La ciberseguridad en pymes: ¿Por qué implementarla? Un diagnóstico y una guía de acción para el 2024

La ciberseguridad en pymes es una necesidad imperativa para la continuidad de las operaciones empresariales.

Es que la seguridad de la información se ha vuelto un pilar crítico para la confianza y la sostenibilidad de estas empresas, que representan el 99.8% del total de unidades económicas en el país, según el Censo Económico 2019 del INEGI.

En un contexto donde se registran aproximadamente 85 mil millones de intentos de ataques anuales, según estimaciones de IDC, comprender cómo estas entidades afrontan los desafíos de los ciberataques se vuelve esencial.

Pero, ¿por qué debemos volver a las pymes más ciberseguras? ¿Cuál es el diagnóstico actual? ¿En qué debemos trabajar? Te lo contamos en este artículo.

Ciberseguridad en pymes: Uno de los blancos favoritos de ciberatacantes

Pese a los mitos sobre la seguridad en internet, la ciberseguridad para pymes sí es esencial.

Ser una empresa de menor tamaño, no implica que no se manejen datos y situaciones particulares demasiado atrayentes para los distintos tipos de hackers.

Por ejemplo:

• Recursos limitados: Las pymes suelen tener menos capital para invertir en medidas de ciberseguridad avanzadas, lo que las hace más vulnerables a ataques.
• Conciencia de seguridad reducida: Muchas veces, los propietarios y empleados de pymes no entienden completamente la importancia de la ciberseguridad, haciéndolas presas fáciles para ciberdelincuentes.
• Datos valiosos: Estas empresas manejan información sensible de clientes y secretos comerciales, lo que atrae a los atacantes en busca de ganancias ilícitas.
• Protección insuficiente: La falta de un equipo dedicado a la seguridad impide un monitoreo adecuado de los sistemas informáticos y reduce la capacidad de respuesta rápida ante amenazas.
• Capacitación deficiente: La escasa formación en seguridad informática aumenta la vulnerabilidad frente a técnicas como la ingeniería social.
• Respuestas a incidentes inadecuadas: Sin un plan de gestión de incidentes, las pymes enfrentan graves consecuencias tras un ataque, afectando tanto su economía como su reputación.

Las pymes están siendo ciberatacadas

Esto nos lleva a tocar un punto obligatorio y darle un tratamiento especial: las pymes sí están siendo atacadas por ciberatacantes. Y cada vez más. La ciberseguridad para pymes no es una opción.

Según el estudio «El estado de la ciberseguridad en América Latina 2024» de ManageEngine, durante 2023, el 65% de las empresas confirmaron un aumento en la cantidad de ciberataques en comparación con años anteriores.

Este aumento es aún más dramático en regiones específicas; por ejemplo, los ataques a pymes en Chile y Colombia escalaron en un 371% y 307% respectivamente, según Kaspersky.

¿Por qué la ciberseguridad en pymes sí es importante?

Pérdidas financieras directas

Los ataques cibernéticos pueden generar costos enormes relacionados con la recuperación de sistemas informáticos dañados, el pago de rescates en ataques de ransomware, y la interrupción de operaciones comerciales.

Las pymes, al tener generalmente menos recursos financieros que las grandes empresas, pueden encontrarse en una situación de vulnerabilidad crítica frente a estas pérdidas.

De hecho, las pérdidas económicas asociadas pueden alcanzar hasta los $155,000 dólares por incidente.

Daño reputacional

Un ataque cibernético puede resultar en la pérdida de datos sensibles de clientes, como información personal y detalles de tarjetas de crédito.

La divulgación de estos datos puede erosionar la confianza del cliente y dañar la reputación de la empresa. Una muy mala noticia para las pymes que dependen en gran medida de su reputación local y la confianza del cliente para competir contra marcas más grandes.

Los clientes cada vez están más concientizados sobre el valor de sus datos y las consecuencias de una filtración. Actualmente, un tercio de los clientes dejaría de hacer negocios con una empresa que ha sufrido una filtración.

Y las noticias no tardarán en expandirse, ya que el 85% de ellos contará su experiencia con otra persona, y el 33,5% usará las redes sociales.

Interrupciones operativas

Muchas pymes dependen de sistemas digitales para gestionar sus operaciones diarias. Un ataque cibernético que afecte estos sistemas puede llevar a una paralización total o parcial de la actividad empresarial.

En estos casos, la ciberseguridad para pymes es más relevante que nunca, puesto que implica costos directos por la pérdida de ingresos durante el período de inactividad. De acuerdo a un estudio de IBM Cost of Data Breach Reporte 2023, las pymes tardan en promedio 212 días en identificar un ataque y 75 días más en contenerlo.

Y el 60% de esas pymes no sobreviven más de 6 meses en el mercado tras un ciberataque severo.

Cumplimiento normativo

En muchas jurisdicciones, existen regulaciones estrictas que requieren que las empresas protejan la información personal de los clientes. Las violaciones de datos pueden resultar en sanciones legales y multas significativas, lo que puede ser financieramente debilitante para una pyme.

