Cuando se habla de ciberseguridad, es común pensar que este es un desafío exclusivo de las grandes empresas: pensamos en secuestros de datos gigantes, pérdidas de millones, equipos especializados, tecnologías de alto costo. Pero eso no quiere decir que las pequeñas y medianas empresas, e incluso los microempresarios, estén fuera del radar de los ciberataques, ni que no puedan ni deban protegerse. Muy por el contrario: los ataques a este tipo de operaciones han aumentado a la misma velocidad que incrementan los de las grandes corporaciones. Un estudio de la Clark School de la Universidad de Maryland indica que, de media, se produce un ciberataque cada 39 segundos y según el más reciente estudio de Microsoft sobre el impacto del COVID-19 en las Pymes, en los países de Centroamérica, el 78% declaró que la ciberseguridad es una prioridad en sus empresas por lo que 6 de cada 10 empresas tienen políticas y tecnologías de ciberseguridad. En contraste, casi una tercera parte de los encuestados reporta que ha experimentado problemas de seguridad cibernética. Por ello, es clave comprender mejor los riesgos actuales y también las posibles estrategias para que las pymes operen de manera más segura:
1. No es porque no esté en los titulares que no
sucede
Los que aparecen en los medios de comunicación
son los ataques a grandes empresas o entidades más emblemáticas, y eso genera
la falsa percepción de que las pequeñas y medianas empresas no son blanco de
ataques. “Sin embargo, uno de los ataques de mayor crecimiento es el realizado
por correo electrónico malicioso o phishing, que ha mostrado un crecimiento del
300% en el último año según un estudio interno de Microsoft. En este tipo de ataque,
la meta del criminal es conseguir tantos objetivos como sea posible, no
necesariamente los grandes objetivos, sino los más susceptibles”, comenta Erick
Sosa, Gerente País de Microsoft Guatemala.
2. La digitalización se ha acelerado para todos
Las empresas de todos los tamaños han ampliado
su superficie de riesgo a ataques cibernéticos. La transformación digital
acelerada por la pandemia, el aumento de las transacciones bancarias digitales,
el comercio electrónico, y los empleados trabajando desde cualquier dispositivo
o cualquier red, son factores que aumentan las posibilidades que cualquier
empresa sea vulnerable a un ataque cibernético. "Las pequeñas empresas
suelen tener la percepción de que no serán víctimas. Pero ellas también
tuvieron que transformarse y no necesariamente todas tenían las mejores
prácticas y políticas de seguridad para esta nueva realidad", dice Ineke
Geesink, directora de Pequeñas y Medianas Empresas para Microsoft en
Centroamérica y Caribe.
3. La supervivencia de tu empresa está en juego
Cuando un ladrón asalta a una persona en la
calle, hace un control previo para decidir el mejor objetivo: se aprovecha de
quien está distraído, no está preparado y lo sorprende. En cierto modo, la
ciberseguridad también funciona así: el delincuente cibernético hace ataques
bien dirigidos a quienes no están preparados. En general, el ataque lo da la
oportunidad y las pymes dan esta oportunidad, porque suelen invertir menos en
la protección de sus datos. De acuerdo con un estudio comisionado a Forrester
por Microsoft, las Pymes usualmente no tienen acceso a recursos de
ciberseguridad sofisticados, en ese sentido, más del 60% de ellas no tienen la
capacidad de continuar con su operación después de un ciberataque.
4. Invertir en ciberseguridad no es caro,
ignorar los riesgos sí
Esto también significa que para proteger a una
pequeña o mediana empresa en general, no es necesario invertir miles de
dólares. “El cliente que invierte en lo básico - realizar las actualizaciones
automáticas y gratuitas- ya no cae en el ataque más básico, mientras que los
que no invierten y no forman a su fuerza de trabajo en mejores prácticas caen
en la más simple de las estafas", explica Jimena Mora. "La clave es
fomentar una cultura de seguridad, porque puedes hacer que toda la tecnología
esté disponible, pero al final del día, la mayoría de los ataques se filtran
por los usuarios, como un empleado que caen el phishing", agrega Jimena.
5. Invertir justo después de un ataque requiere
cabeza fría
Una de las razones más comunes por las que las
pymes más invierten en seguridad, es cuando han sido víctimas de un ataque o
han visto a un socio o competidor serlo. Esta, paradójicamente, puede ser un
arma de doble filo, pues está en el origen de inversiones mal hechas: la
empresa genera una inversión por decisiones emocionales, luego vuelve esa
sensación de falsa seguridad y baja el mantenimiento, o a veces sigue
invirtiendo en tecnologías diferentes y gastando más de lo que debería y al
final no estará más protegida.
6. Proteger los datos y la confianza
“Si una pequeña o mediana empresa maneja un
gran volumen de datos, o datos que son considerados confidenciales, además de
ser vulnerable a los ataques de oportunidad, está expuesta a ataques dirigidos
a la fuga o secuestro de datos, y necesita protegerse con mayor rigurosidad.
Una fuga de datos personales puede dañar la reputación de una empresa de manera
casi irreversible y rompe la confianza de sus clientes, socios e inversionistas”,
comenta Marlon Fetzner, director de Asuntos Corporativos, Externos y Legales de
Microsoft para Centroamérica y Caribe.
7. Seguridad por diseño para los
emprendimientos
Las empresas más recientes también necesitan
una estrategia de ciberseguridad. Cuando se habla de empresas que crecen a alta
velocidad, naturalmente tienen más desafíos de escala. Estas “scale-ups”
terminan dejando un rastro de mayor vulnerabilidad, con problemas que necesitan
atención desde el día 1 del negocio. Las pequeñas y medianas empresas tienen la
oportunidad de implementar estrategias de privacidad y seguridad "por
diseño", es decir, en el diseño de productos y servicios, una tendencia recomendada
por los expertos para desarrollarse en un contexto de ciberseguridad desde el
inicio de las operaciones.
Finalmente, se hace hincapié en que los simples
hábitos pueden garantizar un entorno digital más seguro. Entre las principales
recomendaciones, se propone mapear toda la estructura digital, enumerando los
dispositivos electrónicos conectados a internet y la información confidencial
almacenada en la nube o el servidor. Asimismo, activar la autenticación
multifactor para todos los usuarios y plataformas; realizar copias de seguridad
constantes y capacitar a los colaboradores sobre las formas más comunes en las
que la empresa puede sufrir un ciberataque.