We're sorry but your browser is not supported by Marsh.com

For the best experience, please upgrade to a supported browser:

X
Panamá PAN
Americas
Asia Pacific
Europe
Middle East & Africa
Español ES

INVESTIGACIÓN Y BOLETINES

Seguridad Cibernética al alcance de Pequeñas y Medianas Empresas

 


Pamela Passman, President and CEO of Center for Responsible Enterprise and Trade/Brink News

En la actualidad, no es de sorprender que las amenazas cibernéticas aumenten y los ataques se vuelvan cada vez más sofisticados. Si bien un ataque puede ser un revés para una multinacional, para las pequeñas y medianas empresas podría ser devastador. La pérdida de información comercial crítica, como secretos comerciales codiciados, o la exposición de información confidencial del cliente, podría sacar del negocio con facilidad a una pequeña empresa.

Para muchas Pequeñas y Medianas Empresas (PYMES) no existe un sentido de urgencia sobre la amenaza. Muchos ejecutivos creen que los atacantes están más interesados en apuntar a multinacionales más grandes, ricas en generosidades de información personalmente identificable y datos corporativos de mayor valor, como investigación innovadora y secretos comerciales. Sin embargo, un estudio reciente sugiere que el 61% de las víctimas de violación de datos de 2017 (hasta ahora) han sido empresas con menos de 1,000 empleados.

Independientemente del tamaño, todas las empresas se enfrentan a amenazas similares, y las PYMES en realidad pueden ser objetivos principales por varias razones. Una pequeña empresa minorista puede ser atacada debido a los datos de la tarjeta de crédito que posee. O bien, una pequeña empresa que forma parte de una cadena de valor más grande puede verse como una presa más fácil para entrar en la puerta trasera de una multinacional, como fue el caso de un minorista importante en el que los atacantes ingresaron a la red a través de las contraseñas de un link con la factura electrónica de un proveedor de calefacción . 

Las empresas más pequeñas también pueden ser atacadas con un software malicioso, un ataque de malware y hacer que sus sistemas se conviertan en "computadoras zombie", que pueden usarse en ataques más grandes. Los atacantes de Ransomware también se dirigen a organizaciones más pequeñas, muchas de las cuales pagarán el rescate debido a que no tienen protocolos establecidos para las copias de seguridad de datos.

Aunque los riesgos son altos, PYMES se quedan cortas en lo que respecta a seguridad cibernética. El estudio sobre el Estado de la Seguridad Cibernética SMB de 2016 sugiere que solo el 14% de las pequeñas empresas califica su capacidad para mitigar los riesgos cibernéticos como altamente efectiva. ¿Por qué no ser más proactivo? Para muchas PYMES, los costos pueden ser destinados a otras prioridades. Otros consideran que una guía líder, como el sistema de gestión de la seguridad de la información ISO 27001 o el Marco de seguridad cibernética emitido por el Instituto Nacional de Estándares y Tecnología, es demasiado técnica o desalentadora para implementarla.

Muchas multinacionales reconocen la importancia de una amplia seguridad cibernética entre las empresas en sus cadenas de valor. El Cyber Readiness Institute fue lanzado recientemente con un enfoque específico en "el desarrollo de herramientas y contenidos de gestión del riesgo cibernético para ayudar a las pequeñas y medianas empresas, a fin de asegurar las cadenas de valor mundiales".

Sin embargo, en última instancia, corresponde a las pequeñas y medianas empresas abordar las "personas, los procesos y la tecnología" necesarios para una seguridad cibernética efectiva.

Personal: como sugieren muchos informes, son los propios empleados los que representan la mayor amenaza para provocar brechas cibernéticas. No siempre es intencional: se engaña a muchos para que descarguen malware haciendo clic en un enlace de un correo electrónico; en otros casos, el empleado puede estar utilizando contraseñas débiles o las mismas en muchos sistemas. Aquí hay algunas formas de mejorar la seguridad cibernética entre los empleados:

• Capacite a los empleados, contratistas y otras personas sobre amenazas cibernéticas y comuníquese sobre el papel que desempeñan para mantener la seguridad de la red. Todos deben estar atentos para garantizar que los enlaces en los que hacen clic en los correos electrónicos y en los sitios web sean legítimos, empleen contraseñas seguras y eviten las redes Wi-Fi públicas. Las advertencias emergentes también se pueden usar para proporcionar mensajes en tiempo real a los usuarios cuando se involucran en comportamientos informáticos o de red que aumentan los riesgos.

• Comprender quién representa la mayor amenaza para los activos corporativos confidenciales -incluidos altos ejecutivos, contratistas, proveedores y otros- y garantizar que haya procesos implementados para abordar posibles riesgos de seguridad (por ejemplo, control de acceso, monitoreo de grandes descargas de datos, etc.).

Procesos: muchas empresas tienen políticas implementadas pero no son efectivas a menos que existan procesos comerciales para respaldar el cumplimiento. Los procesos podrían incluir:

• Desarrollar políticas, prácticas y procedimientos asociados específicos para la seguridad de los datos.

• Incluir seguridad de datos en el embarque y desembarque de empleados. Cuando un empleado comienza en una empresa, debe conocer los protocolos esperados para proteger los datos confidenciales y recibir capacitación para evitar "trampas" informáticas comunes. Al partir, las credenciales de los empleados o contratistas deben desactivarse y se debe denegar el acceso a todos los sistemas.

• Prepararse: toda empresa debe tener un plan de continuidad de negocio e incidencia en caso de que los sistemas se vean comprometidos. Esto incluye copias de seguridad de sistemas y datos, planes de comunicación y colaboración multifuncional.

• Imponer estándares sólidos para las identidades y contraseñas de los usuarios.

Tecnología: el Instituto Nacional de Estándares y Tecnología ofrece una guía muy útil de seguridad cibernética para pequeñas y medianas empresas, que se alinea con las categorías en el Marco NIST. Algunas acciones que todas las empresas pueden tomar son:

• Aplicar automáticamente parches de seguridad de software para ayudar a evitar perder una actualización importante. También mantenga la seguridad y el software al día.

• Desarrollar defensas tecnológicas que incluyen el uso de firewalls de red y encriptación de datos y almacenamiento de servidor segregado para información confidencial. También es aconsejable bloquear el acceso de los usuarios a sitios de Internet poco confiables, entre otras acciones.

• Usar y hacer cumplir la protección por contraseña y el acceso "necesario para saber" a información confidencial.

• Recopile datos en todos los dispositivos con acceso a la red y asegúrese de que todos los dispositivos con conectividad a Internet estén protegidos contra virus y malware.

Ya sea que una empresa tenga 10 o 1,000 empleados, tomar medidas proactivas que involucren a "personas, procesos y tecnología" contribuirá en gran medida a desarrollar la resiliencia cibernética y proteger a las PYMES, pues son las empresas que impulsan la economía y son fundamentales para las cadenas de valor mundiales.

Haga clic aquí para más noticias de BrinkNews (contenido en inglés)