Por Alexis Aguirre, Director de Ciberseguridad de Unisys para Latinoamérica

A medida que las organizaciones más grandes refuerzan su ciberseguridad contra los ataques, los ciberdelincuentes están siendo oportunistas y están moviendo su mirada hacia organizaciones más pequeñas. Para los ciberdelincuentes, es simplemente un juego de números. Cuantas más víctimas puedan tener, más dinero podrán ganar. Desafortunadamente, debido a las limitaciones de recursos y otros factores, muchas pequeñas y medianas empresas (PYMES) se quedan atrás en las inversiones en seguridad.

Para una PYME, el impacto de un incidente de ciberseguridad puede ser devastador, ya que puede ser muy costoso a los clientes o socios comerciales perdidos y su confianza para hacer negocios con usted. Por lo tanto, vale la pena comprender e invertir para garantizar cómo puede operar de una manera cibersegura.

La buena noticia es que hay algunos pasos sencillos que las PYMES pueden seguir para ayudar a mejorar su postura de seguridad y mantener a raya a los ciberdelincuentes.

1. Enfoque: Las PYMES deben ver la ciberseguridad como un facilitador comercial y no como una carga. Esto requiere alinear la inversión en ciberseguridad con las iniciativas comerciales clave y asegurarse de que está realizando negocios de una manera cibersegura.

2. Gestión de riesgos: La gestión de riesgos es clave para la supervivencia empresarial. Entendemos la necesidad de la gestión de riesgos financieros y la gestión de riesgos legales; la gestión de riesgos de ciberseguridad no es diferente. Debes comprender el perfil de riesgo cibernético y la exposición de la organización e invertir en consecuencia para protegerla.

3. Conoce a tu enemigo: Es importante saber quién te ataca y cómo. Y esto no necesita ser sofisticado. Las organizaciones más grandes invierten en inteligencia de amenazas. Las organizaciones más pequeñas pueden simplemente hacer su propia investigación y comprender esto. El phishing y el compromiso del correo electrónico comercial son problemas importantes que afectan a las empresas en la actualidad. Comprenda cuáles son y pregunte si está protegido.

A continuación, puedes considerar los cuatro tipos de controles o enfoques que se pueden utilizar en un contexto de ciberseguridad:

• Predecir: Sistemas, herramientas, políticas y procedimientos que ayudan a detectar vulnerabilidades en los sistemas y predecir posibles vías de ataque.

• Prevenir: Sistemas, herramientas, políticas y procedimientos que evitan las amenazas que afectan a sus sistemas. Un ejemplo sería el firewall corporativo.

• Detectar: Sistemas, herramientas, políticas y procedimientos que brindan la capacidad de detectar amenazas que pueden estar afectando su sistema. Un ejemplo aquí sería un sistema de detección de intrusiones.

• Responder: Sistemas, herramientas, políticas y procedimientos que permiten responder a las amenazas y contenerlas / erradicarlas. Un ejemplo de política sería el Plan corporativo de respuesta a incidentes y las herramientas asociadas, como un sistema de gestión de eventos e información de seguridad (SIEM).

Como ocurre con la mayoría de las cosas, la regla 80/20 también se aplica a la ciberseguridad. Con esto quiero decir que el 20% del esfuerzo puede mitigar el 80% de los riesgos, si te enfocas en las cosas correctas. Aquí hay tres pasos para comenzar:

- Inteligencia de amenazas: Realiza una investigación básica y descubre qué y cómo los ciberdelincuentes se dirigen a las pymes. Luego hazte la siguiente pregunta: ¿contamos con todas las medidas de ciberseguridad adecuadas?

- La conciencia del usuario y el cambio cultural: Tus mayores activos de seguridad y vulnerabilidad son tu personal. Asegúrate de que comprendan los conceptos básicos de ciberseguridad y de que puedan identificar amenazas de ciberseguridad, como un correo electrónico de apariencia poco fiable o una solicitud de pago inmediato de una factura que no se ve bien.

- Análisis de riesgo: Comprende tu postura de riesgo en función de las actividades comerciales y asegúrate de que estás haciendo lo básico.

Pensar que las inversiones en seguridad son algo solo para las grandes compañías es pensar de manera pequeña. Y aunque tu compañía no sea gigante, no significa que tu estrategia no lo pueda ser.