Oportunidades y desafíos para las PYMEs en ciberseguridad

Recientemente la Organización de Estados Americanos (OEA) liberó su whitepaper “Oportunidades y Desafíos para las PYMEs en el contexto de una mayor adopción de las TICs”, en donde discute principalmente temas relacionados a la ciberseguridad y las medianas y pequeñas empresas en Latinoamérica. Las PYMEs tienen un gran impacto positivo en las sociedades y se […]

Recientemente la Organización de Estados Americanos (OEA) liberó su whitepaper “Oportunidades y Desafíos para las PYMEs en el contexto de una mayor adopción de las TICs”, en donde discute principalmente temas relacionados a la ciberseguridad y las medianas y pequeñas empresas en Latinoamérica.

Las PYMEs tienen un gran impacto positivo en las sociedades y se consideran esenciales para lograr una globalización y un crecimiento más incluyente. Los avances en la tecnología han permitido que las PYMEs accedan a la economía mundial, que fortalezcan sus procesos, que sean más eficientes e innoven. Esta mayor presencia tecnológica también ha permitido el auge de las startups, que representan nuevos modelos de creación de conocimiento, innovación y promoción de una cultura empresarial. Pero esta mayor dependencia de la tecnología trae consigo desafíos específicos a las PYMEs, en contraste con las grandes empresas.

De hecho, la deficiente “infraestructura de TIC impide que las PYME operen de manera eficiente y accedan a mercados internacionales a costos competitivos”. Las PYMEs enfrentan mayores obstáculos para la innovación y más dificultad para acceder a redes de investigación y esquemas de patentes. Para las PYMEs el acceso a instrumentos financieros es más escaso. Pero recientemente, en materia tecnológica, la cuestión de la seguridad comienza a ser un factor cada vez más importante y frente a esta circunstancia, las PYMEs están más expuestas que las grandes empresas, pues aún no están bien informadas acerca de cómo abordar el tema de la ciberseguridad. Además, están mucho menos preparadas para enfrentar los ataques cibernéticos.

Las PYME, la protección de los datos personales y la privacidad de datos

Recientemente los países han definido marcos de políticas destinadas definir las acciones en torno a la ciberseguridad y a proteger los datos personales y la privacidad de las personas alrededor del mundo. Si bien estas políticas en Latinoamérica no existen o están en desarrollo aún, para acceder a los mercados globales es mandatorio adscribirse a las reglas creadas por países que ya han puesto estos lineamientos en práctica. Las PYMEs que cuentan con un sólido nivel de protección crean ventajas competitivas y pueden garantizar mayores niveles de confianza a su entorno de negocios. Pero no es sólo la confianza la que se podría ver afectada por un incidente de ciberseguridad. Un ataque informático puede afectar el ciclo de producción, de distribución, de ventas o incluso se pueden producir pérdidas financieras abrumantes. Para las PYMEs es importantísimo crear modelos de gobernanza que generen impactos positivos en lo que se refiere a la ciberseguridad y que incluyan y contemplen este tema en su organización y planeación. Por otra parte, es hora de que los productos y servicios comiencen a idearse con protecciones hacia los datos y privacidad desde el momento de su diseño.

El concepto de “Privacidad desde el diseño” se refiere a incorporar la privacidad intencionalmente en las tecnologías de la información, las prácticas comerciales y las infraestructuras en red como una funcionalidad central desde su gestación. Este concepto cobra protagonismo en estos tiempos en donde ciertos marcos regulatorios en torno a la privacidad y protección de datos contienen reglas específicas orientadas en torno a él (como, por ejemplo, el GDPR). La privacidad desde el diseño representa un desafío en la época del Big Data, en la cual muchos negocios recopilan grandes cantidades de datos imprescindibles para la operación, y otros no tanto, pero que se almacenan para ser analizados posteriormente. En este respecto, medidas como disminuir los datos recopilados a los estrictamente necesarios, el uso de procesos de desidentificación y el uso de cifrado por defecto son esenciales al momento de incorporar la privacidad desde el diseño y que éste sea seguro.

