Los ataques cibernéticos, muchos han notado, son el crimen económico de más rápido crecimiento no solo en los Estados Unidos, sino también en todo el mundo. Esta tendencia al alza se ha observado desde 2014, según PricewaterhouseCoopers (PwC) , y es probable que no se desacelere en el corto plazo.

Los ciberataques, al igual que el avance de la tecnología, el entretejido de vidas digitales entre familiares y extraños a través de las redes sociales y la ampliación de la adopción de Internet, están aquí para quedarse.

Por mucho que Internet haya cambiado la vida de las personas en el planeta, para bien o para mal, ha cambiado aún más la forma de hacer negocios. La realidad actual es que un negocio no es un gran negocio si no está en línea. Incluso las pequeñas empresas locales, como restaurantes, empresas de renovación de viviendas o estudios de baile, requieren algún tipo de presencia en Internet para prosperar.

Sin embargo, entrar en el reino en línea como negocio es, en sí mismo, una espada de doble filo. Si bien la visibilidad que Internet brinda a los empresarios casi garantiza el crecimiento, por otro lado, las organizaciones también se exponen a riesgos de amenazas a través de Internet. Los minoristas en línea pueden entrar en conflicto con las tácticas de descremado web . Los editores y blogueros en línea que usan sistemas de gestión de contenido pueden ser pirateados, o sus anuncios envenenados por publicidad maliciosa . Incluso simplemente abrir correos electrónicos puede poner en riesgo a una empresa.

Las organizaciones de todos los tamaños deben entender que en el mundo de hoy, los ataques cibernéticos son inevitables.

Desafortunadamente, la mayoría de las pequeñas y medianas empresas (PYMES) no están preparadas para ninguna forma de asalto digital, mucho menos conscientes de su inevitabilidad. Al final, algunas organizaciones afectadas emergen de un ataque con pérdidas tan excesivas que se cierran permanentemente.

Entonces, ¿qué tan poco preparados están las pymes para un eventual ciberataque? Para ayudar a pintar una imagen de su postura actual de seguridad cibernética, reunimos algunas estadísticas notables. Basta decir que no son buenos.

Postura de ciberseguridad de las pymes

Echamos un vistazo a varios factores que afectan la seguridad cibernética de las PYMES, desde la tasa de incidentes y la escasez de personal hasta los costos asumidos después de un ataque. Así es como funcionan:

Ciber incidentes

Las empresas no empresariales informaron más incidentes cibernéticos en 2019 en comparación con el año anterior, según el Informe de preparación cibernética de Hiscox .

• Para las pequeñas empresas que informan al menos uno o más incidentes cibernéticos, la proporción ha aumentado del 33 por ciento de los encuestados al 47 por ciento.
• Para las empresas medianas, el aumento es aún mayor, pasando del 36 por ciento en 2018 al 63 por ciento en 2019.
• El Informe de investigaciones de violación de datos de 2019 de Verizon encontró que el 43 por ciento de todas las víctimas de violaciones eran pequeñas empresas.

Falta de recursos

Las pequeñas y medianas empresas generalmente tienen menos recursos para la protección de la seguridad cibernética, ya sea un presupuesto más pequeño para soluciones de software o personal de TI sobrecargado o poco capacitado. Esto puede resultar en negligencia que en última instancia conduce a una violación.

• En promedio, una SMB puede enfrentar hasta 5,000 alertas de seguridad por día, sin embargo, solo el 55.6 por ciento de ellas investiga estas alertas, según Cisco .
• Según el informe del Instituto Keeper Security-Ponemon mencionado anteriormente, 6 de cada 10 PYMES informan que los ataques contra ellos son más selectivos, sofisticados y perjudiciales; sin embargo, el 47 por ciento de ellos no tiene idea de cómo proteger a sus empresas del ataque cibernético.
• El 52 por ciento de las PYMES afirman que no tienen un profesional de TI interno en el personal, según el Informe de seguridad de TI de SMB 2019 de Untangle .
• Untangle también descubrió que el 48 por ciento de las organizaciones afirman que el presupuesto limitado es una de las pocas barreras que enfrentan cuando se trata de seguridad de TI.

Costo de un ataque.

• Las pequeñas y medianas empresas asumen un costo más alto en relación con su tamaño en comparación con las organizaciones más grandes, según el Informe de costo de violación de datos de IBM .
• Las organizaciones con una plantilla de entre 500 y 1,000 desembolsaron un promedio de US $ 2,65 millones en costos totales de violación de datos.
• El costo total para las organizaciones con más de 25,000 empleados promedió $ 204 por empleado, mientras que las organizaciones con entre 500 y 1,000 empleados tuvieron un costo promedio de $ 3,533 por empleado.

