Este es un pensamiento recurrente para muchas empresas cuando se plantean la probabilidad de sufrir un incidente. Pero en el caso de las pymes, aún más. «¿Quién va a querer atacarme a mí, y para qué?» Se preguntan. Un error común, aunque ciertamente cada vez menos, pero aún existe una gran cantidad de negocios. Y es que el 46% de los ciberataques ya tienen como principal objetivo a las pymes según un reciente estudio.
Y uno de los principales motivos que lleva a esto es la falta de cultura de ciberseguridad y concienciación de los empleados de estas empresas, ya que es el error humano la principal fuente de entrada de los ciberataques. De manera inconsciente, un clic en un enlace indebido o una descarga puede derivar en días de inactividad y repercusiones que van más allá de lo económico.
Así lo desvela el informe de Kaspersky IT Security Economics. Para elaborarlo, han entrevistado a 3.000 responsables de IT de 26 países. Estos responsables afirman que el 22% de las brechas de seguridad en las pequeñas y medianas empresas fueron causadas por la acción de un empleado.
Este dato corrobora el lanzado por el Foro Económico Mundial, que señala que el 95% de las brechas de seguridad tiene como origen un error humano.
Eso sí, no todos los errores son iguales. Los hay inconscientes, en su mayoría por falta de preparación y cultura de ciberseguridad, la cual debería proporcionar la empresa, formando a los empleados para detectar estos riesgos. Pero por otro lado están los errores conscientes, los que son ejecutados por los denominados «insiders» o empleados descontentos, que o bien por hacer daño o bien a cambio de una retribución económica de un tercero, provocan brechas de seguridad.
En este sentido, desde la empresa de seguridad explican que las principales brechas en las pymes se basan en la ingeniería social, claves frágiles y dispositivos no controlados.
En el caso de la ingeniería social, encabezado por el principal ciberataque en este ámbito, el phishing, se basa en el engaño. Los empleados hacen clic en enlaces que parecen provenir de fuentes de confianza, mayoritariamente a través del correo electrónico.
Esto está muy relacionado con la seguridad de las contraseñas, y las políticas para su protección. Y es que en muchos casos los empleados usan claves sencillas, que pueen ser vulneradas fácilmente. Aquí entra en juego la estrategia de la empresa, que debe definir claramente la política de contraseñas, así como implementar mecanismos como el segundo factor de autenticación, que no pueden ser negociables.
Por último, los dispositivos personales usados en el ámbito corporativo son muy comunes en el entorno de las pymes. Una práctica que pueden aumentar el riesgo de sufrir incidentes de seguridad.
La falta de instalación de actualizaciones, que incorporan importantes parches de seguridad, copias de seguridad desactualizadas (o inexistentes) o no contar con herramientas de seguridad, son otros de los básicos de ciberseguridad en los que, por ahora, siguen suspendiendo las pymes.
Y es que a la pregunta inicial que se planteaba: «¿Quién va a querer atacarme a mí, y para qué?» le suele seguir otra: «¿Cuánto cuesta esto de la ciberseguridad?». Sin embargo, esa pregunta tampoco es la más acertada en este caso. La cuestión es: «¿Cuánto me va a costar no tener medidas de seguridad cuando me ocurra?».
Implementar políticas básicas, fomentar y proveer de formación en ciberseguridad, atender a los básicos y contar con soluciones ya adaptadas es hoy más necesario y asequible que nunca para las pymes.
