Foto: Sergio Cara (NotiPress)
A medida que las organizaciones más grandes refuerzan su ciberseguridad contra los ataques, los ciberdelincuentes se están moviendo hacia organizaciones más pequeñas. Para los ciberdelincuentes, es simplemente un juego de números, describe Alexis Aguirre, director de ciberseguridad para Unisys en Latinoamérica para NotiPress. Desafortunadamente, debido a las limitaciones de recursos y otros factores, muchas pequeñas y medianas empresas (pymes) se quedan atrás en las inversiones en seguridad.
Para una pyme, el impacto de un incidente de ciberseguridad puede ser devastador, ya que puede costar la pérdida de los clientes y/o socios comerciales. De igual manera, puede afectar la reputación y confianza para hacer negocios de nuevo con la organización. Por lo tanto, vale la pena comprender e invertir para garantizar la operación de las pymes de una manera cibersegura.
Hay algunos pasos sencillos para garantizar la ciberseguridad de una pyme con poco presupuesto. Esto a fin de mejorar su respuesta y postura ante esta seguridad y mantener el línea a los hackers y ciberdelincuentes.
Enfoque: Las pymes deben ver la ciberseguridad como un facilitador comercial y no como una carga, sugiere Aguirre. Esto requiere alinear la inversión en ciberseguridad con las iniciativas comerciales clave y asegurarse de que está realizando negocios de una manera cibersegura.
Gestión de riesgos: La gestión de riesgos es clave para la supervivencia empresarial, indica el experto en seguridad informática. "Entendemos la necesidad de la gestión de riesgos financieros y la gestión de riesgos legales; la gestión de riesgos de ciberseguridad no es diferente". En este sentido, se debe comprender el perfil de riesgo cibernético y la exposición de la organización e invertir en consecuencia para protegerla.
Conocer al enemigo: Es importante saber quién te ataca y cómo, por ejemplo, las organizaciones más grandes invierten en inteligencia de amenazas. Bajo esta línea, si una pyme tiene poco presupuesto, pueden simplemente hacer su propia investigación y comprender esto. El phishing y el compromiso del correo electrónico comercial son problemas importantes que afectan a las empresas en la actualidad; comprender cuáles son es esencial para estar protegido.
A continuación, los cuatro tipos de controles o enfoques que se pueden utilizar en un contexto de ciberseguridad en las pymes:
- Predecir: Sistemas, herramientas, políticas y procedimientos que ayudan a detectar vulnerabilidades en los sistemas y predecir posibles vías de ataque.
- Prevenir: Sistemas, herramientas, políticas y procedimientos que evitan las amenazas que afectan a los sistemas. Un ejemplo sería el firewall corporativo.
- Detectar: Sistemas, herramientas, políticas y procedimientos que brindan la capacidad de detectar amenazas que pueden estar afectando al sistema. Un ejemplo aquí sería un sistema de detección de intrusiones.
- Responder: Sistemas, herramientas, políticas y procedimientos que permiten responder a las amenazas y contenerlas o erradicarlas. Un ejemplo de política sería el Plan corporativo de respuesta a incidentes y las herramientas asociadas, como un sistema de gestión de eventos e información de seguridad (SIEM).
"Como ocurre con la mayoría de las cosas, la regla 80/20 también se aplica a la ciberseguridad. Con esto quiero decir que el 20% del esfuerzo puede mitigar el 80% de los riesgos, si te enfocas en las cosas correctas", comentó Aguirre. Además, compartió tres consejos para comenzar a implementar la ciberseguridad dentro de una pyme:
El primero de ellos es la "Inteligencia de amenazas: realizar una investigación básica y descubrir qué y cómo los ciberdelincuentes se dirigen a las pymes. "Luego hazte la siguiente pregunta: ¿contamos con todas las medidas de ciberseguridad adecuadas?", comenta Aguirre.
Tener en cuenta la conciencia del usuario y el cambio cultural: los mayores activos de seguridad y vulnerabilidad son el personal. Es importante asegurarse que comprendan los conceptos básicos de ciberseguridad y que puedan identificar amenazas de ciberseguridad. Por ejemplo, un correo electrónico de apariencia poco fiable o una solicitud de pago inmediato de una factura que no se ve bien.
Hacer análisis de riesgo: Comprende la postura de riesgo en función de las actividades comerciales y asegurarse que se está haciendo lo básico.
Pensar que las inversiones en seguridad son algo solo para las grandes compañías es pensar de manera pequeña, sentencia Aguirre. Aunque una compañía no sea un gigante, no significa que una estrategia de ciberseguridad no lo pueda ser.
DESCARGA LA NOTA SÍGUENOS EN GOOGLE NEWS