Por: Scott Woodgate, director general de protección contra amenazas.
Octubre llegó a su fin y marcó los 21 años del Mes de la Concientización sobre la Ciberseguridad, los ciberataques son todavía un desafío para las empresas de todos los tamaños, sin embargo, las pequeñas y medianas empresas (PyMEs) enfrentan distintos desafíos en lo que respecta a la ciberseguridad. Aunque las PyMEs se enfrentan a mayores amenazas de ciberseguridad, a diferencia de las grandes empresas, a menudo carecen de los recursos y la experiencia para implementar medidas de seguridad extensas o administrar soluciones de seguridad complejas, lo que las convierte en objetivos principales para los malos actores. Tanto los riesgos a los que se enfrentan las PyMEs como su nivel actual de preparación para la seguridad no se comprenden de manera amplia.
Para ayudarnos a comprender mejor las necesidades y tendencias de seguridad de las PyMEs, Microsoft se asoció con Bredin, una empresa especializada en investigación e información sobre PyMEs, para realizar una encuesta centrada en la seguridad para empresas de 25 a 299 empleados. A medida que compartimos estos datos a continuación, y las acciones iniciales que se pueden tomar para abordarlos, las PyMEs también pueden encontrar mejores prácticas adicionales para mantenerse seguras en el Kit Be Cybersmart.
1. Una de cada tres PyMEs ha sido víctima de un ciberataque
Con el aumento de los ciberataques, las PyMEs se ven cada vez más afectadas. Las investigaciones muestran que el 31% de las PyMEs han sido víctimas de ciberataques como ransomware, phishing o violaciones de datos. A pesar de ello, muchas PyMEs tienen todavía conceptos erróneos que aumentan su riesgo y vulnerabilidad. Algunos creen que son demasiado pequeños para ser atacados por piratas informáticos o asumen que el cumplimiento equivale a la seguridad. Es crucial comprender que los malos actores representan una amenaza para las empresas de todos los tamaños, y la complacencia en la ciberseguridad puede generar riesgos significativos.
¿Cómo pueden abordar esto las PyMEs?
Microsoft, en colaboración con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) y la Alianza Nacional de Ciberseguridad (NCA, por sus siglas en inglés), ha esbozado cuatro prácticas recomendadas sencillas para crear una base sólida de ciberseguridad.
- Usar contraseñas seguras y considerar un administrador de contraseñas.
- Activar la autenticación multifactor.
- Aprender a reconocer y denunciar el phishing.
- Asegurarse de mantener su software actualizado.
2. Los ciberataques cuestan a las PyMEs más de 250 mil dólares de media y hasta 7 millones de dólares
Los costos inesperados de un ciberataque pueden ser devastadores para una PyME y dificultar la recuperación financiera. Estos costos pueden incluir gastos incurridos para los esfuerzos de investigación y recuperación para resolver el incidente, y multas asociadas relacionadas con una violación de datos. Los ciberataques no solo presentan una tensión financiera inmediata, sino que también pueden tener impactos a largo plazo en una PyME. La disminución de la confianza de los clientes debido a un ciberataque puede causar un daño más amplio a la reputación y perder oportunidades de negocio en el futuro. Es difícil anticipar el impacto de un ciberataque porque el tiempo que se tarda en recuperarse puede variar de un día a más de un mes. Si bien muchas PyMEs son optimistas sobre su capacidad para resistir un ataque cibernético, algunas no estiman con precisión el tiempo necesario para restaurar las operaciones y reanudar las actividades comerciales normales
¿Cómo pueden abordar esto las PyMEs?
Las PyMEs pueden llevar a cabo una evaluación de riesgos de ciberseguridad para comprender las brechas de seguridad y determinar los pasos para resolverlas. Estas evaluaciones pueden ayudar a las PyMEs a descubrir áreas abiertas a ataques para minimizarlos, garantizar el cumplimiento de los requisitos normativos, establecer planes de respuesta a incidentes y mucho más. La planificación eficaz y proactiva puede ayudar a minimizar los costes financieros, de reputación y operativos asociados a un ciberataque en caso de que se produzca. Muchas organizaciones proporcionan evaluaciones de autoservicio, y trabajar con un especialista en seguridad o un proveedor de servicios de seguridad puede aportar experiencia y orientación adicionales a lo largo del proceso, según sea necesario.
3. El 81% de las PyMEs cree que la IA aumenta la necesidad de controles de seguridad adicionales
El rápido avance de las tecnologías de IA y la facilidad de uso a través de interfaces de usuario simples crea desafíos notables para las PyMEs cuando los empleados las utilizan. Sin las herramientas adecuadas para proteger los datos de la empresa, el uso de la IA puede hacer que la información sensible o confidencial caiga en las manos equivocadas. Por fortuna, más de la mitad de las empresas que en la actualidad no utilizan herramientas de seguridad de IA tienen la intención de implementarlas en los próximos seis meses para una seguridad más avanzada.
¿Cómo pueden abordar esto las PyMEs?
La seguridad y la gobernanza de los datos desempeñan un papel fundamental en el éxito de la adopción y el uso de la IA. La seguridad de los datos, que incluye el etiquetado y el cifrado de documentos e información, puede mitigar la posibilidad de que se haga referencia a información restringida en las indicaciones de IA. La gobernanza de datos, o el proceso de administración, comprensión y protección de datos, puede ayudar a establecer un marco para organizar de manera eficaz los datos que contienen.
