Dado que le costó tanto trabajo construir su empresa y desarrollar su marca, no puede darse el lujo de dejar en segundo plano la seguridad digital. Tampoco puede permitir que las amenazas le impidan innovar, en un época en la que empresas de cualquier tamaño enfrentan una presión constante para adaptarse a los rápidos cambios. Tomar control de la seguridad de la información significa obtener más control sobre el futuro éxito de su empresa.
Según una reciente investigación de Kaspersky, el costo promedio de una vulneración de seguridad para una pequeña o mediana empresa (PYME) es de unos USD $108,000. Aproximadamente la mitad de este monto es causado por daños a la información y a la infraestructura, mientras que el resto es el resultado de la interrupción del funcionamiento normal de la empresa.
Si usted es dueño de una empresa, no puede ignorar esa estadística de ninguna forma. Los costos de un incidente de ciberseguridad no solo pueden ser catastróficos, sino que a menudo son muy difíciles de estimar. Además de los costos más obvios y directos, también debe tener en cuenta el daño a la marca, la cual podría tener consecuencias más profundas. Por ejemplo, el 60 por ciento de las empresas cierran en el transcurso de los seis meses posteriores a un ataque de grandes proporciones.
¿Por qué es importante que los propietarios de empresas se preocupen por la ciberseguridad?
Según Andrey Dankevich, de Kaspersky:
“Las empresas más pequeñas a menudo no consideran la ciberseguridad como una de sus principales prioridades. Sin embargo, el costo de no tener en cuenta este problema será cada vez mayor. ¿Por qué? Porque el malware no distingue entre sus víctimas y porque incluso las organizaciones muy pequeñas tienen algo que perder”.
Andrey Dankevich,
Líder de Soluciones Empresariales, Kaspersky
Muchos propietarios de empresas creen que no son objetivos atractivos, y que no vale la pena invertir una cantidad significativa de recursos económicos, humanos y técnicos en reforzar sus defensas. Consideran que los cibercriminales prefieren atacar objetivos mayores. Esta es una conclusión razonable, ya que las vulneraciones de datos sufridas por empresas como Yahoo! y Marriot son las que acaparan los titulares.
Pero las grandes empresas son las que más a menudo implementan medidas de seguridad de última generación, o al menos es lo que piensa la mayoría de los cibercriminales. Estas empresas son consideradas objetivos lucrativos, pero sumamente difíciles de atacar. La mayoría de los cibercriminales son oportunistas. En vez de atacar a las grandes empresas, van tras el dinero fácil: alrededor del 36 por ciento de las pequeñas empresas han sufrido una vulneración de datos. Más aún, aproximadamente un cuarto de las empresas utilizan únicamente productos de consumo general para protegerse y, de las que sufren vulneraciones de datos, más de un cuarto no contaban con soluciones de TI adecuadas o personal experto propio.
Cada organización, sin importar su tamaño o sector, tiene algo que los cibercriminales desean. Podría tratarse de datos de pago, información de identificación personal o propiedad intelectual, por poner solo algunos ejemplos. Las pequeñas empresas actualmente recopilan más datos valiosos que nunca, lo cual las convierte en objetivos aún más atractivos. Al mismo tiempo, su infraestructura de ciberseguridad a menudo es débil. Una empresa pequeña posiblemente no cuente con especialistas en TI propios ni confía en proveedores de servicios administrados (MSP), y tampoco cuenta con conocimientos técnicos al nivel de un consumidor básico. Gracias a que carecen de la infraestructura y los conocimientos técnicos necesarios para proteger su tesoro más preciado (sus datos más valiosos), los atacantes disponen de muchas vías por explotar.
La buena nueva es que es posible poner en funcionamiento una infraestructura robusta de ciberseguridad para pequeñas empresas sin necesidad de elegir entre hacer una gran inversión o hacer peligrar sus esfuerzos por innovar.
Una ciberseguridad fuerte comienza y termina en las personas
La seguridad de la información a menudo se percibe como un desafío técnico. Pregunte a casi cualquier empleado de su oficina quién es el encargado de la ciberseguridad de la empresa, y con seguridad señalarán al departamento de TI. O, si no existe un equipo dedicado a las TI, seguramente señalen a la gerencia. La verdad es que, independientemente de la cultura de la empresa, la ciberseguridad es responsabilidad de todos. Esto se debe a que se trata fundamentalmente de un problem humano más que técnico. Aproximadamente el 90 por ciento de los ataques involucran un elemento humano.
