Ciberseguridad de las pymes: Explorando la brecha de confianza
Para proteger mejor su empresa, hemos identificado la desconexión entre las amenazas a la seguridad y el grado de preparación de las PYME europeas para hacerles frente.
Trabajos reales, riesgos reals
Bienvenido al trabajo en el mundo real. Donde sus equipos pueden estar aquí, allí y donde quieran. Donde se pueden gestionar proyectos sin pilas de papeleo, distribuir información de pacientes directamente a través de una aplicación y utilizar contenidos electrónicos en el aula con la misma facilidad que un libro de texto. Pero también -y esto es fundamental- donde existen nuevas amenazas para la ciberseguridad.
Hoy en día, trabajar para muchas pymes significa gestionar múltiples redes, dispositivos y tipos de riesgo. Pero, ¿hasta qué punto confía en la capacidad de su empresa para evitar un ciberataque? Para obtener una imagen más clara, Sharp ha realizado una investigación con 5.770 responsables de TI de pymes de 11 países europeos, de diversos sectores como la educación, la sanidad, la construcción y el jurídico.
Al haber realizado ya el cambio a sistemas en línea, a modelos híbridos y a aplicaciones que hacen más eficientes las tareas, nuestra investigación muestra que la mayoría de las pymes consideran que están bien preparadas. Sin embargo, al mismo tiempo, falta confianza en la seguridad informática. Y para aumentar la tensión, un gran porcentaje de pymes no están dispuestas a incrementar su presupuesto de seguridad informática a pesar del riesgo creciente.
Este desajuste entre la preparación y el nivel de amenaza está creando la oportunidad perfecta para que los ciberdelincuentes ataquen.
Comprender las amenazas
En realidad, independientemente del sector, la oferta de servicios o el tipo de empresa, las vulnerabilidades de la seguridad informática son una parte real y generalizada del mundo transformado digitalmente. Es fantástico poder trabajar desde un móvil, estar fácilmente conectado con los miembros del equipo en todo momento o agilizar las tareas con flujos de trabajo automatizados. Sin embargo, más dispositivos y servicios conectados a través de Internet significan más formas de que una empresa se convierta en objetivo.
Desde una perspectiva operativa, la cloud computing (información almacenada en la nube) ha facilitado la gestión de datos a todo tipo de empresas y organizaciones. Los historiales médicos pueden consultarse con solo pulsar un botón, los resultados de los exámenes se filtran a través de aplicaciones y las encuestas en el lugar de trabajo se realizan digitalmente. Pero al mismo tiempo, esto significa que esos datos son cada vez más accesibles para otros en la nube y a través de las aplicaciones que se utilizan. Hoy en día, las empresas deben tomar medidas para garantizar que ningún ciberdelincuente pueda acceder a la red, que el personal sea plenamente consciente de las posibles amenazas y que exista un plan en caso de que se produzca un ataque.
Y para echar más leña al fuego, es posible que muchos no sean conscientes de los tipos de ataques a los que están expuestos o de su gravedad. Después de todo, ¿cuántos empleados entienden realmente el significado de términos como malware, ransomware o phishing?
Preparación vs. confianza
Las estadísticas sobre ciberdelincuencia muestran que los ataques crecen exponencialmente. Mantenerse al día de los tipos de riesgos que existen puede ser difícil, sobre todo porque las tácticas de los ciberdelincuentes son cada vez más sofisticadas. Una empresa pequeña puede ser víctima de un ataque si tiene agujeros en su defensa digital. Desde una contraseña de dispositivo débil hasta datos que no están cifrados (codificados), la más mínima fisura puede ser todo lo que necesita un pirata informático.
Un estudio de Sharp muestra que el 79% de las pequeñas empresas europeas se creen bien preparadas para hacer frente a las amenazas a la seguridad informática. A primera vista, son buenas noticias, pero curiosamente casi la misma proporción (68%) afirma no confiar en la capacidad de su empresa para hacer frente a los riesgos de seguridad informática. Y a pesar del creciente riesgo, sólo el 41% ha aumentado la formación en seguridad informática desde que se introdujeron los modelos híbridos, a pesar de que la propia naturaleza de los híbridos implica a miembros del personal en múltiples ubicaciones, potencialmente en redes separadas (y a veces no seguras). Los niveles de percepción de la seguridad varían según el país, y el número de pymes que se sienten preparadas para hacer frente a posibles amenazas a la seguridad informática oscila entre el 67% y el 86% en toda Europa.
