ciberseguridad en la nube se adaptan a las necesidades de las pymes, al ser flexibles y escalables y permitir en muchas ocasiones el pago por uso. También los servicios de ciberseguridad gestionada en los que las pymes no necesitan tener conocimientos técnicos, sino que delegan el departamento completo a un proveedor especialista.

En cualquier caso, un buen asesoramiento inicial que incluya una auditoría para conocer en qué estado se encuentran los sistemas y datos de la empresa será más que recomendable.

Formación continua en ciberseguridad

La tecnología supone la base, pero no es suficiente si no se complementa con una verdadera cultura digital en la empresa. Se suele decir en el ámbito de la ciberseguridad que los empleados son la mayor vulnerabilidad de la cadena de la seguridad, ya que con solo un clic pueden abrir la puerta a un ciberdelincuente. Sin embargo, a esto le podemos dar la vuelta, y convertir a esos usuarios en unos verdaderos aliados de la seguridad en la empresa y su última barrera; esto se consigue mediante formación y concienciación continua.

Implementar planes y acciones continuas en este sentido ayudará a que los empleados sepan distinguir cuándo están abriendo un correo electrónico fraudulento, cuándo están accediendo a un sitio web malicioso o cuándo están recibiendo una llamada de ingeniería social.

Por último, es importante tener en cuenta que esa continuidad tiene que aplicarse a toda la estrategia global de ciberseguridad de la empresa. Realizar una acción concreta de formación es mucho mejor que no hacer nada, pero el impacto se irá diluyendo en el tiempo y perderá eficacia. Lo mismo ocurre con las políticas de seguridad, si se hace una copia de seguridad inicial pero no se realizan periódicamente, no tendremos un backup reciente al que acudir en caso de ciberincidente y estaremos en una situación muy vulnerable. Al igual que las soluciones que se adquieran o implementen, de nada sirve instalar o configurar una potente solución de seguridad si no se realiza un mantenimiento y monitorización constante.

La ciberseguridad, en definitiva, es un proceso continuo, que no tiene que ser necesariamente costoso, al contrario, el retorno que se puede obtener de implementarlo de forma adecuada es muy elevado, así como las consecuencias que se pueden evitar. También, y especialmente, en el caso de las pymes.

Autor

Monica Valle

Periodista y presentadora especializada en ciberseguridad. Directora Bit Life Media