Axel Abraham Valdes, ISO de GIZ México, nos trae un poco de luz sobre las consecuencias de no cumplir con las normativas de ciberseguridad en pymes. Para ello nos recuerda «que la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, establece sanciones económicas de entre $8688 Y $13.900.800″.

Riesgos de ingeniería social

Las pymes a menudo carecen de políticas formales y entrenamiento en seguridad para sus empleados, lo que las hace especialmente vulnerables a tácticas de ingeniería social como el phishing.

De hecho, Kaspersky ya advertía sobre esto en el 2023. Según su estudio, Panorama de Amenazas para América Latina, se desplegaban más 544 ataques de phishing por minuto en la región.

Los tipos de ataques de ingeniería social buscan explotar uno de los eslabones más débiles de la ciberseguridad en pymes: el factor humano.

La Asociación de Internet en México, descubrió que apenas 4 de cada 10 pymes realiza capacitaciones semestrales en materia de ciberseguridad. Todavía existe alrededor de un 20% que jamás las ha implementado

Impacto en el valor de la empresa

Para las pymes que buscan inversión externa o que tienen planes de expansión, un historial de problemas de seguridad cibernética puede ser un gran desincentivo para los inversores y socios potenciales.

La seguridad robusta no solo protege los activos actuales de la empresa, sino que también asegura su atractivo a largo plazo como destino de inversión.

Ciberseguridad en pymes: ¿Qué están haciendo? Un panorama general

Pero, ¿qué está sucediendo con la ciberseguridad en pymes en México actualmente? Según la Asociación de Internet en México, el panorama se plantea de la siguiente forma:

• Capacitación: El 46% de las pymes ha capacitado a su personal técnico en ciberseguridad en los últimos 6 meses, mientras que el 10% nunca ha ofrecido capacitación.
• Inversión: Un 64% de las pymes no tiene asignado un presupuesto para ciberseguridad. Entre las que invierten, el 24% gasta entre 100 mil y 1 millón de pesos anualmente.
• Estándares de Ciberseguridad Implementados: El 33% de las pymes ha implementado la norma ISO/IEC 27001, mientras que un 59% no tiene ningún estándar o marco de referencia establecido.
• Equipos Dedicados a la Ciberseguridad: El 35% de las empresas tiene una persona a cargo de la ciberseguridad, el 31% no tiene personal dedicado, y un 24% cuenta con entre 2 y 5 personas dedicadas.
• Recursos Disponibles para la Ciberseguridad: El 54% usa solo recursos propios para gestionar la ciberseguridad, mientras que el 36% combina recursos propios con apoyo de consultores externos.
• Adopción de Soluciones en la Nube y Medidas de Seguridad Implementadas: Un 86% de las pymes utiliza servicios en la nube. La seguridad de estos servicios es gestionada conjuntamente por el proveedor y la organización en el 54% de los casos.
• Medidas de Seguridad Implementadas: Las más comunes son antivirus (69%), actualización de sistemas operativos (64%) y autenticación de usuarios (63%).
• Respaldo de Información: El 50% de las empresas realiza copias de seguridad de su información en la nube, mientras que el 25% utiliza unidades externas.
• Implementación de Políticas de Ciberseguridad: El 55% de las empresas tiene políticas sobre longitud y complejidad de contraseñas, y el 45% solicita cambios de contraseñas en un plazo menor a tres meses.
• Gestor de Contraseñas y 2FA: El 56% de los empleados utiliza un gestor de contraseñas proporcionado por la organización, y el 59% de las empresas usa algún tipo de autenticación de dos factores (2FA).
• Incidentes de Ciberseguridad: La suplantación de identidad (phishing) afecta al 40% de las pymes, mientras que el secuestro de datos (ransomware) y otros tipos de ataques presentan una incidencia del 20%.
• Reporte de Incidentes a Autoridades: Menos del 20% de las empresas reporta incidentes a las autoridades, con un 60% desconociendo el marco legal adecuado para hacerlo.
• Acciones Gubernamentales Requeridas: El 64% de las empresas sugiere que el gobierno debe crear un organismo de coordinación nacional en materia de ciberseguridad.

Lo que queda por hacer: ¿cómo implementar la ciberseguridad en pymes?

Para mejorar la ciberseguridad en pymes de México, es crucial adoptar un enfoque integral que aborde tanto la tecnología como la educación y la gestión de riesgos.

Pero, ¿cómo implementar la seguridad informática en entornos tan complejos como el de las pymes? Aquí algunas recomendaciones:

1 | Detecta y prioriza tus activos más críticos

Identificar y proteger los activos más críticos es el primer paso para una defensa efectiva. En una pyme, estos activos pueden incluir:

• Bases de datos de clientes.
• Información financiera.
• Propiedad intelectual.