¿Estás preparado?
Según los resultados de la investigación, ¿está la defensa digital de su empresa a la altura de la creciente amenaza? Y si se siente preparado, ¿están sus estrategias de ciberseguridad evoluciona lo suficientemente rápido como para permitirle afrontar con confianza distintos tipos de riesgo?
¿Qué demuestran los estudios?
Analicemos más detenidamente lo que nos han contado las pymes europeas a las que hemos preguntado.
Un estudio muestra que algo menos de cuatro quintas partes de las pymes consideran que se destina suficiente presupuesto a la seguridad informática. Teniendo en cuenta que un tercio de ellas se ha visto afectada por un ataque de virus informáticos y que muchas carecen de componentes cruciales para una sólida defensa de la seguridad, este sentimiento podría estar un poco fuera de lugar. No hay que pasar por alto las consecuencias negativas de un ataque, desde el punto de vista de la reputación, la economía y la fidelidad de los clientes.
Sólo el 44% aumentará su presupuesto de seguridad este año, probablemente como consecuencia de la situación económica. Sin embargo, merece la pena recordar que invertir en una solución de gestión de la ciberseguridad no siempre significa gastar más dinero; podría tratarse de establecer nuevas prioridades para el dinero existente. La solución adecuada proporcionará a su empresa toda la protección que necesita, sin arruinarla.
Las amenazas a la seguridad han evolucionado más allá del correo spam fraudulento o de los trabajadores que introducen accidentalmente su contraseña en una página web sospechosa. Sin embargo, estas amenazas siguen existiendo y, dado que el 32 % de las pymes se han visto afectadas por un ataque de phishing y el 31 % por malware, es posible que los trabajadores conectados digitalmente no sean tan conscientes de los riesgos potenciales como creen.
Para las empresas más pequeñas que carecen de un departamento informático especializado, un componente esencial de su seguridad es garantizar que todo el equipo sea "cyber-seguro" y disponga de la información adecuada en materia de cyberseguridad. Esto incluye a todos, desde los repartidores a los trabajadores in situ, e incluso al ejecutivo que trabaja desde la red pública de una cafetería.
Hoy en día, las amenazas provienen de todos los ángulos, de lugares que una empresa podría no tener en su radar. A pesar de que casi cuatro quintas partes de las pymes consideran que sus empleados han recibido una formación adecuada en materia de seguridad, siguen existiendo puntos débiles: casi una quinta parte (19%) se ha visto afectada por una brecha de seguridad desde la impresora de su oficina. Aunque se trata de una amenaza poco probable, muchos no se plantean que los piratas informáticos puedan infiltrarse en el sistema de su empresa desde la máquina diseñada para imprimir, escanear y compartir documentos.
Este es un ejemplo especialmente claro de cómo una pyme puede que no esté eficazmente preparada para un ataque. A pesar de que una quinta parte se ha visto afectada, sólo el 5% está preocupado por esta amenaza concreta. Dado que un tercio no dispone de medidas de seguridad informática para cubrir las impresoras, está claro que se puede hacer más para mantener al personal formado en todos los tipos de riesgo.
De la preparación a la confianza y la preparación para el riesgo
Antes de que cualquier pyme pueda estar totalmente preparada para un ciberataque, debe racionalizar sus niveles de confianza, conocimiento e inversión en seguridad. Los riesgos de ciberseguridad son elevados: si se produce un ataque, hay que dar prioridad a un enfoque estratégico más amplio para mitigar su impacto. Esto significa cubrir todas las bases, desde la formación del personal hasta la supervisión continua y permanente de la red y los sistemas.
Esto no tiene por qué interferir con otras áreas de la empresa ni disparar los costes. Sharp ofrece una familia completa de soluciones de seguridad para ayudar a las empresas a confiar en su defensa digital, proporcionando toda la experiencia, supervisión y respuesta necesarias para mantener la seguridad.
