¿Qué deberían hacer las PYMEs cuando se vuelven «Ciber-Inasegurables»?

Por Dave Russell, Vicepresidente de Estrategia Empresarial, Veeam, y Rick Vanover, Director Senior de Estrategia de Producto, Veeam.

467
En un mundo digital donde todos nuestros datos, ya sean personales o profesionales, se almacenan en línea, su protección es un aspecto crucial que no puede pasarse por alto. A pesar de los esfuerzos realizados en incentivar a las empresas a priorizar la protección de datos mediante ciberseguros, muchas pequeñas y medianas empresas (PYMEs) continúan sin estar aseguradas. Por desgracia, la idea de que las PYMEs no son un objetivo y están a salvo de las amenazas está muy lejos de la realidad.
Según una encuesta de Markel, más de la mitad de las PYMEs encuestadas fueron víctimas de una debilidad en su sistema de ciberseguridad a finales de 2021. El aumento del trabajo híbrido, combinado con la limitada experiencia de los colaboradores, ha hecho que estas sean cada vez más vulnerables a los ciberataques. En julio de 2022, un nuevo tipo de ataque de ransomware llamado «BazarCall» se dirigió a las PYMEs y fue denunciado por el CFC Underwriting. BazarCall representó el 10% de los incidentes de malware durante un periodo de tres meses.
El Reporte de Protección de Datos 2023 de Veeam reveló que los ciberataques causaron las peores interrupciones operativas en organizaciones durante los años 2020, 2021 y 2022, y el 85% de las mismas fueron atacadas al menos una vez en los últimos 12 meses. Esto sugiere que, a pesar de la avanzada digitalización, el aumento de la concienciación y la preparación, el ransomware sigue ganando la batalla.

¿Qué hace a las PYMEs tan vulnerables a los ciberataques?

Empresas de cualquier tamaño son vulnerables a ciberataques, aunque las PYMEs lo son en particular, debido a las medidas inadecuadas de seguridad de datos que poseen. En la mayoría de los casos, las PYMEs disponen de presupuestos limitados para la ciber protección. Un informe de la CyberPeace Foundation descubrió que la ausencia de sistemas de vigilancia de alta tecnología en las PYMEs atrae particularmente a los ciberdelincuentes para que fuercen la entrada en sus sistemas, ya que sus acciones son imposibles de detectar. El informe también menciona cómo las lagunas de seguridad, como la falta de backup de datos, sumado a políticas de ciberseguridad deficientes, pueden dar lugar a ciberataques.
Dada la escala del negocio, las PYMEs suelen centrarse más en reforzar sus estrategias empresariales para competir con los gigantes del sector. En ese caso, suelen optar por renunciar a invertir en soluciones de ciberseguridad como backup de sus datos y ciberseguros, porque creen que sólo las organizaciones a gran escala corren el riesgo de sufrir un ciberataque. Como resultado, la planificación de la ciberseguridad suele quedar en segundo plano.
Otra de las principales razones por las que las PYMEs no invierten en ciberseguros es la falta de expertos técnicos para integrar las medidas de seguridad esenciales y el aumento de los costos de contratación de una póliza. Una encuesta de Global Data realizada en 2021 sugiere que aproximadamente el 29% de las PYMEs cancelaron su ciberseguro para reducir costos.
Cuanto más dependen de la tecnología para trabajar, las PYMEs se vuelven más vulnerables a las ciber amenazas, por eso se las anima a hacer hincapié en sus presupuestos de ciberseguridad. El Informe sobre Ciberseguros de Deloitte descubrió que el 63% de las empresas medianas han informado ciberataques durante el 2019, en comparación con el 36% de 2018. Sin embargo, si el seguro está fuera de discusión debido a problemas presupuestarios, tomar otro tipo de precauciones, como comprar soluciones de ciberseguridad y hacer copias de seguridad de los datos, puede ayudar.
El camino a seguir para las PYMEs
Es vital que las organizaciones mantengan prácticas básicas de higiene digital. Todas las empresas necesitan un responsable de seguridad informática con acceso a los directivos de la empresa y con autoridad para dirigir la iniciativa de seguridad. Las empresas más pequeñas también necesitan asignar recursos para la ciberseguridad, especializados en la protección de datos, ya sean propios de la organización o subcontratados. También deben aplicar otras medidas importantes de ciberseguridad, como programas antivirus, un Firewall potente y asegurarse de que los empleados sepan identificar enlaces sospechosos para evitar hacer clic en correos electrónicos con ransomware.
Por último, hay un componente de ciberseguridad fundamental que las PYMES deben tener en cuenta: el backup de los datos con protección air-gapped. Las organizaciones deben garantizar la protección total de sus sistemas de datos con backup y recuperación en todas las formas de almacenamiento. Veeam aboga por la regla del backup 3-2-1-1-0. Siempre debe haber al menos tres copias de seguridad de los datos más importantes, en al menos dos tipos diferentes de medios, al menos una fuera del sitio y otra fuera de línea, con cero copias de seguridad no verificadas o con errores. Según el Reporte de Tendencias de Protección de Datos 2023 de Veeam, el aspecto más importante que las organizaciones buscan en una solución de Protección de Datos Moderna es la «integración de la protección de datos dentro de una estrategia de preparación cibernética».
Incluso ejercicios sencillos como las evaluaciones periódicas de riesgos y las pruebas de penetración para evaluar la seguridad del sistema, pueden ayudar a prevenir los ciberpeligros. Por lo tanto, las PYMEs que no pueden permitirse un seguro cibernético caro pueden aplicar estas prácticas rentables para proteger los datos de su organización. Cuanto más convencidas estén las PYMEs de la necesidad de una buena higiene digital, más alerta estarán. Salvaguardar los datos junto con la regulación de sus políticas debería ser obligatorio. Los ciberataques son reales y no deben descuidarse las medidas para prevenirlos, independientemente de la escala de su empresa.