Curiosamente, dos informes publicados de forma independiente, a saber, el informe especial de Cisco Small and Mighty [PDF] sobre pequeñas y medianas empresas y Keeper Security y el estado de ciberseguridad en pequeñas y medianas empresas del Instituto Ponemon, reflejaron un rango similar de costos.

En el mismo informe de Small and Mighty, Cisco también revela que las pymes tienen más probabilidades de ceder a los actores de amenazas que pagan sus demandas de rescate, ya que no pueden operar sin acceso a datos críticos y no pueden permitirse las usuales 8+ horas de tiempo de inactividad.

Principales amenazas a las pymes y formas de combatirlas

¿Significa esto que las pymes deben mantenerse alejadas de Internet? Claramente, esa no es la respuesta. Sin embargo, si las organizaciones grandes y pequeñas no toman medidas para proteger sus negocios contra los ataques cibernéticos, no solo se están poniendo en riesgo de pérdida de ganancias, sino que pueden estar obstaculizando el crecimiento económico global. Según Accenture , una economía digital confiable podría estimular un crecimiento adicional de 2.8 por ciento en las organizaciones durante los próximos cinco años, lo que se traduciría en $ 5.2 billones en oportunidades de creación de valor para la sociedad en general.

Sin embargo, las pymes se enfrentan a sofisticados métodos de ciberataque con muchos menos recursos que las grandes organizaciones empresariales para combatirlos. A continuación, enumeramos algunas de las principales amenazas para las PYMES, así como nuestras recomendaciones sobre las mejores formas de combatirlas, teniendo en cuenta las limitaciones presupuestarias y de personal.

Malware

En lo que respecta a las amenazas en línea, los ataques maliciosos de los ciberdelincuentes a través del malware siguen siendo el principal desafío para las PYMES en varios informes. En la mayoría de los casos, el malware no solo es difícil de detectar, sino que también es costoso remediarlo y mitigarlo. Cualquiera que sea la amenaza, no olvidemos que los actores potenciales de la amenaza están motivados para obtener ganancias financieras mediante extorsión, coerción, fraude o robo de información confidencial y clasificada que puede venderse al mejor postor.

En 2019, las pymes se han visto especialmente afectadas por ransomware y troyanos, como Emotet y TrickBot, de acuerdo con nuestra telemetría de productos.

Recomendaciones: Para abordar el desafío de los sofisticados ataques de malware, las pymes deben crear ante todo un plan de respaldo para que no pierdan datos críticos en caso de un ataque de ransomware. Los datos se pueden almacenar de forma segura en la nube y acceder a ellos desde cualquier lugar, en caso de que las máquinas se congelen en un ataque. Además, la compra de una solución de protección de punto final económica que bloquea ataques sofisticados puede ayudar a llevar parte de la carga en lugar de un personal de TI altamente capacitado.

Ataques basados ​​en la web

Según el informe El costo del delito cibernético de Accenture , los ataques basados ​​en la web se encuentran entre las principales razones por las cuales las empresas pierden ingresos. Tales ataques normalmente utilizan un navegador de Internet y el sitio web oficial de una PYME como plataforma de ataque para realizar actos delictivos, como acceder y robar información confidencial del cliente o comprometer el sitio para que infecte a los visitantes. Ejemplos de ataques basados ​​en la web son cross-scripting (XSS) , descargas automáticas e inyección SQL (SQLi) .

Recomendaciones: La mayoría de los ataques basados ​​en la web comienzan cuando los actores de amenazas intentan manipular o alterar la funcionalidad de un sitio web utilizando el código como entrada para los campos de entrada. Evitar la representación de dicho código es una medida de seguridad general que las PYMES podrían comenzar a adoptar. De esta forma, las empresas pueden tener un mejor control sobre los tipos de entrada de usuarios que sus sitios web aceptan y procesan cuando alguien interactúa con ellos.

Para las PYMES, mitigar los ataques y amenazas basados ​​en la web puede implicar invitar a un profesional de seguridad a auditar el código de su sitio web para detectar posibles lagunas que los delincuentes pueden explotar, y asesorar sobre la mejor manera de abordarlos. Mientras estamos en el tema de la codificación, las pymes, como los desarrolladores de aplicaciones u otras personas con personal de programación, querrán priorizar la capacitación sobre cómo codificar bien teniendo en cuenta la seguridad .

