10 razones para que las empresas inviertan en ciberseguridad

La ciberseguridad no es problema exclusivo de las grandes empresas, ¿cómo proteger a las pymes, incluso con un presupuesto más pequeño?

Cuando se habla de ciberseguridad, es común pensar que este es un desafío exclusivo de las grandes empresas: pensamos en secuestros de datos gigantes, pérdidas de millones, equipos especializados, tecnologías de alto costo. Pero eso no quiere decir que las pequeñas y medianas empresas, e incluso los microempresarios, estén fuera del radar de los ciberataques, ni que no puedan ni deban protegerse. Muy por el contrario: los ataques a este tipo de operaciones han aumentado a la misma velocidad que incrementan los de las grandes corporaciones. Un estudio de la Clark School de la Universidad de Maryland indica que, de media, se produce un ciberataque cada 39 segundos y según la más reciente encuesta de Microsoft con las Pymes, tan sólo en Colombia el 51% de las pequeñas y medianas empresas afirman haber experimentado problemas de ciberseguridad. Por eso es clave comprender mejor los riesgos actuales y también las posibles estrategias para que las pymes operen de manera más segura:

1. No es porque no esté en los titulares que no sucede

Los que aparecen en los medios de comunicación son los ataques a grandes empresas o entidades más emblemáticas, y eso genera la falsa percepción de que las pequeñas y medianas empresas no son blanco de ataques. “Sin embargo, uno de los ataques de mayor crecimiento es el realizado por correo electrónico malicioso o phishing, que ha mostrado un crecimiento del 300% en el último año según un estudio interno de Microsoft. En este tipo de ataque, la meta del criminal es conseguir tantos objetivos como sea posible, no necesariamente los grandes objetivos, sino los más susceptibles” comenta Luisa Esguerra, Líder Go To Market en seguridad de Microsoft Latinoamérica.

2. La digitalización se ha acelerado para todos

Con la transformación digital acelerada por la pandemia, con el aumento de las transacciones bancarias digitales, el comercio electrónico, o con los empleados trabajando desde cualquier dispositivo o cualquier red, las empresas de todos los tamaños han ampliado su superficie de riesgo. «Las pequeñas empresas suelen tener esta falsa percepción de que no serán víctimas. Pero ellas también tuvieron que transformarse y no necesariamente tenían las mejores prácticas y políticas de seguridad para esta nueva realidad», dice Andrés García, Director de Pequeñas y Medianas Empresas para Microsoft en Latinoamérica.

3. Prevenir ataques de oportunidad

Cuando un ladrón asalta a una persona en la calle, hace un control previo para decidir el mejor objetivo: se aprovecha de quién está distraído, no está preparado y lo sorprende. En cierto modo, la ciberseguridad también funciona así: el delincuente cibernético no solo hace ataques bien dirigidos. En general, el ataque lo da la oportunidad y las pymes dan esta oportunidad, porque suelen invertir menos en la protección de sus datos.

4. Cuidar lo básico no es caro

Esto también significa que para proteger a una pequeña o mediana empresa en general, no es necesario invertir millones. En Colombia, la falta de actualización de software es una de las principales causas de incidentes informáticos. Los análisis forenses post ataque realizados en empresas afectadas durante el primer semestre del 2021, demuestran que los usuarios realizan actualizaciones entre los 3 y 9 meses posteriores a la disponibilidad de la actualización. En otras palabras, los cibercriminales tienen casi un año, para aprovechar una vulnerabilidad en los dispositivos, pudiéndose evitar con un solo “click”. “El cliente que invierte en lo básico – realizar las actualizaciones  automáticas y gratuitas- ya no cae en el ataque más básico, mientras que los que no invierten y no forman a su fuerza de trabajo en mejores prácticas caen en la más simple de las estafas», dice Jimena Mora, Directora de Seguridad Digital  para Microsoft en Latinoamérica. «La clave es fomentar una cultura de seguridad, porque puedes hacer que toda la tecnología esté disponible, pero al final del día, la mayoría de los ataques se “cuelan” por los usuarios, como un empleado que caen el phishing», dice agrega Jimena.

