La relevancia de garantizar la seguridad cibernética en las pequeñas y medianas empresas dentro del entorno digital contemporáneo.
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Las pequeñas y medianas empresas (PyMEs) desempeñan un papel esencial en la economía de México, ya que representan el 99.8% de las empresas y generan el 72% del empleo.
Sin embargo, según datos del INEGI, en México el 75% de las PyMEs fracasan y cierran sus operaciones antes de cumplir los dos años de haber iniciado operaciones. Esto significa que, de cada 100 PyMEs que se inician, solo 25 sobreviven más de dos años.
En cuanto al porcentaje de PyMEs que se mantienen operativas después de cinco años, el INEGI no proporciona datos específicos. Sin embargo, según estudios realizados en otros países, se estima que el porcentaje de PyMEs que sobreviven más de cinco años es de alrededor del 20%.
¿Por qué desaparecen? Algunas de las razones son: la falta de recursos financieros, una gestión deficiente de la empresa, la ausencia de inversión en tecnología y la falta de comprensión del mercado son algunas de las causas que conducen al fracaso de las micro, pequeñas y medianas empresas en México.
Además de lo anterior, en la actualidad, se suma el tema de la ciberseguridad, ya que las PyMEs son víctimas de ciberataques por las siguientes razones:
Son percibidas como objetivos fáciles: Los ciberdelincuentes suelen apuntar a las PyMEs porque son percibidas como objetivos fáciles. Las PyMEs suelen tener menos recursos que las grandes empresas para invertir en ciberseguridad, y sus empleados pueden ser menos conscientes de las amenazas cibernéticas.
Almacenan datos sensibles: Las PyMEs suelen almacenar datos sensibles de sus clientes, como información de tarjetas de crédito, números de identificación personal, y datos financieros. Estos datos son valiosos para los ciberdelincuentes, que pueden utilizarlos para cometer fraude, extorsión, o chantaje.
Son cada vez más digitales: Las PyMEs están cada vez más conectadas a la red, lo que las hace más vulnerables a los ciberataques. Los ciberdelincuentes pueden aprovechar esta conectividad para acceder a los sistemas de las PyMEs y robar datos o interrumpir sus operaciones.
Son proveedores de los grandes corporativos: La identidad de las PyMEs puede ser suplantada por los cibercriminales para atacar a los grandes corporativos que por lo general tienen medidas de seguridad adecuadas.
De acuerdo con un análisis de la unidad de investigación de SILIKN, en México el 83.7% de las PyMEs ha sido víctima de al menos un ciberataque en los últimos tres años. De estas, el 19.5% ha sido víctima de ataques de ransomware, que son un tipo de malware que cifra los datos del sistema informático de la víctima y exige un rescate para descifrarlos.
¿Qué pueden hacer para defenderse?
Algunas recomendaciones para las PyMEs son:
1. Capacite a sus empleados: Implante normas y directrices fundamentales de ciberseguridad para los empleados, como la exigencia de contraseñas robustas, y establezca pautas apropiadas para el uso de Internet, especificando las consecuencias de violar las políticas de seguridad de la empresa. Defina normas de conducta que indiquen la manera en que se debe manejar y salvaguardar la información de los clientes y otros datos cruciales.
2. Proteja la información, las computadoras y las redes frente a los ataques cibernéticos: Mantenga al día el software de seguridad, el navegador y el sistema operativo como medida preventiva contra virus, software malicioso y diversas amenazas en entornos electrónicos. Configure y programe un programa antivirus para realizar análisis después de cada actualización. Asegúrese de instalar de inmediato otras actualizaciones esenciales del software tan pronto como estén disponibles.
3. Utilice un firewall de seguridad: Un firewall comprende un conjunto de programas interrelacionados diseñados para prevenir el acceso no autorizado de individuos externos a los datos almacenados en una red privada. Verifique que el firewall del sistema operativo esté activado o instale un programa de firewall de su elección. En el caso de empleados que trabajen desde sus hogares, asegúrese de que sus sistemas cuenten con la protección de un firewall.
4. Cree un plan para dispositivos móviles: La gestión y seguridad de dispositivos móviles pueden plantear considerables desafíos, especialmente cuando almacenan datos confidenciales o tienen acceso a la red empresarial. Se recomienda a los usuarios que aseguren sus dispositivos mediante contraseñas, cifren sus datos e instalen aplicaciones de seguridad para prevenir el robo de información cuando conecten sus dispositivos a redes públicas. Además, es importante establecer protocolos de notificación en caso de pérdida o robo de equipos.
5. Realice copias de seguridad de los datos e información: Realice respaldos periódicos en todas las computadoras. Opte por copias de seguridad automáticas cuando sea viable o, como mínimo, realice respaldos de forma semanal, guardando las copias fuera de línea o en servicios de almacenamiento en la nube.
6. Controle el acceso físico a sus computadoras y cree cuentas de usuario para cada empleado: Impida el acceso no autorizado o el uso de las computadoras de la empresa por parte de personas no autorizadas. Las computadoras portátiles, en particular, son susceptibles al robo o pérdida, por lo que se recomienda bloquearlas cuando no estén bajo supervisión. Asegúrese de crear cuentas de usuario individuales para cada empleado y exija el uso de contraseñas robustas. La concesión de privilegios de administrador debe reservarse únicamente para el personal de confianza en TI y personal clave.
