Las pequeñas y medianas empresas (pymes) de todo el mundo se enfrentan a retos sin precedentes en sus operaciones. Ante este panorama, ¿cómo saben en qué enfocarse para mantenerse seguros? ¿cómo protegen a su compañía de los ataques, si están operando con menos empleados?
La industria de la seguridad ha sido injustamente dura con las pequeñas y medianas empresas a la hora de reconocer lo bien que se prioriza la ciberseguridad.
De acuerdo con un informe, basado en una encuesta realizada a 500 pymes -definidas aquí como organizaciones con 250-499 empleados-, y realizado en 13 países, incluyendo Brasil y México, revela que no sólo se toman la seguridad muy en serio, sino que su enfoque innovador y empresarial de la seguridad también está dando frutos.
Es hora de acabar con algunos mitos sobre la forma en que las pequeñas y medianas empresas utilizan sus recursos de seguridad cibernética.
Mito 1: Solo las organizaciones grandes enfrentan el escrutinio público, en todas sus formas
Falso, el año pasado ambas enfrentaron el mismo nivel de escrutinio público.
74% de las pymes recibieron preguntas de los clientes y prospectos sobre cómo estaban manejando sus datos, comparado con el 77% de las organizaciones grandes.
Mito 2: Las organizaciones grandes tienen menos tiempo de inactividad (downtime) y se recuperan más rápido de los ataques.
Falso: La información muestra que hay una muy ligera diferencia entre el tiempo inactivo que tiene una empresa grande y una pequeña.
El año pasado, 24% de las pymes enfrentaron downtimes de más de 8 horas de su violación de seguridad más severa, comparado con 31% de las organizaciones grandes.
Mito 3: Las pymes no tienen personal dedicado a la seguridad
Falso: Puede ser el caso de algunas ya que menos del 1% dijeron que no tenían a nadie dedicado a la seguridad.
60% reportó tener más de 20 personas dedicadas, incluyendo los que tienen de manera externa a través de algún proveedor.
Mito 4: Las grandes corporaciones tienen infraestructura más actualizada
Parcialmente cierto: 54% de los grandes corporativas dicen que su tecnología está actualizada en comparación del 42% de las pymes.
94% de las las pequeñas y medianas empresas dicen que hacen actualizaciones regularmente o constantemente.
Mito 5: Las pymes se enfrentan a amenazas diferentes que las grandes empresas
Parcialmente cierto: En tanto que las tácticas son comparables, los criminales son diferentes. Se compararon los tipos de ataques que tanto las pymes y las grandes empresas informaron que experimentaron durante el último año. También se comparó la cantidad de tiempo de inactividad causados por los ataques.
Muchos, como el ransomware, no discriminan por tamaño de negocio. Las amenazas afectan a las organizaciones indiscriminadamente, sin importar su tamaño.
Mito 6: Las pymes no son proactivas en detectar amenazas
Falso: 72% de ellas tienen empleados dedicados a detectar amenazas, comparado con el 76% de las organizaciones grandes.
Mito 7: Las empresas pequeñas no prueban sus planes de respuesta a incidentes con simulacros
Falso. Solo el 1% de las pymes no realizan nunca una prueba de su plan. 46% de ellas lo prueban cada 6 meses, en comparación con el 49% de las organizaciones grandes.
Mito 8: El liderazgo de las pymes no toma en serio la seguridad y la privacidad de los datos
Falso: Con los datos tomados de tres preguntas de la encuesta sobre la privacidad de datos, programas de concientización sobre ciberseguridad, y el compromiso de los ejecutivos con la seguridad desde el inicio, demostramos que este mito no es real. El liderazgo ejecutivo está informado y comprometido.
Mito 9: Organizaciones más pequeñas no “aplican parches” con regularidad en las vulnerabilidades
Falso: 56% de las pymes “aplican parches” cada semana o semanalmente, comparado con el 58% de las empresas grandes.
Mito 10: Las pymes no pueden medir la eficacia de sus programas de seguridad
Falso: 86% de las pymes dicen tener métricas claras para evaluar la efectividad de su programa de seguridad, comparado con el 90% de las organizaciones grandes.
Las pequeñas y medianas empresas tienen la necesidad de simplificar la seguridad y la orientación para mantener la seguridad en el cambio a una fuerza laboral remota.
Hacer que la seguridad sea tan simple como sea posible, pero no menos efectiva, ha sido durante mucho tiempo una guía. Pero encontrar datos que apoyen la eficacia de un menor número de proveedores ha sido difícil de conseguir.
En este estudio, el mayor número de proveedores que los encuestados utilizaron se tradujo claramente en un mayor tiempo de inactividad reportado de su infracción más grave. Esto varió de un promedio de cuatro horas usando un proveedor, a un promedio de más de 17 horas usando más de 50 proveedores. Estos datos son convincentes para apoyar la tendencia de consolidación de proveedores.
Una preocupación más apremiante para muchos es adaptarse a una postura de trabajo remota. Teniendo en cuenta esta nueva realidad, se necesita una estrategia para proteger a los empleados y dispositivos fuera del sitio, al tiempo que se admite la flexibilidad y la capacidad de respuesta.
Por Ghassan Dreibi, Director de Seguridad para Cisco América Latina