Realiza un inventario detallado de todos los activos digitales y clasifícalos según su importancia y riesgo. Una vez identificados, implementa medidas de protección como cifrado, controles de acceso estrictos, y monitoreo constante.

2 | Implementa la seguridad por diseño

Integrar la ciberseguridad para pymes desde el inicio de cualquier proyecto tecnológico es fundamental.

La seguridad por diseño implica incorporar prácticas de codificación segura y realizar pruebas de penetración antes de lanzar cualquier producto.

Recursos educativos como los ofrecidos por OWASP proporcionan guías y herramientas útiles. Además, seguir a expertos en seguridad como Troy Hunt, que ofrecen consejos prácticos y capacitaciones, puede elevar la competencia del equipo de desarrollo en prácticas de seguridad avanzadas.

3 | Trabaja en tus métodos de autenticación

La implementación de autenticación multifactor (MFA) es una de las medidas de seguridad más efectivas y accesibles.

Herramientas como Google Authenticator y Authy proporcionan una capa adicional de seguridad que es crítica, especialmente para el acceso a sistemas y datos sensibles.

Al implementar MFA, asegúrate de proporcionar capacitación adecuada a los empleados para garantizar que entiendan y adopten correctamente la tecnología.

4 | Haz contratos con proveedores que también priorizen la ciberseguridad

Es vital asegurar que cualquier proveedor de servicios, especialmente los de servicios en la nube, tenga políticas de seguridad robustas. Los contratos deben incluir cláusulas que aseguren la protección de datos y especificar las responsabilidades del proveedor en caso de una violación de datos.

Esto garantiza que tanto la pyme como el proveedor estén alineados en términos de expectativas de seguridad y cumplimiento de normativas.

5 | La capacitación de ciberseguridad en pymes no puede faltar

El factor humano a menudo es el eslabón más débil en la ciberseguridad en pymes.

Implementar un programa continuo de cursos de cibereguridad para empresas que cubra aspectos básicos y avanzados de la ciberseguridad es crucial.

Pero, ¿por dónde empezar a capacitar? Temas como el phishing, manejo seguro de contraseñas y seguridad en redes sociales no pueden faltar en una primera instancia.

Posteriormente, evaluar regularmente el conocimiento del personal puede ayudar a medir la efectividad de la capacitación y a identificar áreas de mejora.

6 | Aplica una política de respuesta a incidentes

Desarrollar una política de respuesta a incidentes que incluya procedimientos claros para la detección, notificación y remedio de incidentes de seguridad es fundamental.

Esta política de ciberseguridad debe ser conocida por todos los empleados y debe incluir protocolos para la comunicación interna y externa. Especialmente en relación con las autoridades regulatorias y los afectados por un incidente.

7 | Usa soluciones SIEM para el monitoreo activo

El uso de herramientas de Monitoreo de Seguridad y Gestión de Eventos e Información (SIEM) puede ser transformador.

Para las pymes, soluciones como Splunk Free o ELK Stack ofrecen funcionalidades de monitoreo en tiempo real sin un costo prohibitivo.

Si no se cuenta con el personal de TI necesario para gestionar estas herramientas, considerar la posibilidad de servicios gestionados puede ser una opción viable.

8 | Participa en comunidades de ciberseguridad en pymes

Unirse a comunidades de ciberseguridad y participar en eventos y talleres puede proporcionar recursos valiosos y oportunidades de aprendizaje.

Puedes mantenerte pendiente a eventos, publicaciones o alertas de:

• Insituto Nacional de Ciberseguridad: CERT
• Policia cibernética
• ISACA México
• Asociación Mexicana de Ciberseguridad

9 | Cumplimiento de la Legislación

Conocer y cumplir con la legislación local sobre protección de datos y ciberseguridad es crucial. En México, esto incluye la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, entre otras.

Mantenerse actualizado sobre estas normativas ayuda a evitar sanciones y mejora la gestión de riesgos.

10 | Incorporación en Programas de Gobierno

Explorar programas de gobierno que ofrecen asesoría, soporte y posibles incentivos financieros es una excelente manera de fortalecer la ciberseguridad sin incurrir en costos elevados.

Iniciativas del Instituto Nacional del Emprendedor (INADEM) y otros programas similares pueden ser de gran ayuda.

Conclusión

Ante el crecimiento exponencial de las amenazas cibernéticas, la ciberseguridad en pymes se ha consolidado como un pilar esencial para la seguridad económica y operativa del país.

Las pequeñas y medianas empresas, que forman la mayoría del tejido empresarial, deben adoptar medidas de ciberseguridad proactivas y continuas para proteger sus operaciones y datos críticos. La implementación de políticas robustas, la capacitación constante de los empleados y la inversión en tecnología adecuada no son solo estrategias defensivas, sino inversiones fundamentales en su futuro.

Al asegurar sus sistemas digitales, las PYMES no solo se protegen contra interrupciones potencialmente devastadoras, sino que también fortalecen su competitividad en una economía global cada vez más interconectada.