Los ciberciminales se aprovechan de los errores humanos, simplemente porque es mucho más fácil que intentar explotar errores tecnológicos. Por ejemplo, es mucho más fácil para un atacante manipular a alguien para hacer que entregue credenciales de inicio de sesión, que romper el cifrado o usar un ataque de fuerza bruta que teóricamente podría tomar más tiempo que el que duraría el universo. De hecho, la mayoría de los cibercriminales no conocen más sobre el funcionamiento interno de la tecnología que una persona no experta promedio. En cambio, utilizan tácticas de ingeniería social y “malware como servicio” (a menudo comprado en la dark web), gracias al cual los cibercriminales reclutan a otros socios, en un proceso muy semejante al de las empresas legítimas.
La única forma real de mitigar los errores humanos es asegurarse de que sus empleados tengan, por lo menos, tanto conocimiento sobre el mundo de la ciberseguridad que quienes podrían intentar violarla. Si bien no sería razonable pretender que los ejecutivos de cuentas o el personal de Recursos Humanos comprendan las complejidades de temas como cifrado y protocolos de seguridad, puede capacitarlos para que reconozcan mejor las amenazas de ingeniería social, como correos electrónicos de phishing y riesgos de seguridad comunes como las contraseñas débiles. Todos deben participar de un programa de capacitación en conciencia de seguridad que prepare a sus empleados para detectar riesgos. Esto no solo redundará en un beneficio para su empresa, sino que también ayudará a sus empleados a cuidar su seguridad en sus vidas personales.
Proteja su perímetro
La defensa perimetral es el nivel de protección básico y fundamental. De forma análoga a las paredes de un castillo medieval, su único fin es mantener todo lo malo afuera y todo lo valioso adentro. Uno de los mayores desafíos es determinar, en primer lugar, dónde se encuentra el perímetro. No se trata únicamente, como antes, de proteger las redes internas con firewalls y software antivirus. Los sistemas de datos ya no están limitados a los servidores y estaciones de trabajo internas, sino que los líderes empresariales hoy deben tener en cuenta los dispositivos móviles usados para trabajar (incluyendo los de propiedad de los empleados) y los recursos alojados en la nube.
Pero ya no basta con una defensa perimetral convencional. El volumen de datos que usted maneja en general se extiende más allá de los límites físicos de sus oficinas. Por eso, proteger sus cuentas en línea debe ser una de sus principales prioridades. El hardware se vuelve cada día menos importante para las pequeñas empresas, las cuales apenas están en plena transición hacia la computación en la nube y los servicios administrados. Todos estos dispositivos, conocidos como endpoints deben protegerse.
Y esto no es realmente una tarea tan abrumadora como podría parecer en un principio. Para complementar a los administradores de TI internos, o sustituirlos, las pequeñas empresas a menudo se asocian a proveedores de servicios administrados (MSP) quienes ofrecen un conjunto de servicios de seguridad adecuado a sus necesidades, que incluye administrar el software antivirus, instalar firewalls y proteger el correo electrónico contra el contenido malicioso.
Cómo la seguridad en capas ayuda a proteger sus activos más preciados
Volviendo a la analogía del castillo, hay más que simples muros para proteger lo que hay dentro. Muchos castillos están construidos sobre colinas para brindar una ventaja defensiva. Otros tienen fosas o zanjas para ofrecer una capa adicional de defensa. Incluso si un ejército atacante logra atravesar las paredes, generalmente hay una ejército que presenta una última línea de defensa. Esta misma metodología se aplica a la seguridad de la información, en la cual la defensa del perímetro es apenas la primera barrera que intenta evitar que los atacantes accedan al sistema. Pero si esto fuera la única defensa, se trataría de un único punto de falla, que dejaría a su empresa sumamente vulnerable.
La seguridad multicapa se basa en el concepto de usar varias soluciones de seguridad juntas para proteger sus activos más preciados: sus datos sensibles y de alto valor. Por ejemplo, un firewall ayuda a evitar que el código malicioso llegue a su red, el software antivirus protege cada dispositivo conectado a la red y el cifrado protege los datos tanto en el almacenamiento como cuando se envían a través de Internet.
Todos estos son controles técnicos y administrativos relativamente fáciles y económicos de implementar, gracias a que ahora vienen incluidos de forma estándar con muchos sistemas de TI de nivel empresarial.
Pero, si bien ayudan a proteger a su empresa, no pueden sustituir a la capacitación y el conocimiento experto.
Agregue valor con una mejor seguridad de la información
Es hora de que los propietarios de las empresas se tomen en serio la seguridad de la información, pero esto no significa que debería volverse una carga económica o una traba para la innovación. En vez de esto, debería añadir valor a su empresa en estos tiempos en que los clientes consideran la privacidad y seguridad de sus datos una de sus principales prioridades al elegir con cuáles empresas van a operar. Con ayuda de una combinación de políticas adecuadas y tecnología de punta, puede lograr que su empresa esté más cerca de lograr la inmunidad contra las amenazas cibernéticas.