Incrementan los ataques: Pymes en la mira de ciberdelincuentes

Sin importar cual sea el tamaño de un negocio, mientras este maneje información existe la posibilidad de que se convierta en un blanco atractivo para ciberdelincuentes. Las pymes son por lo general la base económica y comercial de un país. Teniendo en cuenta esto es un hecho de que más de una mirada estará atenta sus sistemas y operaciones.

Según un informe de Kaspersky Lab y el Ponemon Institute, el 43% de los ciberataques dirigidos a empresas europeas tiene como objetivo pequeñas y medianas empresas, esto se debe en gran medida que no cuentan con solidas medidas de seguridad.

Con esto se deduce, por una parte, que las pymes son un blanco fácil para los ciberdelincuentes, gracias a la poca preparación que tiene su personal y a la vulnerabilidad presente en sus sistemas de seguridad, y, por otra parte, al hecho de que muchas de ellas han sido víctimas de un ataque y no se dieron ni por enteradas.

Lo grave de un ataque es que muchas pymes no pueden soportar el perjuicio causado, por lo que el 60% de las empresas desaparecen a los seis meses posteriores de efectuarse la agresión. Asimismo, y en términos monetarios, pues aparte de la la pérdida de datos críticos, la inactividad temporal de los procesos respectivos y el daño reputacional – el costo del ataque se avalúa en torno a los 35.000 euros (alrededor de 32 millones de pesos chilenos).

Son tres los principales canales de entrada utilizados por los ciberdelincuentes para atacar a una empresa de manera masiva: correo electrónico, sitios web y dispositivos con redes informáticas. Por tanto, una protección básica de estos elementos es esencial para empezar a generar políticas adecuadas de seguridad.

Estados de seguridad

El Estudio de Madurez de Ciberseguridad, desarrollado por IDC Chile, informa sobre el estado de ciberseguridad en el que se encuentran distintas empresas chilenas de diferentes rubros, de acuerdo con su tamaño y evaluando cinco dimensiones: visión, gestión de riesgos, personas, proceso y tecnologías de seguridad.

La medición analiza al menos 4 grupos de empresas: microempresas, empresas medianas, grandes empresas y corporaciones. Las empresas observadas fueron categorizadas en diferentes etapas de madurez de seguridad informática, desde “Principiantes ingenuos” es decir principiantes hasta empresas en fase “Profesionales”, que son capaces de predecir y tomar acciones efectivas contra ciberataques.

Si bien 80% de las empresas más pequeñas se encuentran en etapas tempranas, las empresas medianas que corresponden al groso de la muestra se encuentran en un 35% en una etapa 4 de 5. Está situación mejora si con respecto a las empresas de mayor tamaño, sólo el 5% de estas
organizaciones se encuentran en el extremo inferior, algo que disminuye a 3% si se da una mirada a las corporaciones.

Desconocimiento

Muchas Pymes creen que no son atractivas para los ciberdelincuentes, consideran que al ser pequeñas pasarán desapercibidas. Sin embargo, cualquier empresa o negocio corre el riesgo de sufrir un ataque, ya que en todas se manejan datos sensibles y también información financiera y bancaria. Ahora bien, el robo de datos no es siempre el objetivo de un ataque puedo serlo también, el secuestro de un equipo o dispositivo que servirá para ejecutar un delito de mayor alcance.

De aquí que la concientización juega un rol primordial, pues en la medida que las Pymes entiendan los riesgos al tener, por ejemplo, sistemas mal o poco protegidos comenzarán a generar políticas más robustas de seguridad. Políticas que buscan erradicar malos hábitos que parecen de poca importancia o hasta superficiales pero que en un momento dado pueden generar un grave problema.

Además del desconocimiento, otro factor que hace que las empresas tengan pocos sistemas de seguridad es su falta de presupuesto e inversión en está área. Muchas de ellas entregan la responsabilidad a empleados con poca o nula experiencia en ciberseguridad. Y otras hasta carecen de un técnico o un proveedor externo que gestione la instalación de sistemas de seguridad o la mantención y actualización de la red informática.

Proveedores

Si bien muchas empresas pueden realizar sus labores y servicios con su propio personal, muchas otras deben recurrir a servicios externos para realizar todos sus procesos, de aquí que la ciberseguridad adquiere una importancia aún mayor pues, además de verificar la seguridad
interna también es necesario exigir la misma seguridad a los proveedores externos, pues ellos también gestionarán parte de los datos e información del negocio.

Ahora bien, una de las tareas más importantes de las empresas es clasificar a sus proveedores, así se tendrá claro con que datos se están relacionando cada uno. Existen proveedores de servicios tecnológicos, que son los ofrecen servicios como alojamiento web, emisión de certificados,
servicio de pasarelas de pago, servicios de almacenamiento en la nube, servicios de soporte informático.

Los proveedores de servicios no tecnológicos pero que acceden a datos corporativos, como los que ofrecen servicios financieros, viajes, transporte, publicidad y marketing. Y también, los proveedores de productos tecnológicos, que corresponde a quienes suministran dispositivos, componentes hardware y las aplicaciones informáticas.

Es importante, controlar que toda relación con proveedores, y en particular aquellos que tienen acceso a nuestra información, está suficientemente protegida en base a los acuerdos y contratos correspondientes.