Sensibilización de la seguridad cibernetica y las PYMEs

A pesar de la necesidad imperante por incorporar la ciberseguridad al diseño y las operaciones, no todas las PYMEs son plenamente conscientes de ello o carecen de recursos y capacidades para hacerlo. También es común hallar empresas que protegen las capas físicas y lógicas de sus redes, pero que pasan por alto el componente humano de las cadenas de seguridad, e incluso PYMEs con ausencia de políticas internas de ciberseguridad y una baja inversión financiera en estos temas. Parte de esto es debido a la falta de una cultura de seguridad, que se define como las actitudes, creencias y percepciones compartidas por los miembros del grupo, que definen normas y valores que, a su vez, determinan la forma en que actúan y reaccionan respecto al riesgo y al sistema de control de riesgos.

La cultura de seguridad dentro de la empresa se fortalece cuando creamos consciencia y capacitamos a los empleados y colaboradores en torno a la ciberseguridad y cuando realizamos, con estos propósitos, campañas de sensibilización cuyo enfoque logre cambios de comportamiento y que los empleados participen progresivamente. Integrar recompensas como reconocer la confiabilidad, reputación y buena imagen de los empleados que cumplan con las reglas de seguridad pueden impactar positivamente en la forma en que los empleados perciben el beneficio de dicho cumplimiento, mejorando sus comportamientos y actitudes. Se dice frecuentemente que implementar medidas de seguridad entorpece la eficiencia. Para contrarrestar esto se puede, por un lado, automatizar las tareas que sea posible, y por otro lado, asignar tiempos a labores de seguridad y concientización. Además es importante comenzar a incorporar a los oficiales de seguridad de datos e información a las estructuras de las empresas, como ya lo han comenzado a hacer las grandes empresas.

El papel del gobierno en la promoción de un ecosistema de ciberseguridad saludable para las PYMEs

Los gobiernos deben fomentar la creación y adopción de las tecnologías, y ahora, además, deben apoyar el desarrollo de un ecosistema saludable que priorice las necesidades de ciberseguridad, para que en él surja la confianza y la prosperidad económica. En general, es más común que las PYMEs carezcan de los recursos técnicos, humanos y financieros necesarios para comprender, adoptar e implementar las medidas de ciberseguridad que ayuden a conformar este ecosistema más seguro que se busca. En este sentido, los gobiernos pueden participar en este desarrollo mediante la sensibilización hacia la ciberseguridad y la creación de capacidades. Los gobiernos pueden auspiciar la creación de contenido y conocimiento y ayudar en que programas de capacitación lleguen a las PYMEs y sus colaboradores y empleados. Los gobiernos poseen, además, un instrumento que ha demostrado ser útil al momento de fomentar la justicia y el cambio social por décadas: la contratación pública, que se podría adaptar para que incorporase requisitos de ciberseguridad que incentivasen a las PYMEs que adoptasen y cumpliesen con dichas normas. Se podría, también, desarrollar un enfoque escalonado en el que empresas de diferentes tamaños deban cumplir con diferentes niveles de ciberseguridad de modo de no sobrecargar a las empresas más pequeñas.

Medidas activas que las PYMEs pueden adoptar para reforzar su ciberseguridad

1. Seleccione un empleado que se encargue de todos los aspectos relacionados con la privacidad, la protección de datos y la ciberseguridad
2. Cree una cultura consciente de la ciberseguridad al interior de su PYME
3. Diseñe productos y servicios integrados con protección de privacidad y datos personales
4. Busque recursos disponibles, especialmente las gstiones gubernamentales para apoyar a las PYMEs
5. Cumpla con las normas oficiales de seguridad cibernética y protección de datos y los requisitos de contratación pública