4. El 94% considera que la ciberseguridad es fundamental para su negocio
Al reconocer la importancia crítica de la ciberseguridad, el 94% de las PyMEs la consideran esencial para sus operaciones. Si bien no siempre se consideró una prioridad debido a los recursos limitados y la experiencia interna, el aumento de las amenazas cibernéticas y la mayor sofisticación de los ataques cibernéticos ahora plantean riesgos significativos para las PyMEs que son reconocidos de manera amplia en todo el espacio de las PyMEs. La gestión de los datos de trabajo en dispositivos personales, el ransomware, el phishing, etc., se citan como los principales retos a los que se enfrentan las PyMEs.
¿Cómo pueden abordar esto las PyMEs?
Para las PyMEs que quieran empezar a utilizar los recursos disponibles para formar y educar a los empleados, se proporcionan temas de seguridad como Cybersecurity 101, phishing y mucho más a través del sitio de concienciación sobre ciberseguridad de Microsoft.
5. Menos del 30% de las PyMEs gestionan su seguridad de manera interna
Dados los recursos limitados y la experiencia interna de las PyMEs, muchas recurren a especialistas en seguridad en busca de ayuda. Menos del 30% de las PyMEs gestionan la seguridad de manera interna y, por lo general, confían en consultores de seguridad o proveedores de servicios para gestionar las necesidades de seguridad. Estos profesionales de la seguridad brindan un apoyo crucial en la investigación, selección e implementación de soluciones de ciberseguridad, lo que garantiza que las PyMEs estén protegidas de nuevas amenazas.
¿Cómo pueden abordar esto las PyMEs?
La contratación de un proveedor de servicios gestionados (MSP, por sus siglas en inglés) se utiliza de manera habitual para complementar las operaciones empresariales internas. Los MSP son organizaciones que ayudan a administrar amplios servicios de TI, incluida la seguridad, y sirven como socios estratégicos para mejorar la eficiencia y supervisar las actividades diarias de TI. Ejemplos de soporte de seguridad pueden consistir en investigar e identificar la solución de seguridad adecuada para una empresa en función de necesidades y requisitos específicos. Además, los MSP pueden implementar y administrar la solución mediante la configuración de políticas de seguridad y la respuesta a incidentes en nombre de las PyMEs. Este modelo permite que las PyMEs dispongan de más tiempo para centrarse en los objetivos empresariales principales, mientras que los MSP mantienen el negocio protegido.
6. El 80% tiene la intención de aumentar su gasto en ciberseguridad, con la protección de datos como principal área de gasto
Dada la mayor importancia de la seguridad, el 80% de las PyMEs tienen la intención de aumentar el gasto en ciberseguridad. Los principales motivadores son la protección contra pérdidas financieras y la protección de los datos de los clientes. No es de extrañar que la protección de datos sea la principal área de inversión, ya que el 65% de las PyMEs afirman que es allí donde se asignará un mayor gasto, lo que valida la necesidad de seguridad adicional con el auge de la IA. Otras áreas principales de gasto incluyen servicios de firewall, protección contra phishing, ransomware y protección de dispositivos, control de acceso y administración de identidades.
¿Cómo pueden abordar esto las PyMEs?
Al priorizar estas inversiones en las áreas anteriores, las PyMEs pueden mejorar la postura de seguridad y reducir el riesgo de ciberataques. Soluciones como la prevención de pérdida de datos (DLP, por sus siglas en inglés) ayudan a identificar actividades sospechosas y evitan que los datos confidenciales se filtren fuera de la empresa, la detección y respuesta de endpoints (EDR, por sus siglas en inglés) ayuda a proteger los dispositivos y defenderse de las amenazas, y la gestión de identidades y accesos (IAM, por sus siglas en inglés) ayuda a garantizar que solo las personas adecuadas tengan acceso a la información correcta.
7. El 68% de las PyMEs considera que el acceso seguro a los datos es un desafío para los trabajadores remotos
La transición a modelos de trabajo híbridos ha traído nuevos desafíos de seguridad para las PyMEs, y estos problemas continuarán a medida que el trabajo híbrido se convierta en un elemento permanente. Dado que el 68% de las PyMEs emplean trabajadores remotos o híbridos, garantizar un acceso seguro para los empleados remotos es cada vez más crítico. Un 75% de las PyMEs están preocupadas por la pérdida de datos en los dispositivos personales. Para proteger la información confidencial en un entorno de trabajo híbrido, es vital implementar soluciones de gestión y seguridad de dispositivos para que los empleados puedan trabajar de forma segura desde cualquier lugar.
¿Cómo pueden abordar esto las PyMEs?
Implementen medidas para proteger los datos y los dispositivos conectados a Internet que incluyan la instalación inmediata de actualizaciones de software, la garantía de que las aplicaciones móviles se descarguen de tiendas de aplicaciones legítimas y la abstención de compartir credenciales por correo electrónico o mensaje de texto, y solo hacerlo por teléfono en tiempo real.
Siguientes pasos con Microsoft Security
- Lean el informe completo para obtener más información sobre cómo la seguridad todavía desempeña un papel importante para las PyMEs.
- Obtengan el kit Be Cybersmart para ayudar a educar a todos los miembros de su organización con recursos de concientización sobre ciberseguridad.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.