Los ataques cibernéticos a las pequeñas y medianas empresas (PYMES) continúan a un ritmo implacable, y la gran mayoría de las violaciones de datos provienen de fuera de la organización.
Algunos creen que los piratas informáticos se están enfocando agresivamente en estas empresas más pequeñas porque creen que las PYMES carecen de los recursos adecuados y las herramientas de seguridad de nivel empresarial, lo que las convierte en presas más fáciles que las empresas más grandes.
Sin embargo, un nuevo informe de Cisco desafía esta suposición. Las PYMES han logrado avances significativos al mejorar sus protocolos de seguridad y están cerrando la brecha con sus contrapartes más grandes. El informe señala que el 87 % de los propietarios de pequeñas y medianas empresas consideran que la seguridad es una prioridad máxima, y más del 99 % tiene un recurso dedicado que se centra en la seguridad.
Las PYMES también se están volviendo más diligentes en la definición de métricas para evaluar la efectividad de su seguridad e implementar controles y herramientas de seguridad a tasas similares a las de las grandes empresas.
Sin duda, la aparición de soluciones de seguridad desarrolladas específicamente para las PYMES respalda esta tendencia. Los proveedores de tecnología de seguridad ahora ofrecen herramientas asequibles que cubren múltiples vectores de ataque, lo que hace que sea más fácil y rentable para las PYMES mejorar sus defensas.
Reason Cybersecurity, por ejemplo, incluye capacidades de protección en tiempo real junto con sus funcionalidades antivirus, antiransomware y antimalware. También evita que las aplicaciones no autorizadas accedan a periféricos de comunicaciones como cámaras web y micrófonos, que los piratas suelen utilizar para espiar a los miembros del equipo y robar información confidencial de forma remota.
El mayor enfoque en la seguridad y una mejor implementación de las soluciones de ciberseguridad entre las PYMES son sin duda avances positivos. Con la protección de estilo empresarial ahora disponible literalmente para organizaciones de cualquier tamaño, la amenaza se puede minimizar drásticamente para organizaciones de cualquier tamaño.
Sin embargo, incluso con tecnología mejorada para reducir las amenazas, el factor humano sigue siendo una preocupación importante; un solo paso en falso por parte de un empleado puede causar una infracción que conduzca a un incidente de seguridad importante. Para lograr una postura de seguridad realmente efectiva, las PYMES deben implementar sistemas para minimizar el error humano que puede convertir un error no intencional en un desastre de seguridad.
La psicología del error humano
La realidad es esta: los humanos cometemos errores. Un estudio de Tessian encontró que el 88 por ciento de las violaciones de datos pueden vincularse a un error humano. Eso no significa necesariamente que los humanos sean el «eslabón débil» en la seguridad de su organización, pero es importante comprender cómo y por qué cometen estos errores tan humanos. Como señala Tessian, los empleados tienen reacciones psicológicas a los estímulos y juicios que los hacen propensos a cometer errores y ser susceptibles a la manipulación.
Los piratas informáticos utilizan ataques de ingeniería social como el phishing para aprovechar estas tendencias humanas, manipulando hábilmente a los usuarios para que entreguen información confidencial o descarguen y ejecuten malware en sus dispositivos de trabajo.
Los piratas informáticos disfrazan cuidadosamente estos correos electrónicos de phishing para eludir las medidas de seguridad como los filtros de correo no deseado, y las solicitudes de datos confidenciales o acceso a menudo parecen provenir de un colega de confianza. Debido a que tenemos poca resistencia a seguir las solicitudes de nuestros colegas, es muy posible que un miembro del equipo normalmente experto en seguridad haga clic en un enlace malicioso o envíe información confidencial.
Esos clics aparentemente inocentes también hacen que el ransomware sea una amenaza creciente; Tomemos como ejemplo el reciente ciberataque que interrumpió con éxito Garmin Connect, flyGarmin y Garmin Pilot, lo que resultó en cortes de varios días. Según los informes, Garmin pagó el rescate multimillonario para restaurar la funcionalidad en su red de usuarios.
Los ataques masivos como estos son los que obtienen el kilometraje de los medios, pero las PYMES no son inmunes. Casi la mitad (46 por ciento) de las PYMES han sido atacadas por ransomware, y casi tres de cada cuatro víctimas han pagado un rescate para restaurar el control de sus sistemas.
Abordar el problema
Claramente, existe una necesidad crítica de adoptar soluciones técnicas que protejan las áreas vulnerables donde los humanos interactúan con posibles riesgos.
Por ejemplo, la instalación de soluciones de seguridad en cada estación de trabajo, especialmente ahora que gran parte de los negocios del mundo se realizan de forma remota, puede proteger contra ataques que podrían ocurrir en el transcurso de un día laboral típico.
Además, el elemento humano debe tenerse en cuenta al evaluar cualquier estrategia de seguridad. La educación y la formación del personal son cruciales. Los miembros del equipo deben saber cómo utilizar los recursos tecnológicos de la organización de forma segura y adecuada.
Al mismo tiempo, deben poder reconocer ataques de ingeniería social o redes y dispositivos dudosos. La capacitación continua en tiempo real puede ayudar a desarrollar esta mentalidad de seguridad primero.
Así como las PYMES ahora pueden acceder a soluciones de seguridad sólidas para empresas, también pueden aprovechar las aplicaciones y servicios de seguridad que minimizan la participación humana en ciertas tareas. Por ejemplo, muchas empresas todavía procesan los pagos con tarjeta de forma manual y almacenan la información de forma insegura, lo que las expone a filtraciones de datos.
Una solución simple es utilizar un procesador de pago de terceros de confianza que permita a los clientes pagar pedidos y facturas de forma segura sin necesidad de que el personal humano acceda y maneje los datos financieros de los clientes.
Las empresas también deben buscar formas de maximizar las capacidades de sus soluciones de seguridad existentes. Reason for Business, por ejemplo, proporciona herramientas para desarrolladores que permiten a los usuarios integrar su solución de seguridad en otras aplicaciones de la organización.
A través de su SDK y API en la nube, las empresas pueden integrar funciones de protección en sus propias aplicaciones que filtran el spam, las URL sospechosas y los posibles ataques en todos los ámbitos. Sus alertas y notificaciones en tiempo real facilitan mantener informados a los equipos de TI y comunicarse rápidamente cuando surgen problemas de seguridad.
Comprometerse a mejorar
Los ciberataques son parte del panorama empresarial actual; es una amenaza tan real como el incendio, el robo o cualquier otra posible pérdida. Independientemente de su tamaño, las empresas están más enfocadas que nunca en hacer de la ciberseguridad una prioridad para sus organizaciones. Esta mejora en la mentalidad, especialmente entre las PYMES, es digna de mención. La disponibilidad de soluciones tecnológicas asequibles debería permitir que más pymes protejan su infraestructura.
Más allá de estas medidas, las PYMES deben estar más atentas a la gestión del elemento humano de la seguridad. El simple error humano continúa presentando un riesgo muy real.
La capacitación, la automatización y el uso de soluciones que cubren los puntos ciegos de seguridad anteriores ayudarán a desarrollar esa mentalidad crítica de seguridad primero.
