Según el estudio ‘Global Corporate Divestment 2018-19’, de EY, las pymes no tienen presupuesto para hacer frente a las ciberamenazas.
Estas son demasiado amplias y sus cuentas no tan flexibles como las de las grandes empresas. Como resultado, son vulnerables a los ataques informáticos.
Esto significa que el 87% de las empresas no tiene herramientas para defender sus datos o los de sus clientes. ¿Están indefensas? ¿Cómo podemos blindar la seguridad de nuestras pymes? ¿Por qué la tecnología es tan costosa? Analizamos el universo de seguridad de las pymes.
Algunos datos de amenazas a empresas
Según el portal Privacy Rights Clearinghouse, tan solo en 2018 y en los Estados Unidos fueron robados 1.371 millones de archivos con datos personales. No es un hecho aislado. Durante los últimos años se ha producido un crecimiento notable de este tipo de robos.
Con foco en el mercado estadounidense, representativo de nuestra forma de operar en negocios virtuales, el 39% de las empresas apenas dedican un 2% de su presupuesto en servicios de tecnología de la información (IT) para defenderse de amenazas externas. De hecho, solo el 45% de las organizaciones introduce la seguridad en su estrategia.
Esto significa que las vulnerabilidades de las empresas son elevadas, especialmente cuando miramos a las pequeñas. Estas tienen un presupuesto mucho más limitado. Pese a los datos, no nos tomamos en serio los ataques de ciberseguridad.
Educación, pilar indispensable para las pymes
Según el informe mencionado arriba, al menos 1.464 gabinetes oficiales de gobierno usan “Password123” (contraseña123, en inglés) para cuentas web. Este tipo de brechas pueden ser reparadas fácilmente haciendo uso de contraseñas seguras. Pero además el grueso de los ataques requiere de un empleado poco formado:
- El phishing (representa 22% de los ciberataques con éxito a empresas estadounidenses) requiere que alguien pique. Un empleado formado en evitar este tipo de técnicas dará al traste con una quinta parte de los ataques.
- El malware (20%) requiere de permisos de administrador para operar. Sin ellos, el malware tiene muy complicada su entrada en nuestros equipos. Otro quinto de protección usando usuarios sin permisos de administrador.
Los ciberataques (33%) son mucho más complejos de frenar y requieren de un factor extra de ciberseguridad. Dicho esto, el grueso de ellos son posibles gracias al robo previo de información vulnerable.
Solo hay dos tipos de empresa: la que ha sido pirateada y la que todavía no lo sabe.
Según el informe de EY, al menos el 34% de las vulnerabilidades aparecen por empleados despreocupados. El 26%, siguiente porcentaje con mayor peso, hace referencia a protocolos de seguridad. Es decir, podríamos eliminar el peligro principal simplemente formando al personal de la empresa.
¿Aumenta el uso del móvil las vulnerabilidades?
El 8% de las organizaciones dicen que el uso masivo de dispositivos móviles ha aumentado sus debilidades en seguridad. Otro 4% está preocupado por conceptos como el internet de las cosas (IoT, por sus siglas en inglés). Recordemos que los ataques de denegación de servicio suelen usar estos objetos como bots zombis.
Son porcentajes bajos. Las empresas deberían tener más presente estas nuevas formas de interactuar con nuestro entorno como potenciales brechas de seguridad empresariales. El motivo principal es que la seguridad de los terminales móviles deja mucho que desear.
Más aún la de algunos objetos IoT o su combinación con redes WiFi no seguras. Cada vez se reportan más ataques con éxito a puertas de hotel conectadas y cámaras IP. El querer estar a la última en tecnología nos ha hecho abrazar tecnologías poco maduras a nivel de seguridad.
¿Es insegura una cámara IP? Si la dejamos con la contraseña de origen y el módem al que está conectada no tiene una, desde luego. Pero cambiar las contraseñas es muy fácil. Si no se hace, es más seguro guardar una llave encerrada en una caja con combinación en la puerta de la oficina que contar con una cerradura inteligente conectada a internet.
¿Cómo podemos mejorar la seguridad de nuestra pyme?
Dice Marc Goodman en su libro ‘Los delitos del futuro’ (2015) que solo hay dos tipos de empresa: la que ha sido pirateada y la que todavía no lo sabe. Y es que en informática se dan dos hechos: la certeza de seguridad no existe. Cada vez hay más ataques. Según Goodman, si un dato digital ha sido colocado en un servidor conectado a la red, eventualmente saldrá a la luz. Intentemos retrasarlo, ¿no?
Ese es el objetivo de los antivirus. Todos los estudios realizados indican que los antivirus modernos no tienen, ni de lejos, una tasa de acierto del 100%. Pero frenan muchos tipos de códigos maliciosos. No usarlos supone una irresponsabilidad incluso cuando no son totalmente eficientes.
Además de potenciar la educación a nivel interno y hacer uso de sistemas de seguridad como los antivirus, también existen fórmulas de seguridad a medida para las empresas. Estas pueden ser modulares y escalables de modo que podamos contratar aquellos servicios que vayamos a usar.
Imágenes | iStock/golubovy, iStock/anyaberkut
