Aunque los avances tecnológicos han permitido a las pequeñas y medianas empresas hacer crecer su negocio y evolucionar sus modelos operativos, tanto los riesgos como las amenazas de ciberseguridad pueden acabar con cualquier progreso que se haya producido. ESET, en su encuesta realizada a negocios de entre 25 y 500 empleados en 2022, destaca la falta de confianza de las pymes en la gestión de la ciberseguridad.
En este sentido, esta falta de confianza se manifiesta a través del propio sentimiento de las pymes de vulnerabilidad con respecto a empresas más grandes. Y es que, existen varias razones por las que estar preocupados: la pérdida de datos, las repercusiones financieras y la pérdida de confianza de los clientes. Además, la prevalencia de los ciberataques sigue aumentando, con un incremento del 13% en las detecciones de ciberamenazas en 2022 con respecto al año anterior según la telemetría de ESET.
“Hoy, los factores humanos y los más técnicos son los que preocupan a las pequeñas y medianas empresas”, destaca Josep Albors director de Investigación y Concienciación de ESET España. “Esto es así porque los empleados tienen una escasa conciencia sobre ciberseguridad y, además, no se cuenta con la suficiente capacidad y madurez de la administración de TI. En cuanto a los factores técnicos, hay vulnerabilidades provocadas en la cadena de suministro y en todo el ecosistema de socios, clientes y proveedores, en la proliferación de aplicaciones utilizadas por los empleados, los ataques de estados-nación o la migración de servicios a la nube”.
Seguir el ritmo a los cambios
Aunque ya se contaba con una amplia variedad de tecnologías y servicios antes de la pandemia del COVID-19, actualmente existe una cantidad ingente de servicios de monitorización y gestión en remoto, así como de software diseñado a medida para las pymes. En concreto, en el ámbito de la seguridad, la sobreabundancia de opciones y, en ocasiones, los malos resultados han erosionado la confianza de las pymes en áreas clave.
Esto ha hecho que las empresas se encuentren en la tesitura de mantener la ciberseguridad internamente o elegir externalizarla. También existe una falta de conocimiento sobre el acceso a expertos externos a las empresas, los tiempos de respuesta y el análisis forense de las amenazas. Y, a pesar de la proliferación de soluciones, los argumentos que respaldan las inversiones necesarias no han seguido el ritmo de los cambios en los modelos operativos, y las necesidades de seguridad subrayadas por la migración a modelos de trabajo híbridos son cada vez más relevantes.
El informe ESET SMB Digital Security Sentiment Report 2022 destaca que muchos de los responsables financieros de pymes son conscientes de los principales factores de riesgo que aumentan significativa o moderadamente sus riesgos de ciberataques. Los encuestados citaron que el principal causante de riesgo en los próximos 12 meses será la falta de conciencia sobre ciberseguridad de los empleados, hasta (84%) – destacan que esto aumenta significativamente los riesgos, agravado por las vulnerabilidades en la cadena de suministro y el ecosistema de socios / proveedores (79%), y la migración de servicios a la nube (77%). Además, un total del 78% de las pymes encuestadas expresó preocupación por los ataques de estados-nación debido al conflicto en Ucrania.
Principales retos de las pymes
De forma más detallada, del informe se desprenden los tres principales retos en materia de ciberseguridad de las pymes: mantenerse al día de las últimas ciberamenazas (54%), seguir el ritmo de los últimos avances y tecnologías (50%) y la falta de inversión en ciberseguridad (49%). Otros motivos de preocupación son la falta de conocimientos, la sobrecarga de trabajo de los equipos, el cansancio por las alertas y la falta de apoyo de los directivos.
Para algunos, «estar al día» significa cómo hacer frente, en la práctica, a las preocupaciones sobre el malware, los ataques basados en la Web, el ransomware, los problemas de seguridad de terceros y las vulnerabilidades de software críticas o de alta gravedad. Más de la mitad están preocupados por el Protocolo de Escritorio Remoto (RDP), los ataques de denegación de servicio distribuido (DDoS), el compromiso del correo electrónico empresarial (BEC), los problemas de computación en la nube y los ataques a la cadena de suministro.
Y, aunque pocas de estas amenazas a la seguridad son específicas de su segmento, el 74% de las pymes cree que las empresas de su tamaño son más vulnerables a los ciberataques que las empresas más grandes. En términos inequívocos, la preocupación de las pymes por la pérdida de datos, las repercusiones financieras y la pérdida de confianza de los clientes refleja su falta de capacidad para mitigar estos retos al mismo tiempo que mantienen el impulso en las competencias empresariales básicas. A pesar de los riesgos de seguridad, el 77% afirma que seguirá utilizando el protocolo de escritorio remoto (RDP).
Una preparación post-filtración
La encuesta demuestra que aproximadamente dos tercios de los participantes han experimentado o actuado ante indicios de brechas de seguridad. Normalmente se tardan semanas en solucionarlos, lo que supone un coste considerable para las pymes. Por término medio, las pymes estiman que el coste total que estas brechas suponen para sus organizaciones equivale a 219.000 euros.
Tras las filtraciones, las pymes pueden invertir en formación, realizar auditorías o adquirir nuevas herramientas de ciberseguridad. En general, esto significa tomar medidas para reforzar las herramientas de acceso remoto, en concreto para proteger los inicios de sesión con autenticación multifactor (50%), restringir su uso únicamente a las VPN corporativas (50%) y mantener actualizadas las herramientas de acceso remoto (49%).
Con sólo el 27% de los encuestados indicando que han realizado auditorías de ciberseguridad en los últimos seis meses, y el 33% en los últimos 12 meses, la situación es preocupante. En las organizaciones en las que se han realizado auditorías de ciberseguridad en los últimos dos años, el 52% recurrió a empresas externas de seguridad informática/proveedores de servicios gestionados (MSP), mientras que el 40% realizó las auditorías por sí mismo, y el 8% hizo ambas cosas.
“Aunque los enfoques adoptados siguen estando divididos, hemos podido observar que el 85% de las pymes afirma que todos los integrantes de sus cadenas de suministro tienen la responsabilidad de mejorar su ciberresiliencia, pero la mayoría también expresa su preocupación por el hecho de que la falta de inversión en ciberseguridad pueda poner en peligro a otros integrantes de estas cadenas de suministro. En última instancia, la ciberseguridad eficaz se considera algo que proporciona a las empresas la confianza necesaria para crecer e innovar por lo que vemos ahí una oportunidad para que las pymes se decidan por impulsar la inversión en este aspecto” aclara Josep Albors director de Investigación y Concienciación de ESET España.