La definición de empresas como pequeñas, medianas o grandes puede variar según la región, pero un enfoque común es categorizarlas en función de la cantidad de empleados o los ingresos anuales. Por ejemplo, una empresa con menos de 500 empleados en los Estados Unidos suele considerarse una PYME. En Canadá, una definición común de pequeñas empresas es aquellas con menos de 100 empleados, mientras que las empresas medianas suelen tener entre 100 y 499 empleados. Las pequeñas empresas son importantes contribuyentes a la economía de América del Norte. En 2022, las pequeñas empresas representaron el 98,0 % de todas las empresas empleadoras en Canadá y emplearon a 10,7 millones de personas, lo que supone casi dos tercios (63,0 %) de todos los empleados. En comparación, las empresas medianas emplearon a 3,6 millones de personas (21,0 % de los empleados), mientras que las grandes empresas emplearon a 2,7 millones de personas (16,0 % de los empleados) en Canadá 1 . En Estados Unidos, las cifras son similares. Como tal, las empresas más pequeñas desempeñan un papel importante en el empleo de los canadienses y son un motor significativo en la configuración de la economía.
La ciberseguridad suele considerarse un centro de costos más que un centro de ganancias. Los centros de costos son áreas dentro de una empresa que no generan ingresos directamente, pero incurren en costos necesarios para el funcionamiento y el bienestar general de la organización. Entablamos conversaciones diarias con nuestros clientes y clientes potenciales, abordando las inquietudes sobre las objeciones a la asignación de presupuestos para la ciberseguridad, que a menudo se perciben como centros de costos dentro del presupuesto de TI. Si bien la industria promociona cada vez más la ciberseguridad como un "facilitador de negocios", la realidad es que la ciberseguridad funciona principalmente como un "protector de ingresos". Nuestro objetivo es transmitir a nuestros clientes que, de manera similar a cómo las tecnologías de TI y digitales mejoran la eficiencia empresarial a pesar de ser centros de costos, los controles de ciberseguridad son indispensables para "salvaguardar los ingresos generados por la empresa". Esto garantiza la protección contra los actores de amenazas que buscan pedir rescates o robar activos financieros valiosos.
Si bien el panorama de amenazas se ha mantenido relativamente estable en los últimos años, nuestra experiencia subraya que el impacto en las PYMES es desproporcionadamente más significativo en comparación con las empresas con amplios presupuestos y recursos para contrarrestar estas amenazas. Las estadísticas indican que "el 60 por ciento de las pequeñas empresas cesan sus operaciones dentro de los seis meses posteriores a sufrir una violación de datos o un ciberataque". Nuestro objetivo es evitar tácticas innecesarias de miedo, incertidumbre y duda (FUD, por sus siglas en inglés), y creemos firmemente en promover la ciberseguridad sin depender del miedo. Sin embargo, la cruda realidad se refleja en estas cifras. La mayoría de las pequeñas y medianas empresas no priorizan la ciberseguridad y, posteriormente, enfrentan repercusiones significativas. Esto no tiene por qué ser la norma de la industria, ni tiene por qué ser complejo priorizar la ciberseguridad. Su participación activa, demostrada al leer este artículo, significa su preocupación y compromiso con la ciberseguridad.
En nuestra investigación sobre los ciberataques del año pasado, observamos diversos impactos, principalmente financieros, de reputación y operativos. Estas consecuencias se vieron exacerbadas por el hecho de que los equipos afectados carecían de los conocimientos necesarios para contener, recuperar y fortalecerse eficazmente contra futuros ataques. Es comprensible, ya que la mayoría de las pequeñas y medianas empresas pueden no emplear a un ingeniero de seguridad capacitado debido a consideraciones de costos. Si bien estas interrupciones pueden no siempre conducir al cierre de empresas, crean una sobrecarga que impulsa una reconsideración de su estrategia de gestión de riesgos. En términos más simples para el mercado de las PYMES, esto implica explorar medidas preventivas y, en el peor de los casos, establecer estrategias de detección y recuperación tempranas contra posibles ciberataques.
