A diferencia de lo que se cree, el objetivo preferido del cibercriminal es la Pyme. Esto es debido al poco esfuerzo que se necesita para acceder a ellas, por tanto, el coste entre el ataque y la recompensa juega a favor del criminal. La Pyme no es el sector más preparado para defenderse de los ataques, pero sus datos son igual de críticos que los de las grandes compañías. Hay que tener en cuenta que la Pyme puede albergar miles y miles de datos de clientes, proveedores, facturación, etc. que si quedaran expuestos comprometerían a la propia empresa y a sus clientes.
Históricamente, la preocupación por la seguridad de la información no ha sido prioritaria para la Pyme. En este punto conviene aclarar los términos “ciberseguridad” y “seguridad de la información”.
Defininiendo el concepto de ciberseguridad en la Pyme
La seguridad en cómputo se limita a sistemas y equipos que procesan la información. Junto con la seguridad informática componen lo que conocemos como “Ciberseguridad”, y esta involucra, aparte de sistemas y equipos, a los procesos, métodos y técnicas para el tratamiento informático de la información digital, teniendo un alcance mayor, ya que incluye la protección de las redes e infraestructuras tecnológicas. Podemos decir que la ciberseguridad protege hardware, redes, software, infraestructura y servicios.
La seguridad de la información, se focaliza más en las actividades que manejan las personas, seguridad física, cumplimiento y concienciación.
En este sentido, la política ideal de cualquier empresa, por grande o pequeña que esta sea debería ser un compendio de estas dos vertientes de la seguridad, para poder abarcar todos los ámbitos de información digital, sin embargo, siempre se apunta a una condición ideal de seguridad, ya que no hay certeza de poder evitar todos los riesgos. El objetivo es minimizarlos hasta un nivel aceptable.
¿El cibercrimen es cosa solo cosa de grandes corporaciones?
¿Una Pyme es un objetivo fácil? La respuesta es clara, SÍ. ¿Si lo puede llegar a ser una gran compañía, porque no una Pyme sin apenas medidas de seguridad? La excusa más comúnmente aceptada es que la Pyme no tiene nada de valor para el ciberdelincuente, pero ¿dónde es más fácil atacar con menor esfuerzo? por ejemplo con ramsonware como el cryptolocker, un virus que cifra los archivos y después exige un “rescate” para descifrarlos, rápido y fácil.
En una gran compañía con un esfuerzo dedicado a seguridad los empleados están concienciados, hay sistemas de protección perimétricos, antivirus actualizados y ¡¡¡copias de seguridad!!!. No se alarmen por los signos de exclamación. A día de hoy, son legión las empresas que no cuentan con un protocolo de copias de seguridad onsite y offsite que cumpla, por ejemplo, con la ley de protección de datos de proveedores/clientes y que en caso de ataque con el cryptolocker, es la primera línea de defensa para poder recuperar esos archivos cifrados.
Pymes que son la víctima perfecta del cibercrimen
La Pyme es una puerta abierta hoy en día al ciberataque. No piensen en los hackers que atacan la NSA, el FBI o la CIA. Esos son solo muestras de poder y satisfacción del ego personal de algunos delincuentes. Esos juegan en otra división. El cibercriminal que ataca a la Pyme es el que ataca indiscriminadamente para obtener un resultado rápido, ya sea por el secuestro de datos, y obtener un beneficio económico, como obtención de información de clientes para usarlo en ataques a más organizaciones. Hay que tener en cuenta el valor de los datos es diferente según la óptica de unos u otros. Para el ciberdelincuente esos datos pueden no valer nada, pero para el propietario de la Pyme son lo más valioso del mundo, tanto en cuanto como que su negocio depende de ello y pagaría lo que fuera por no perderlo. Así es como se desmonta la excusa de la Pyme. Su negocio y sus datos son lo más importante para ellos mismos, y no le prestan la debida atención en materia de seguridad.
El principal culpable es el desconocimiento
Según el informe anual de seguridad Cisco 2016, la principal vía de acceso de los ciberdelincuentes son los empleados, por el mal uso del correo o del navegador, la falta de concienciación y desconocimiento. Un aspecto clave también es el tiempo de reacción; según Cisco, el tiempo medio es de entre 100 y 200 días en los que la información de la empresa se encuentra expuesta.
A partir de aquí, una política adecuada en cuanto a ciberseguridad y seguridad de la información es básica en cualquier entorno empresarial, ya sea Pyme o gran empresa.
¿Cómo se puede proteger una Pyme frente al cibercrimen?
Un buen modo para comenzar a protegerse es tomar conciencia de los riesgos que existen al utilizar Internet en la actividad diaria de nuestra empresa. El uso de los sistemas de detección automática de ataques y los distintos modos de responder a ellos, es otra de las medidas más eficaces para evitar los ciberataques, al igual que el realizar un monitoreo periódico para conocer exactamente qué es lo que está sucediendo en nuestras redes internas. La primera recomendación en estos casos es la prevención y detección temprana de posibles fallos de seguridad.
Algunos fallos de seguridad muy comunes en las Pymes
Algunos de los errores que debemos evitar cuando estemos utilizando internet son:
- El uso de contraseñas cortas.
- Utilizar la misma contraseña para todos nuestros servicios web.
- No cambiar nuestras contraseñas de forma periódica.
- Ejecutar un archivo que nos haya llegado a nuestro correo electrónico.
- Introducir una memoria USB en nuestro ordenador sin tener claro su origen.
- No tener actualizado debidamente nuestro antivirus.
- No controlar el número de empleados que pueden acceder a determinadas páginas.
- No limitar la información y los accesos que va a tener cada empleado en función de sus tareas
Estos son pequeños pasos que en conjunto minimizan el riesgo de ataques hasta ese nivel “aceptable” del que hablábamos anteriormente. Para concluir, gracias a sistemas de protección eficaces, a pequeñas precauciones que los empleados deben tomar y a la inversión en seguridad con sus proveedores informáticos habituales, las Pymes nunca caminarán solas en la tarea de asegurar la continuidad de su negocio.
Software Solutions for Business
Carlos, lo que dices es totalmente cierto y los datos reales nos tienen que hacer reflexionar:
– Reportado por Gartner: el 25% de los PC sufrirá una pérdida de datos este año.
– Según Forrester, el 24% de las empresas reveló que se han enfrentado al menos a un desastre en sus datos.
– Gartner señaló que el coste medio del tiempo de inactividad para una empresa mediana es de 70.000€ por hora.
– De acuerdo con Ponemon Institute, el 95% de las organizaciones se encontró con fallos de datos del año pasado.
– Veeam Informe 2013 reveló que el 74% de las empresas no realizan copia de seguridad de los servidores virtuales.
– PricewaterhouseCooper informó que el 70% de las empresas que se enfrentan a enormes pérdidas de datos pierden su negocio dentro de un año.