Es un error casi suicuda que las llamadas MiPyMEs y los emprendedores no tengan identificados los riesgos de ciberseguridad.
Ponderar el valor de la misma es el mejor regalo que estas empresas pueden hacerse.
Por: Dave Russell | VP de Estrategia Empresarial de Veeam
Rick Vanover | Director senior de Estrategia de Productos de Veeam
En el mundo digital, donde todos nuestros datos personales y profesionales se almacenan en línea, la protección de datos es un aspecto crucial que no podemos pasar por alto.
Según el Reporte de Tendencias de Protección de Datos 2023 de Veeam, los ciberataques causaron las interrupciones más impactantes para las organizaciones en 2020, 2021 y 2022.
Además, el 85% de los negocios fueron atacados al menos una vez en el último año.
Si esto es así en general, es un hecho que los negocios más pequeños se encuentran ante un enorme riesgo.
¿Qué hace a las MiPyMEs vulnerables?
Existe la idea común de que las empresas más pequeñas no son un objetivo y que están a salvo de las amenazas. No es así.
Por el contrario, enfrentan un panorama preocupante. Si bien cualquier organización podría recibir ciberataques, las MiPyMEs están en la mira debido a que sus medidas de seguridad de datos suelen ser débiles.
De acuerdo con Cyberpeace, es la ausencia de sistemas de monitoreo de alta tecnología en estas organizaciones lo que atrae a los ciberdelincuentes, pues las acciones de estos últimos no son detectadas.
Además, este tipo de empresas suelen tener brechas de seguridad como:
- No respaldar datos críticos
- Y no contar con políticas de seguridad adecuadas
Ambas cosas facilitan la labor de los atacantes.
Mito refutado
Según indica el mencionado estudio de Cyberpeace:
- 43% de todos los ciberataques los reciben las startups y PyMEs
- 47% de ellas no saben gestionar los riesgos cibernéticos
- 6 de cada 10 de las empresas de este sector que han sido atacadas cierran a los seis meses de los hechos
La mayoría de las veces, las PyMEs tienen presupuestos limitados para la protección cibernética.
Al no contar con una infraestructura de ciberseguridad adecuada para enfrentar las nuevas amenazas, es evidente que están en una posición de desventaja.
En cambio, las que deciden actualizarse en este concepto están más protegidas para los desafíos del futuro.
¿Los seguros cibernéticos son una opción?
Las pólizas de seguro cibernético básicas podrían ofrecer una opción para las pequeñas y medianas empresas.
No obstante, con el aumento del número y sofisticación de los ataques de ransomware, contar con una póliza adecuada en escala a los peligros actuales suele ser algo inalcanzable para la mayoría de las PyMEs hoy en día.
Las aseguradoras están imponiendo más regulaciones a sus pólizas, lo que significa que las empresas deben invertir en medidas de ciberseguridad adicionales para ser elegibles para un reclamo, en caso de ser atacadas.
Entre las políticas que las compañías de seguros exigen a sus clientes está contar con un sistema de gestión de activos y procesos de parcheo de vulnerabilidades documentado.
Ambos representan costos ocultos que hacen cada vez más difícil para las PyMEs financiar un seguro para protegerse.
Bueno pero, ¿qué tanto?
También hay que decir que contar con un seguro, si bien ayuda para la tranquilidad de quienes los contratan, no lo es todo.
Según el Informe de Tendencias de Ransomware 2023 de Veeam:
- 77% de las organizaciones latinoamericanas (de todos los tamaños y giros empresariales) pagaron por rescatar su información por ataques de ransomware vía su aseguradora
- Pero, aun así, el 14% no pudieron recuperar sus datos
Ahora bien, incluso si el pago cubierto por el seguro es exitoso, y la compañía recupera sus datos, todavía quedaría pendiente resolver los desafíos de la recuperación ante el impacto.
La mejor opción, si se decide contar con un seguro, es que éste forme parte de una estrategia de resiliencia digital más amplia.
¿Cuál es, entonces, el camino a seguir?
Tanto si se tiene un seguro cibernético como si no es posible pagarlo por un tema de costos o adecuación, hay una serie de prácticas que pueden utilizarse para reforzar la protección.
De esta forma, cuidar los datos más críticos del negocio de manera rentable y efectiva. Es crucial que las MiPyMEs mantengan prácticas básicas de higiene digital.
Lo primero es asegurarse de que sus empleados sepan cómo identificar enlaces sospechosos para evitar hacer clic en correos electrónicos de ransomware, phishing y demás.
Lo primero es asegurarse de que sus empleados sepan cómo identificar enlaces sospechosos para evitar hacer clic en correos electrónicos de ransomware, phishing y demás.Ejercicios simples como evaluaciones de riesgo periódicas y pruebas de penetración para evaluar la seguridad del sistema pueden ayudar también a prevenir los peligros cibernéticos.
E igualmente importante sería designar recursos para la ciberseguridad y especializarse en protección de datos.
Ésta, junto con la regulación de sus políticas cibernéticas, debe ser obligatoria para toda empresa, independientemente de su escala.
A manera de corolario
Finalmente, otro consejo útil es aplicar la Regla 3-2-1-1-0, buena práctica que no debe faltar en las empresas.
Tal regla significa que siempre debe haber, al menos:
- 3 respaldos de los datos
- En, al menos, 2 tipos diferentes de medios
- Con 1 o más de las copias fuera de sitio (offsite)
- Y 1 o más fuera de línea (offline)
- Y con 0 respaldos no verificados o con errores
En esta era tan complicada, donde las dinámicas empresariales son cada vez más digitales, tanto las vulnerabilidades como los peligros cibernéticos están a la orden del día.
Que las MiPyMEs tomen las riendas de la protección de sus datos puede marcar la diferencia entre continuar hacia su éxito o sucumbir.