Ataques distribuidos de denegación de servicio (DDoS)

Los ataques DDoS a menudo resultan en un tiempo de inactividad extendido para los sitios web de negocios, y eso nunca es bueno para la organización objetivo. Esto significa que a los clientes se les niega el acceso al sitio, lo que les impide realizar transacciones con el negocio, y el negocio pierde valiosas oportunidades, dinero y productividad.

Recomendaciones: Quizás la forma más fácil en que una empresa puede evitar los ataques DDoS es hacer uso de los servicios de una buena red de entrega de contenido (CDN). Sin embargo, la prevención también se puede hacer internamente sin romper el banco . Espere que suceda un DDoS en el futuro y planifique con anticipación. Establezca protocolos en el lugar de trabajo sobre qué hacer en caso de un ataque DDoS al sitio web de su empresa. Si puede, incluya en la fase de planificación qué, cómo y cuándo se comunicaría con sus clientes sobre una interrupción del sitio web causada por este ataque.

Ataques de phishing e ingeniería social

Un sorprendente 85 por ciento de las organizaciones experimentan este tipo de ataque, especialmente ahora que las principales amenazas para las empresas, Emotet, Trickbot y varias familias de ransomware, a menudo se envían por correo electrónico de phishing. Con los estafadores y los ingenieros sociales cada vez más descabellados, sus tácticas se vuelven más sofisticadas y pulidas. Y podemos esperar que esto aumente a menos que las empresas comiencen a tomar en serio estas amenazas.

Recomendaciones: Capacitar a todos los miembros del personal . Existen algunos métodos simples que puede usar para ayudar a los empleados a identificar correos electrónicos de phishing en lugar de los legítimos. Muchos ejemplos de correos electrónicos de phishing y estafas actuales existen en línea. Convierta la conciencia de ciberseguridad en una prioridad. Avance creando una cultura intencional de seguridad dentro de la empresa.

Amenazas internas

Los peligros planteados por empleados actuales y anteriores con intenciones maliciosas siempre se ciernen sobre los ejecutivos de las PYMES. Sin embargo, las amenazas internas no se limitan solo a lo obvio. A menudo, es el personal negligente, desatento y abusa de sus privilegios lo que se convierte en una persona con información accidental y provoca una violación de datos.

Recomendaciones: El tema de las amenazas internas debe incluirse en cada entrenamiento de seguridad cibernética que el personal se someta. Si lo hace, es probable que disminuya la probabilidad de información privilegiada accidental, pero no se aborde a los expertos deliberadamente laxos o profesionales. En este caso, la implementación de controles puede minimizar aún más los incidentes de amenazas internas .

Trabajadores remotos

Ya sea que a los trabajadores remotos les guste o no, son un riesgo para sus organizaciones. Es triste decir que muchas organizaciones desconocen esto, ni se dan cuenta de la magnitud del riesgo que representan los trabajadores remotos sobre los activos de la empresa, incluida la propiedad intelectual, así como la información de los clientes, el personal y los proveedores. Como tales, no cumplen con las mejores prácticas establecidas por la Administración de Pequeñas Empresas de EE. UU . Y no implementan las medidas más básicas de ciberseguridad.

Recomendaciones: La educación y las políticas, una vez más, juegan un papel en la seguridad de los trabajadores remotos de una PYME .

Efectos a largo plazo de los ciberataques

Muchos de los que miran desde afuera pueden asumir que una vez que las organizaciones vuelvan a funcionar después de una violación de datos, además de algunos inconvenientes, los negocios continuarán normalmente. Nada mas lejos de la verdad.

Dependiendo de la cantidad de daño que una violación de datos ha causado a un negocio en total, puede llevarles un tiempo recuperar lo que perdieron y volver a ser rentables. A veces, años de larga consecuencias después de una violación son sentidas por pequeñas y medianas empresas. Esto incluye daños a la reputación del negocio y pérdida de confianza de clientes actuales y potenciales.

El mejor curso de acción que las PYMES pueden tomar después de un ataque cibernético es aprender de su experiencia mejorando su postura general de seguridad cibernética y el estado de preparación cibernética en el futuro. Haga de la seguridad cibernética y la privacidad una prioridad. Cree múltiples copias de seguridad de sus datos más confidenciales. Monitorear y realizar evaluaciones de riesgos regularmente. Educar a los trabajadores. Por último, asegúrese de que todos los dispositivos que se conectan a su red estén configurados y protegidos adecuadamente con software antimalware y protocolos de cifrado sólidos.