Por Ghassan Dreibi, Director de Seguridad para Cisco Latinoamérica
Es emocionante liderar la seguridad en pequeñas y medianas empresas. Nos enfrentamos a muchas de las mismas amenazas como empresas. Con el creciente énfasis en la seguridad de la cadena de suministro, compartimos las mismas obligaciones de cumplimiento.
Estamos más cerca del liderazgo empresarial y más cerca del equipo de TI. Con una fracción de los recursos, logramos lo imposible trimestre tras trimestre, año tras año. Es emocionante, pero no está exento de incertidumbre.
Mientras definimos la estrategia e implementamos programas de seguridad, durante mucho tiempo ha habido un punto ciego en la eficacia de una práctica determinada.
¿Existe evidencia de que las inversiones en seguridad resultan en resultados mensurables? ¿Cómo sabemos qué funciona y qué no? Estas son las preguntas que el Estudio de Resultados de Seguridad de Cisco para pequeñas y medianas empresas (SMB) busca responder.
Prácticas probadas para resultados de seguridad
Más de 4,800 profesionales activos de TI, seguridad y privacidad de todo el mundo participaron en el estudio. De estos, 857 representan pymes y sus respuestas forman la base de este informe.
En los equipos de seguridad de las pequeñas y medianas empresas no hay cabida para cometer errores. Con equipos pequeños y presupuestos reducidos, existe una mayor presión para aprovechar al máximo lo que se tiene. No se puede subestimar el valor de este estudio para identificar qué es lo que contribuye a una seguridad exitosa.
El informe se estructura en torno a los temas de habilitación de negocios, gestión de riesgos y funcionamiento eficiente. Una forma en que los líderes pueden usar este informe es seleccionar un tema principal, encontrar los resultados bajo ese tema y trabajar en las prácticas que están correlacionadas con ese resultado.
Por ejemplo, dado el objetivo de mantenerse al día con el negocio, podemos ver que prácticas como la resiliencia de la respuesta a incidentes y la recuperación ante desastres, proporcionan un papel sorprendente.
Dado que el informe examina 25 prácticas de seguridad y destaca qué acciones aumentan las posibilidades de lograr resultados de seguridad, también podemos utilizar estos hallazgos para maximizar los datos existentes.
Como ejemplo, tomemos la creación de una referencia cultural de seguridad. Esto a menudo se asocia con el aprendizaje de incidentes anteriores y la creación de una estrategia de seguridad sólida. Una organización con un fuerte programa de cultura puede ampliar el programa para incluir esas prácticas, amplificando así lo que ya va bien.
Conductores para el éxito de la seguridad de las pymes
Los éxitos a celebrar son algo que busco en informes tales como este estudio. Las pequeñas y medianas empresas superan a sus contrapartes más grandes para mantenerse al día con el negocio. También hay pruebas convincentes de que el poder de IT y la seguridad trabajan juntos para gestionar mejor los riesgos ¿La causa? Tal vez la reducción de silos y capas. Tal vez las fuertes relaciones que promueve ser parte de una organización más pequeña.
Sin embargo, estos hallazgos son un recordatorio de que el tamaño pequeño de su empresa no debería impedirle construir un programa de ciberseguridad. De hecho, el informe reveló tres prácticas que son factores clave para el éxito general de este programa:
1. Enfoque: no pierda de vista sus prioridades. El enfoque es fundamental para ejecutar cualquier estrategia de seguridad, pero eso es especialmente cierto cuando su equipo de TI se extiende en muchas direcciones.
2. Resiliencia: el éxito radica en prepararse para fracasar. La planificación de la resiliencia brinda frutos a lo grande, y la pronta recuperación ante desastres es el mayor diferenciador de éxito para las pymes.
3. Modernización: las amenazas modernas necesitan tecnología moderna. Las pequeñas y medianas empresas con tecnológica moderna logran tasas de éxito más altas en cada uno de los 11 resultados que medimos.
Defender a las organizaciones contra las amenazas cibernéticas es difícil para cualquier negocio, independientemente del tamaño, especialmente cuando los recursos son limitados.
Hallazgos clave del estudio
Uno de los descubrimientos más relevantes del estudio de Resultados de Seguridad de Cisco, fue que el mayor desafío para el 44% de las compañías es mantener el negocio funcionando.
En cuanto a una estrategia de ciberseguridad, las pymes alcanzan un 8.4% en las probabilidades de éxito, en comparación con el 6.1% de las empresas medianas y grandes.
En lo que se refiere a una actualización tecnológica proactiva, las pymes suman 19.2%, a diferencia del 12.7% de las medianas y grandes. Frente a una pronta recuperación ante desastres, el porcentaje es de 13.4%; aprendizaje de incidentes previos (8.1%); tecnología bien integrada (15.8%); y suficiente tecnología de seguridad (5.8%).
Conclusiones
En opinión de Saúl Olivera, GTM Regional Sales Manager de Cisco, las pymes representan un segmento muy vulnerable en estos tiempos, debido a que en muchas ocasiones no cuentan con un staff preparado, en comparación con una empresa grande; no tienen una cultura arraigada de ciberseguridad, y en muchos casos carecen de una estrategia bien establecida de seguridad.
El éxito de las pymes depende de estar preparadas para el fracaso y para un ataque inminente; necesitan contar con prácticas de recuperación, una estrategia clara, resiliencia, y perder el miedo a la complejidad de la tecnología, que ya no es exclusiva de las grandes empresas.
Las pymes que procativa y regularmente realicen actualizaciones a las mejores tecnologías de seguridad y TI disponibles, lograrán mayores tasas de éxito.
Las pequeñas y medianas empresas ya comienzan a ‘despertar’ y estar más preparadas; están al tanto de la tecnología y las amenazas; están tecnificadas; dependen de la tecnología de forma importante para habilitar su negocio y son el motor de las economías. Tienen, además, el potencial de enseñar a las grandes empresas buenas prácticas, agilidad, flexibilidad y adopción.
Yair Lelis, Cybersecurity Regional Sales Manager, sugiere a las pymes adoptar prácticas de seguridad –las que sean, pero adoptarlas–; incentivar a que los responsables se sientan más confiados de tener al menos algo que les ayude a defenderse, y luego, armar la estrategia.