Cada vez más las organizaciones aumentan su preocupación por la ciberseguridad, un reciente estudio, elaborado por el prestigioso The Ponemon Institute, revela que el 80% de los dirigentes empresariales de Estados Unidos anticipa que se enfrentará a una brecha crítica o un ciberataque exitoso durante el próximo año. Esto, a pesar del creciente índice de inversión en ciberseguridad como medida para protegerse de estos, el mercado de ciberseguridad está en auge.
A pesar de aumentar la inversión en ciberseguridad, las empresas corren un riesgo elevado de sufrir un ciberataque, porque los datos críticos, las operaciones, la infraestructura e incluso las personas no están siendo priorizados y protegidos según su criticidad para el negocio. Es decir, la inversión en ciberseguridad no es inteligente, las empresas despliegan medidas de protección, sin antes identificar que se debe proteger según la criticidad para su negocio.
Básicamente observamos que se invierte en tecnología para proteger las organizaciones contra vectores de ataque de la década del 2000, cuando los ciberdelincuentes están atacando de forma distinta, a través de nuevos vectores y con nuevas herramienta, existe un GAP muy importante en esta visión, de allí que veamos noticias de ciberataques con costes millonarios para grandes organizaciones; lo preocupante del tema, es que esas noticias son como un iceberg, muestran sólo una pequeña porción de la gran cantidad de ciberdelitos que ocurren todos los días, la mayoría de los ciberataques que ocurren en el mundo tienen como foco las pequeñas y medianas empresas (pymes, de ahora en adelante). En España, se estima que la cifra oficial de ciberataques en las PYMES está en torno a los 4.000 por día, lo que las convierte en las más afectadas por este tipo de delincuencia.
¿Por qué las pymes son foco de ataque?
Desde mi punto de vista, el principal motivo es cultural, los emprendedores, los pequeños comerciantes, en general, las PYMES, tienen la apreciación que sus datos no tienen valor tangible para nadie, por ello, el tema de ciberseguridad es un concepto que no existe en su gestión. Nada más lejos de la realidad, el problema es que este pensamiento desencadena una tormenta perfecta, entre que no invierten en ciberseguridad, que no son conscientes de los riesgos a los que están expuestos y que sus modelos de negocio son digitales, terminan convirtiéndose en el objetivo perfecto para los ciberdelincuentes.
¿Qué debe hacer el mercado de las pymes para cambiar este enfoque?
Como hemos señalado anteriormente, es un tema de personas, por lo que es imprescindible educar y concienciar en materia de ciberseguridad, no sólo a los empleados, sino principalmente a los directivos y responsables de las PYMES.
Pero, lo más importante, es definir un modelo de seguridad adecuado a cada empresa. El foco de este plan de seguridad debe consistir en construir un modelo de protección centrado en los activos críticos del negocio, para ello, siempre, el primer paso será identificar, categorizar y medir la criticidad de cada activo para el negocio, a partir de allí, desplegar las medidas de protección necesario para garantizar un nivel de madurez adecuado.