Los errores que ponen en riesgo la ciberseguridad de las PyMEs
Es bien sabido que en América Latina, las pequeñas y medianas empresas (PyMEs) son un gran motor de la economía pues, de acuerdo al Banco de Desarrollo de América Latina, representan más del 90% del total de las empresas y generan cerca de la mitad de los empleos y una cuarta parte del PIB.
Sin embargo, cuando hablamos de ciberseguridad, las pequeñas empresas invierten muy poco o en ocasiones nada en la protección de sus datos, debido a carencia de presupuesto, no contar con alguien dedicado a temas de tecnología o simplemente bajo la creencia de que su información no es ni será de interés para nadie.
Gilberto Vicente, Director de Marketing de Fortinet para Latinoamérica, destacó los cinco errores más comunes que cometen las PyMEs y que pueden poner la información, operación e incluso la existencia de las mismas en riesgo, así como algunas recomendaciones para corregir el rumbo:
- Error 1 – Pensar que la empresa es muy pequeña y los ciberdelincuentes no la atacarán
En realidad no hay compañía pequeña o invisible, las PyMEs se han vuelto un blanco atractivo para el cibercrimen en los últimos años por la poca seguridad con que cuentan. Se estima que al menos 30% de todos los ciberataques van dirigidos a empresas de menos de 250 empleados y en la región se han dado casos en que los cibercriminales usan a las PyMEs como puerta de entrada en ataques dirigidos a grandes empresas o corporativos con los que tienen alguna relación laboral. ¿Qué hacer? Dejar de pensar que no va a pasar nada y poner manos a la obra. - Error 2 – No saber cuál es la información valiosa, dónde está o quién tiene acceso
Es importante que cada PyME conozca la naturaleza de su negocio, su razón de ser y cuál es la información que las hace únicas (por ejemplo, diseños, datos de clientes o tarjetas de crédito, planes, imágenes, patentes, etc.). Hoy la información representa gran parte del valor de cualquier empresa así que las PyMEs deben saber cuál es, dónde está guardada y definir quiénes deben tener acceso a ella. Tener información valiosa o sensible sin la debida protección o políticas de acceso puede ser una bomba de tiempo para cualquier empresa. - Error 3 – Proteger solo las computadoras
La mayoría de las PyMEs que invierten en seguridad se enfocan principalmente en proteger sus computadoras de escritorio o laptops como si aún estuviéramos en los 90s o en la década pasada y se olvidan de blindar sus smartphones o tabletas (desde las cuales también tienen acceso a la información de la empresa cuando no están en la oficina). Por eso, para reducir los riesgos hay que asegurar los datos en donde quiera que estén (dispositivos móviles, en la nube, etc.), y buscar que las conexiones sean seguras. - Error 4 – Pensar que seguridad es igual a antivirus
Los ataques cibernéticos son más sofisticados que antes y van más allá de un malware (código malicioso) o virus, además de que los riesgos aumentan conforme nacen nuevas tecnologías. Por eso, un antivirus brinda solo protección elemental y no es suficiente para el escenario actual. Así que las PyMEs, más que pensar en un producto, deben ver a la ciberseguridad como un camino o estrategia y apoyarse en arquitecturas de seguridad, tecnologías consolidadas (todo-en-uno) que les permitan proteger lo más valioso y les faciliten la vida para poder enfocarse en su negocio.Afortunadamente hoy hay muchas ofertas en el mercado y compañías especializadas en brindar asesoría y las mejores recomendaciones a las pequeñas empresas para proteger su negocio según la etapa en la que estén. Es fundamental evaluar muy bien las credenciales y capacidades de ejecución (presencia local, soporte técnico en español, personal en el país, base instalada de clientes, etc.) de su proveedor/fabricante, validar que estas sean reales y no solo una promesa, lo mismo que cuestionar aquellas empresas que solo sugieren/venden basados en reportes de analistas o que presumen tener como clientes a empresas del Fortune X. - Error 5 – Olvidarse de los empleados y el factor humano
Independientemente de la tecnología o su nivel de ciberseguridad, las pequeñas empresas deben capacitar a sus empleados en temas de protección de información, sin importar cuántos sean, a qué se dediquen o dónde estén. ¿Por qué esto es importante? Porque una mala acción o error de un empleado (como dar clic para abrir un archivo adjunto a un correo o enviar información a una persona equivocada) puede poner en riesgo a toda la empresa. Así que no hay que dejar de lado al factor humano, pues suele ser la primera línea de defensa.
