La ciberseguridad en las empresas se ha convertido en una necesidad, independientemente de su tamaño. El ransomware, el phishing, los ataques BEC (Business Email Compromise), los ataques DDOS (ataques de denegación de servicio) pueden afectar a cualquiera. Ninguna organización está a salvo de sufrir un ataque. Ni las más pequeñas. De hecho, también son objetivo de ciberataques.
El número de ciberataques tiende a aumentar en las pequeñas y medianas empresas, ya que sus sistemas de seguridad suelen ser menos elaborados por falta de medios e información o por la aplicación de medidas inadecuadas para prevenir las ciberamenazas. Los directivos deben ser conscientes del riesgo e invertir en soluciones de seguridad y formar a sus equipos.
¿Por qué son un objetivo de ciberataques?
Ante estos ataques, ¿están las pymes preparadas y protegidas?
Si observamos las siguientes cifras, encontramos respuestas a estas preguntas. Existe todavía una carencia de conocimiento de los problemas cibernéticos y una falta de madurez en términos de seguridad, aunque este tema ha evolucionado en los últimos tiempos.
Algunas cifras interesantes:
- El 95% de los dirigentes empresariales afirman tener un buen conocimiento de la ciberseguridad. *
- Un tercio de las micropymes/pymes afirma que tienen un informático a cargo de la ciberseguridad en su empresa.
- El 60% de las pequeñas empresas cierran sus puertas a los 6 meses de haber sufrido un ciberataque o violación de datos.
- Solo 1 de cada 2 empresarios usan una VPN.
Minimización del riesgo
Las pequeñas y medianas empresas no siempre dan prioridad a la prevención de ataques. El ransomware, el daño a la reputación, la denegación de un servicio o sabotaje, todos estos riesgos a veces no son tenidos en cuenta, por las pequeñas compañías.
Si nos fijamos en España, el 44% de las pymes españolas sufrió al menos un ciberataque durante 2021, según el informe de Ciberpreparación de Hiscox.
El mismo informe revela que para una pyme de 0 a 49 empleados el coste de todos los ataques cibernéticos sufridos durante 2021 es de 16.300 euros, una cifra que alcanza casi los 23.000 euros en el caso de las medianas empresas.
Por último, revisemos las últimas cifras de las pymes en términos de herramientas: “el 97% usan un antivirus, el 88% usa un firewall, el 79% implementa un backup de datos gestionado internamente por sus equipos”. El hecho de que solo tengan un antivirus los lleva a pensar que el riesgo está cubierto o que el equipo está protegido, olvidando sus actualizaciones y el hecho de que los antivirus solo detectan sobre la base de los ataques conocidos. Esta falta de conocimientos digitales les expone a grandes riesgos.
Sin embargo, podemos moderar estas observaciones desde la pandemia y la llegada del teletrabajo. Las empresas se han equipado y tienen cada vez más en cuenta los riesgos cibernéticos.
El otro aspecto que abordamos aquí es la debilidad de la madurez de seguridad observada en las PYME.
La conclusión es que pocos directivos de las PYMES están suficientemente respaldados en la elección de sus soluciones de seguridad. En el caso de que existan referentes informáticos, no son necesariamente ciberespecialistas.
Otra cuestión es que cuando estas compañías están equipadas, la mitad de las funcionalidades de las herramientas no están activadas y/o no están bien configuradas por falta de conocimiento, lo que da rienda suelta a los atacantes. Por lo tanto, hay una falta de protección.
Por otra parte, no todas las pequeñas empresas disponen de servicios internos y, además, los empleados no siempre están formados en ciberseguridad. Sin embargo, la madurez en términos de seguridad también depende de la concienciación de su personal. Todavía existen lagunas o puntos débiles en este ámbito.
Es esencial recordar a la gente con regularidad y de forma educativa que hacer clic en un enlace pirateado es peligroso, que cambiar las contraseñas con regularidad es importante, que tener una contraseña fuerte es esencial, que la autenticación multifactor es esencial, que el uso del teléfono propio no debe hacerse en el contexto profesional.
Falta de competencias
Como hemos mencionado con anterioridad, uno de los principales problemas a los que se enfrentan las pymes es la falta de plantilla dedicada a la ciberseguridad dentro de su estructura empresarial. Según la encuesta de Ifop, «1 de cada 5 PYMES no tiene a nadie a cargo de la seguridad informática» y «un tercio de las empresas de 20 a 249 empleados tiene un empleado dedicado a la seguridad informática». Por tanto, es el propio jefe de la empresa quien debe gestionar los problemas de seguridad. Estas empresas no siempre tienen la capacidad de recurrir a expertos.
Las organizaciones más pequeñas son cada vez más conscientes de los esfuerzos que deben realizar en materia de ciberseguridad. Los recientes acontecimientos en Ucrania y la pandemia mundial, que han favorecido los ataques, han aumentado la concienciación. La complejidad de los ataques requiere el uso de varias herramientas que implican una inversión, pero las cifras demuestran que los presupuestos asignados aún no son suficientes: «Del presupuesto global de TI de las empresas, el 6,1% se dedica a la seguridad».
Las pymes suelen utilizar productos gratuitos y se sienten seguras. No entienden por qué deben pagar para estar protegidas cuando creen que pueden estarlo sin que esto afecte a su presupuesto. El problema es que las amenazas desconocidas no entran en la base de firmas de un antivirus. Por eso se necesita una solución hiper-automatizada e hiper-industrializada. Por tanto, existe una necesidad real de apoyo a estas empresas. Es urgente concienciar, asesorar y establecer sistemas de ciberseguridad en estas empresas. Y, por supuesto, apoyar con soluciones conforme a sus economías, ya que la mayoría de las pymes aún no disponen de ofertas adaptadas a sus necesidades y presupuestos.
Las compañías más pequeñas no deben ser un objetivo de los ciberataques, deben reaccionar y anticiparse. Su supervivencia depende de ello.
Éléna Poincet, CEO y cofundadora de TEHTRIS
