Visualizar la importancia de la seguridad cibernética
Por Dave Russell, vicepresidente de Estrategia Empresarial de Veeam; y Rick Vanover, director senior de Estrategia de Productos de Veeam.
En el mundo digital, donde todos nuestros datos personales y profesionales se almacenan en línea, la protección de datos es un aspecto crucial que no podemos pasar por alto. Ahora que se acerca el Día de las Micro, Pequeñas y Medianas Empresas (MiPyMEs) –fecha promovida por la ONU para generar conciencia sobre la contribución de estas organizaciones a la economía global–, este 27 de junio, es el momento ideal para ahondar sobre las necesidades en torno a la seguridad cibernética de este fundamental nicho de negocios.
Según el Reporte de Tendencias de Protección de Datos 2023, de Veeam, los ciberataques causaron las interrupciones más impactantes para las organizaciones en 2020, 2021 y 2022, y el 85% de los negocios fueron atacados al menos una vez en el último año. Si esto es así en general, es un hecho que los negocios más pequeños se encuentran ante un enorme riesgo.
¿Qué hace a las MiPyMEs vulnerables?
Existe la idea común de que las empresas más pequeñas no son un objetivo y que están a salvo de las amenazas, pero no es así; por el contrario, enfrentan un panorama preocupante. Si bien cualquier organización podría recibir ciberataques, las MiPyMEs están en la mira debido a que sus medidas de seguridad de datos suelen ser débiles.
De acuerdo con Cyberpeace[1], es la ausencia de sistemas de monitoreo de alta tecnología en estas organizaciones lo que atrae a los ciberdelincuentes, pues las acciones de estos últimos no son detectadas. Además, este tipo de empresas suelen tener brechas de seguridad (como no respaldar datos críticos y no contar con políticas de seguridad adecuadas), lo que facilita la labor de los atacantes. Según indica el estudio, el 43% de todos los ciberataques, los reciben las startups y PyMEs, 47% de ellas no saben gestionar los riesgos cibernéticos y 6 de cada 10 de las que han sido atacadas cierran a los 6 meses de los hechos.
La mayoría de las veces, las PyMEs tienen presupuestos limitados para la protección cibernética. Al no contar con una infraestructura de ciberseguridad adecuada para enfrentar las nuevas amenazas, es evidente que están en una posición de desventaja; en cambio, las que deciden actualizarse en este concepto están más protegidas para los desafíos del futuro.
¿Los seguros cibernéticos son una opción?
Las pólizas de seguro cibernético básicas podrían ofrecer una opción para las pequeñas y medianas empresas. No obstante, con el aumento del número y sofisticación de los ataques de ransomware, contar con una póliza adecuada en escala a los peligros actuales suele ser algo inalcanzable para la mayoría de las PyMEs, hoy en día.
Las aseguradoras están imponiendo más regulaciones a sus pólizas, lo que significa que las empresas deben invertir en medidas de ciberseguridad adicionales para ser elegibles para un reclamo, en caso de ser atacadas. Entre las políticas que las compañías de seguros exigen a sus clientes está contar con un sistema de gestión de activos y procesos de parcheo de vulnerabilidades documentado, los cuales son costos ocultos que hacen cada vez más difícil para las PyMEs financiar un seguro para protegerse.
También hay que decir que contar con un seguro, si bien ayuda para la tranquilidad de quienes los contratan, no lo es todo. Según el Informe de Tendencias de Ransomware 2023 de Veeam, el 77% de las organizaciones latinoamericanas (de todos los tamaños y giros empresariales) pagaron por rescatar su información por ataques de ransomware vía su aseguradora, pero aun así el 14% no pudieron recuperar sus datos.
Ahora bien, incluso si el pago cubierto por el seguro es exitoso, y la compañía recupera sus datos, todavía quedaría pendiente resolver los desafíos de la recuperación ante el impacto. La mejor opción, si se decide contar con un seguro, es que éste forme parte de una estrategia de resiliencia digital más amplia.
¿Cuál es, entonces, el camino a seguir?
Tanto si se tiene un seguro cibernético como si no es posible pagarlo, por tema de costos o adecuación, hay una serie de prácticas que pueden utilizarse para reforzar la protección y, de esta forma, cuidar los datos más críticos del negocio de manera rentable y efectiva.
Es crucial que las MiPyMEs mantengan prácticas básicas de higiene digital. Lo primero es asegurarse de que sus empleados sepan cómo identificar enlaces sospechosos para evitar hacer clic en correos electrónicos de ransomware, phishing y demás. Ejercicios simples como evaluaciones de riesgo periódicas y pruebas de penetración para evaluar la seguridad del sistema pueden ayudar también a prevenir los peligros cibernéticos. E igualmente importante sería designar recursos para la ciberseguridad y especializarse en protección de datos: ésta, junto con la regulación de sus políticas cibernéticas, debe ser obligatoria para toda empresa, independientemente de su escala.
Finalmente, otro consejo útil es aplicar la Regla 3-2-1-1-0, buena práctica que no debe faltar en las empresas. Ésta significa que siempre debe haber, al menos, 3 respaldos de los datos; en, al menos, 2 tipos diferentes de medios; con 1 o más de las copias fuera de sitio (offsite) y 1 o más fuera de línea (offline), y con 0 respaldos no verificados o con errores.
En esta era tan complicada, donde las dinámicas empresariales son cada vez más digitales y las vulnerabilidades y peligros cibernéticos están a la orden del día, que las MiPyMEs tomen las riendas de la protección de sus datos puede marcar la diferencia entre continuar hacia su éxito o sucumbir.