Además de estar impulsados por los ataques cibernéticos (o noticias de ataques de organizaciones pares en la industria), también estamos viendo las siguientes áreas de demanda que impulsan nuestras ventas de ciberseguridad:
Evaluación de riesgos de proveedores y cumplimiento normativo: en el sector de las PYMES, hemos sido testigos de un aumento notable de este tipo de solicitudes en los últimos años. Imagínese recibir un cuestionario completo de 30 páginas sobre riesgos de seguridad para una organización de 50 empleados administrada por un solo profesional de TI. Para complicar las cosas, muchos de estos cuestionarios carecen de personalización para las PYMES y están cargados de jerga técnica, lo que deja perplejos a los gerentes de TI. Nuestra experiencia indica que los equipos de riesgo de proveedores a menudo simplifican en exceso los controles, adoptando una perspectiva binaria: o tiene un firewall o no lo tiene. Sin embargo, esta perspectiva puede no alinearse con las empresas que operan completamente de forma remota, con todos los activos almacenados en la nube, eliminando la necesidad de un firewall de centro de datos tradicional.
Además, la expectativa de que las empresas obliguen a las pequeñas empresas a realizar costosos ejercicios de cumplimiento normativo suele generar una mayor carga administrativa que una mejora real de la seguridad. Si bien ayudamos rutinariamente a los clientes a prepararse para auditorías de cumplimiento normativo como SOC2, nos esforzamos por educarlos sobre la distinción entre cumplimiento normativo y seguridad, un tema ampliamente debatido en la industria (reservado para discutirlo en otra ocasión). Nuestro enfoque se centra en establecer un nivel básico de seguridad para proteger la infraestructura genuinamente, no simplemente para cumplir con un requisito de cumplimiento normativo. Nos enorgullecemos de ser asesores de confianza en lugar de simples "marcadores de casillas certificados".
Seguro cibernético: "En la actualidad, las empresas más pequeñas se dirigen a ellas, ya que más del 56 % de las reclamaciones proceden de pymes con ingresos inferiores a 25 millones de dólares. El coste medio de una reclamación de seguro para una pyme es de 345 000 dólares", según un estudio sobre seguros cibernéticos de diciembre de 2023.
Al igual que los seguros de vida, médicos, de automóvil o de vivienda, las aseguradoras de seguros cibernéticos exigen un nivel "mínimo" de controles de seguridad en las PYMES antes de aprobar las pólizas. Ya hemos hablado de los seguros cibernéticos en una publicación que puede consultar aquí. La definición de este estándar "mínimo" evoluciona constantemente con el cambiante panorama de amenazas, lo que deja a las PYMES con la incertidumbre sobre los requisitos necesarios para la elegibilidad del seguro. En consecuencia, muchas PYMES se encuentran pagando primas más altas debido a la ausencia de controles de seguridad adecuados. Para abordar esto, colaboramos con varios corredores de seguros para ayudar a los clientes a gestionar los costos y lograr la asegurabilidad. Sorprendentemente, la implementación de controles de seguridad básicos no implica necesariamente herramientas "avanzadas/habilitadas para IA". Incluso medidas sencillas como la autenticación multifactor (MFA) desempeñan un papel crucial en este proceso. Cabe destacar que incluso los actores de amenazas altamente sofisticados de países como Rusia y China explotan vulnerabilidades que datan de varios años atrás. Como lo destacó CISA, una de las vulnerabilidades más explotadas en 2023 se originó en 2018, una vulnerabilidad que se mitigó fácilmente al aplicar parches de manera constante a los dispositivos tras los lanzamientos de los proveedores.
Garantizar la ciberseguridad no tiene por qué ser una tarea compleja ni costosa. Debe adaptarse a las necesidades específicas de los activos de su empresa, incluidos los activos tecnológicos, el personal y los correos electrónicos. Las prácticas fundamentales de la ciberseguridad, a las que a menudo se hace referencia como higiene básica, tienen una importancia inmensa y ni siquiera los productos de seguridad más sofisticados pueden sustituirlas.
Fuentes:
Comentarios