5. Invertir justo después de un ataque requiere cabeza fría

Una de las razones más comunes por las que las pymes más invierten en seguridad, es cuando han sido víctimas de un ataque o han visto a un socio o competidor serlo. Esta, paradójicamente, puede ser un arma de doble filo, pues está en el origen de inversiones mal hechas: la empresa genera una inversión por decisiones emocionales, luego vuelve esa sensación de falsa seguridad y baja el mantenimiento, o a veces sigue invirtiendo en varias tecnologías diferentes y gastando más de lo que debería y al final no estará más protegida.

6. Proteger los datos y la confianza

“Si una pequeña o mediana empresa maneja un gran volumen de datos, o datos que son considerados confidenciales, además de ser vulnerable a los ataques de oportunidad, está expuesta a ataques dirigidos a la fuga o secuestro de datos, y necesita protegerse con mayor rigurosidad. Una fuga de datos personales puede dañar la reputación de una empresa de manera casi irreversible y rompe la confianza de sus clientes, socios e inversionistas” comenta Andrés Rengifo, Director de Asuntos Corporativos, Externos y Legales de Microsoft para la región Andino Sur.

7. El impacto de un ataque puede ser devastador

Para los pequeños negocios, más que para los grandes, el impacto de un ataque puede poner en peligro la supervivencia del negocio. La mayoría de las pequeñas empresas que han tenido algún tipo de ataque no logran seguir operando, lo que puede llevar a la bancarrota rápidamente. Además del riesgo financiero causado por la parálisis de las operaciones, un ataque también puede erosionar la reputación y la credibilidad de la empresa, dejándola aún más vulnerable.

8. La seguridad es diferencial

Muchas veces son las grandes corporaciones que acaban jalonando a las más pequeñas, pues forman parte de la misma cadena de producción: muchas de las grandes compañías tienen relación comercial con proveedores y aliados más pequeños, y exigen de ellos prácticas de seguridad de la información más institucionalizadas. No contar con ellas puede perjudicar la contratación potencial.

9. Seguridad por diseño para los emprendimientos

Las empresas más recientes también necesitan una estrategia de ciberseguridad. Cuando se habla de empresas que crecen a alta velocidad, naturalmente tienen más desafíos de escala. Estas “scale-ups” terminan dejando un rastro de mayor vulnerabilidad, con problemas que necesitan atención desde el día 1 del negocio. Las pequeñas y medianas empresas tienen la oportunidad de implementar estrategias de privacidad y seguridad «por diseño», es decir, en el diseño de productos y servicios, una tendencia recomendada por los expertos para desarrollarse en un contexto de ciberseguridad desde el inicio de las operaciones.

10. El ABC de estrategia de ciberseguridad… independientemente del tamaño

Los simples hábitos pueden garantizar un entorno digital más seguro.  Estos son algunos pasos importantes:

• Mapear toda la estructura digital enumerando los dispositivos electrónicos, especialmente los conectados a Internet, y toda la información confidencial (datos de la empresa y del cliente) almacenada en la nube o el servidor.

• Comprobar y actualizar constantemente todos los programas utilizados en su negocio, incluidos los dedicados a la protección de máquinas y datos.

• Crear contraseñas fuertes y seguras y, de preferencia, activar la autenticación multifactor (MFA) para todos los usuarios y plataformas

• Realizar copias de seguridad constantes de sus datos más críticos.

• Hablar con los colaboradores sobre las actitudes que deben evitarse, como abrir correos electrónicos o enlaces sospechosos o acceder a sitios web poco confiables. Explicar los riesgos potencialmente dañinos que un solo clic puede causar y la responsabilidad de todos de garantizar un entorno digital seguro. Es importante que estas conversaciones no sean puntuales, sino una práctica que forme parte de la cultura de la empresa, es decir, que ocurra con frecuencia, que las personas estén constantemente empoderadas, y que los procesos y herramientas, se actualicen para abordar las áreas de vulnerabilidades.