7. Asegure sus redes de wifi: En caso de contar con una red wifi para su entorno laboral, garantice su seguridad mediante el cifrado y la configuración de ocultamiento. Para ocultar la red wifi, configure su punto de acceso inalámbrico o enrutador para desactivar la difusión del nombre de la red, también conocido como Service Set Identifier (SSID). Asegure el acceso al enrutador mediante una contraseña.
8. Emplee las prácticas recomendadas para tarjetas de pago: Colabore con entidades bancarias o procesadores de pagos para garantizar el empleo de las herramientas y servicios antifraude más fiables y certificados. Es posible que deba cumplir con requisitos adicionales de seguridad establecidos en los acuerdos con el banco o el procesador de pagos. Mantenga los sistemas de pago separados de otros programas menos seguros y evite utilizar la misma computadora para procesar pagos y navegar por Internet.
9. Limite el acceso de los empleados a datos e información y restrinja la autorización para instalar software: Evite conceder a cualquier empleado acceso a la totalidad de los sistemas de datos. Los empleados deben contar únicamente con acceso a sistemas de datos específicos necesarios para llevar a cabo sus responsabilidades, y se les debe prohibir la instalación de cualquier programa sin autorización.
10. Contraseñas y autenticación: Pida a sus empleados que empleen contraseñas distintas y que las modifiquen cada trimestre. Evalúe la posibilidad de instaurar una autenticación de múltiples factores que exija información adicional además de la contraseña para acceder. Consulte a los proveedores encargados de datos sensibles, especialmente a las entidades financieras, sobre la disponibilidad de autenticación de múltiples factores para sus cuentas.
En la actualidad, la importancia de la ciberseguridad para las PyMEs radica en la creciente dependencia de la tecnología y la conectividad. Estas empresas manejan datos sensibles, realizan transacciones en línea y operan en entornos digitales que, si no están adecuadamente protegidos, pueden enfrentar riesgos significativos. La amenaza constante de ciberataques, el robo de información confidencial y la interrupción de operaciones son riesgos palpables. La implementación de medidas de ciberseguridad no solo protege los activos digitales y la reputación de la empresa, sino que también contribuye a fortalecer la confianza de los clientes, cumplir con regulaciones y asegurar la continuidad del negocio en un mundo cada vez más interconectado y vulnerable a amenazas cibernéticas.
Para más información, visite: https://www.silikn.com/
Las pequeñas y medianas empresas (PyMEs) desempeñan un papel esencial en la economía de México, ya que representan el 99.8% de las empresas y generan el 72% del empleo.
Sin embargo, según datos del INEGI, en México el 75% de las PyMEs fracasan y cierran sus operaciones antes de cumplir los dos años de haber iniciado operaciones. Esto significa que, de cada 100 PyMEs que se inician, solo 25 sobreviven más de dos años.
En cuanto al porcentaje de PyMEs que se mantienen operativas después de cinco años, el INEGI no proporciona datos específicos. Sin embargo, según estudios realizados en otros países, se estima que el porcentaje de PyMEs que sobreviven más de cinco años es de alrededor del 20%.
¿Por qué desaparecen? Algunas de las razones son: la falta de recursos financieros, una gestión deficiente de la empresa, la ausencia de inversión en tecnología y la falta de comprensión del mercado son algunas de las causas que conducen al fracaso de las micro, pequeñas y medianas empresas en México.
Además de lo anterior, en la actualidad, se suma el tema de la ciberseguridad, ya que las PyMEs son víctimas de ciberataques por las siguientes razones:
Son percibidas como objetivos fáciles: Los ciberdelincuentes suelen apuntar a las PyMEs porque son percibidas como objetivos fáciles. Las PyMEs suelen tener menos recursos que las grandes empresas para invertir en ciberseguridad, y sus empleados pueden ser menos conscientes de las amenazas cibernéticas.
Almacenan datos sensibles: Las PyMEs suelen almacenar datos sensibles de sus clientes, como información de tarjetas de crédito, números de identificación personal, y datos financieros. Estos datos son valiosos para los ciberdelincuentes, que pueden utilizarlos para cometer fraude, extorsión, o chantaje.
Son cada vez más digitales: Las PyMEs están cada vez más conectadas a la red, lo que las hace más vulnerables a los ciberataques. Los ciberdelincuentes pueden aprovechar esta conectividad para acceder a los sistemas de las PyMEs y robar datos o interrumpir sus operaciones.
Son proveedores de los grandes corporativos: La identidad de las PyMEs puede ser suplantada por los cibercriminales para atacar a los grandes corporativos que por lo general tienen medidas de seguridad adecuadas.
De acuerdo con un análisis de la unidad de investigación de SILIKN, en México el 83.7% de las PyMEs ha sido víctima de al menos un ciberataque en los últimos tres años. De estas, el 19.5% ha sido víctima de ataques de ransomware, que son un tipo de malware que cifra los datos del sistema informático de la víctima y exige un rescate para descifrarlos.
¿Qué pueden hacer para defenderse?
Algunas recomendaciones para las PyMEs son:
1. Capacite a sus empleados: Implante normas y directrices fundamentales de ciberseguridad para los empleados, como la exigencia de contraseñas robustas, y establezca pautas apropiadas para el uso de Internet, especificando las consecuencias de violar las políticas de seguridad de la empresa. Defina normas de conducta que indiquen la manera en que se debe manejar y salvaguardar la información de los clientes y otros datos cruciales.
2. Proteja la información, las computadoras y las redes frente a los ataques cibernéticos: Mantenga al día el software de seguridad, el navegador y el sistema operativo como medida preventiva contra virus, software malicioso y diversas amenazas en entornos electrónicos. Configure y programe un programa antivirus para realizar análisis después de cada actualización. Asegúrese de instalar de inmediato otras actualizaciones esenciales del software tan pronto como estén disponibles.
3. Utilice un firewall de seguridad: Un firewall comprende un conjunto de programas interrelacionados diseñados para prevenir el acceso no autorizado de individuos externos a los datos almacenados en una red privada. Verifique que el firewall del sistema operativo esté activado o instale un programa de firewall de su elección. En el caso de empleados que trabajen desde sus hogares, asegúrese de que sus sistemas cuenten con la protección de un firewall.
4. Cree un plan para dispositivos móviles: La gestión y seguridad de dispositivos móviles pueden plantear considerables desafíos, especialmente cuando almacenan datos confidenciales o tienen acceso a la red empresarial. Se recomienda a los usuarios que aseguren sus dispositivos mediante contraseñas, cifren sus datos e instalen aplicaciones de seguridad para prevenir el robo de información cuando conecten sus dispositivos a redes públicas. Además, es importante establecer protocolos de notificación en caso de pérdida o robo de equipos.
5. Realice copias de seguridad de los datos e información: Realice respaldos periódicos en todas las computadoras. Opte por copias de seguridad automáticas cuando sea viable o, como mínimo, realice respaldos de forma semanal, guardando las copias fuera de línea o en servicios de almacenamiento en la nube.
6. Controle el acceso físico a sus computadoras y cree cuentas de usuario para cada empleado: Impida el acceso no autorizado o el uso de las computadoras de la empresa por parte de personas no autorizadas. Las computadoras portátiles, en particular, son susceptibles al robo o pérdida, por lo que se recomienda bloquearlas cuando no estén bajo supervisión. Asegúrese de crear cuentas de usuario individuales para cada empleado y exija el uso de contraseñas robustas. La concesión de privilegios de administrador debe reservarse únicamente para el personal de confianza en TI y personal clave.
7. Asegure sus redes de wifi: En caso de contar con una red wifi para su entorno laboral, garantice su seguridad mediante el cifrado y la configuración de ocultamiento. Para ocultar la red wifi, configure su punto de acceso inalámbrico o enrutador para desactivar la difusión del nombre de la red, también conocido como Service Set Identifier (SSID). Asegure el acceso al enrutador mediante una contraseña.
8. Emplee las prácticas recomendadas para tarjetas de pago: Colabore con entidades bancarias o procesadores de pagos para garantizar el empleo de las herramientas y servicios antifraude más fiables y certificados. Es posible que deba cumplir con requisitos adicionales de seguridad establecidos en los acuerdos con el banco o el procesador de pagos. Mantenga los sistemas de pago separados de otros programas menos seguros y evite utilizar la misma computadora para procesar pagos y navegar por Internet.
9. Limite el acceso de los empleados a datos e información y restrinja la autorización para instalar software: Evite conceder a cualquier empleado acceso a la totalidad de los sistemas de datos. Los empleados deben contar únicamente con acceso a sistemas de datos específicos necesarios para llevar a cabo sus responsabilidades, y se les debe prohibir la instalación de cualquier programa sin autorización.
10. Contraseñas y autenticación: Pida a sus empleados que empleen contraseñas distintas y que las modifiquen cada trimestre. Evalúe la posibilidad de instaurar una autenticación de múltiples factores que exija información adicional además de la contraseña para acceder. Consulte a los proveedores encargados de datos sensibles, especialmente a las entidades financieras, sobre la disponibilidad de autenticación de múltiples factores para sus cuentas.
En la actualidad, la importancia de la ciberseguridad para las PyMEs radica en la creciente dependencia de la tecnología y la conectividad. Estas empresas manejan datos sensibles, realizan transacciones en línea y operan en entornos digitales que, si no están adecuadamente protegidos, pueden enfrentar riesgos significativos. La amenaza constante de ciberataques, el robo de información confidencial y la interrupción de operaciones son riesgos palpables. La implementación de medidas de ciberseguridad no solo protege los activos digitales y la reputación de la empresa, sino que también contribuye a fortalecer la confianza de los clientes, cumplir con regulaciones y asegurar la continuidad del negocio en un mundo cada vez más interconectado y vulnerable a amenazas cibernéticas.
Para más información, visite: https://www.silikn.com/