Las empresa pequeñas y medianas (pymes) son un objetivo cada vez más buscado por los ciberdelincuentes, que se han dado cuenta de la vulnerabilidad de estas organizaciones con recursos limitados y políticas de ciberseguridad insuficientes. Además, ven estas compañías más pequeñas como la puerta de entradas a otras de mayor envergadura de su cadena de suministro, lo que las convierte en una presa con un gran potencial.
El 98% de los ciberataques en pymes tenía motivaciones económicas, y las credenciales expuestas tuvieron un papel clave en el 54% de los casos - Verizon DBIR, 2023
Para arrojar luz sobre el impacto real de estas tendencias en las pymes, LastPass realizó recientemente una encuesta entre más de 600 altos cargos y responsables de seguridad de TI de empresas con menos de 3.000 empleados.
La encuesta reveló un patrón preocupante: aunque los responsables de las pymes tienen una actitud cada vez más proactiva en materia de ciberseguridad (con un aumento de la concienciación y de la inversión en medidas de seguridad, por ejemplo), los encuestados aseguraron que el factor humano sigue creando importantes brechas de seguridad, que dejan a estas organizaciones en una situación de vulnerabilidad ante los ciberdelincuentes.
¿Cómo se pueden cerrar estas brechas? Siga leyendo para descubrir el análisis del problema y las recomendaciones del equipo de inteligencia sobre amenazas de LastPass.
Diagnóstico inicial: desconexión entre medidas y comportamientos
El dato más revelador que puso sobre la mesa la encuesta fue la desconexión entre las medidas adoptadas por la dirección y los comportamientos de los empleados.
La ciberseguridad y la inversión en este apartado son cada vez más una prioridad para los equipos directivos: el 90% de los responsables de TI y el 80% de los responsables de otras áreas aseguran haber aumentado la atención a la ciberseguridad en el último año, y el 82% de las empresas han incrementado sus presupuestos en esta área.
A su vez, el 92% de los ejecutivos y el 93% de los responsables de TI tienen la percepción que los empleados entienden las expectativas en seguridad. Y la mayoría de los directivos y los responsables de TI confían en las medidas de ciberseguridad adoptadas; solo el 30% cree que su empresa se enfrenta a serios riesgos en este terreno.
Los responsables de las pymes tienen una actitud cada vez más proactiva en materia de ciberseguridad, pero el factor humano sigue creando importantes brechas de seguridad, que dejan a estas organizaciones en una situación de vulnerabilidad.
Sin embargo, la encuesta apunta a una realidad diferente sobre el terreno:
● Solo el 78% de los responsables de otras áreas cree que los empleados entienden las expectativas de seguridad vinculadas a su trabajo.
● 1 de cada 5 directivos reconoce saltarse las políticas de seguridad.
● 1 de cada 10 responsables de seguridad reconoce saltarse las políticas de seguridad.
● 1 de cada 4 empleados jóvenes seguramente se salta las políticas.
● El 36% de los profesionales de la Generación Z admite que apunta las contraseñas.
La encuesta señala que la inversión económica en ciberseguridad crece, pero que hacen falta también inversiones cualitativas.
Cómo cerrar la brecha: recomendaciones para reforzar la ciberseguridad
A la luz de estos resultados, los responsables de las pymes deben actuar en tres ejes para mejorar sus estrategias en ciberseguridad: cambios en las políticas, más formación para los empleados y fomento de una cultura de la seguridad.
Consejo 1: Impulsar la formación en ciberseguridad
Fuera de los departamentos de TI, los responsables señalaron estos factores como principales barreras al cumplimiento de las medidas contra las ciberamenazas: falta de comprensión real del problema, infravaloración de la importancia de estos esfuerzos y ritmo trepidante en su día a día. Todo ello pone de manifiesto la necesidad de crear programas de formación que aborden específicamente estos desafíos.
Para acabar con esta desconexión, las pymes deberían desarrollar unas estrategias de comunicación claras y organizar periódicamente sesiones de formación en todos los niveles de la organización. De este modo, todos y cada uno de los empleados tendrán claro su papel crucial en este esfuerzo por reforzar la ciberseguridad, y entrarán en el círculo virtuoso de rendir cuentas y cambiar su comportamiento.
Otra consideración importante es que la formación no puede ir solo de arriba abajo. Hay que mejorar la comunicación para que todos los empleados apliquen exactamente los mismos protocolos de seguridad. Los directivos deberían realizar reuniones con personas de diferentes departamentos para asegurarse de que todos los componentes de la organización entienden y respetan las políticas de ciberseguridad. En este sentido, son útiles también las auditorías periódicas y las sesiones de feedback para identificar las áreas donde falta conocimiento.
Consejo 2: Más palos y más zanahorias
Ante los preocupantes datos de infracción de las políticas arrojados por la encuesta, sobre todo entre los más jóvenes y determinados cargos directivos, los responsables de las pymes deberían poner en marcha un plan que refuerce los incentivos por cumplimiento y, a la vez, aumente las consecuencias por infracción. Crear una cultura abierta, que normalice la comunicación de infracciones, puede ser también una apuesta interesante: sus empleados pueden convertirse en los principales embajadores de la seguridad.
Además, todos los profesionales de la seguridad que llevan tiempo en el sector han comprobado de primera mano que muchas infracciones se producen simplemente porque un empleado quiere hacer su trabajo. Ante esta realidad, los máximos responsables deberían introducir procesos más sencillos para las excepciones a las políticas de ciberseguridad. Un proceso claro y sencillo para obtener la autorización de saltarse temporalmente una política de seguridad permitiría a los empleados hacer su trabajo sin romper las normas.
Consejo 3: Adoptar un programa de seguridad basado en inteligencia sobre amenazas
Es alentador constatar que los responsables de las pymes ven con optimismo la seguridad, pero este optimismo a veces puede llevar a la inacción. Es crucial que entiendan cuáles son sus joyas de la corona, quién intenta arrebatárselas y las amenazas más probables. Un programa de seguridad basado en inteligencia sobre amenazas puede ayudarles a tomar consciencia sobre las amenazas reales a las que se enfrentan, en lugar de actuar a ciegas.
El análisis periódico de los riesgos y la supervisión de las amenazas deberían formar parte de la rutina de las pymes: es la única forma de saber en qué punto se encuentran en materia de seguridad. La identificación proactiva de amenazas y la creación de estrategias de respuesta puede ayudar también a conocer y mitigar los riesgos antes de que vayan a más.
Consejo 4: Usar un gestor de contraseñas
La encuesta revela que la gestión de las contraseñas expuestas merece una atención prioritaria. Los gestores de contraseñas son cada vez más habituales en las pymes y este es un dato positivo, pero también hay otro más preocupante: en casi la mitad de los incidentes de seguridad se detectó el uso de contraseñas filtradas.
Frente a estas alarmantes cifras, las pymes deberían imponer el uso de gestores de contraseñas en el conjunto de su organización. Además, no puede faltar la formación continua sobre la seguridad de las contraseñas para que los empleados entiendan realmente lo que hay en juego y no resten importancia a las políticas en este terreno.
Consejo 5: Atención a las amenazas generadas por IA
Ante este futuro lleno de desafíos, las pymes deben estar atentas a los ataques de phishing, las vulnerabilidades en la nube y las posibles filtraciones de información de la empresa por ataques de ransomware o malware. Y no pueden perder de vista tampoco el creciente protagonismo de la inteligencia artificial en la ciberseguridad, sobre todo de los ataques de phishing generados con IA.
Si quieren estar al día de los avances tecnológicos en ciberseguridad e IA, los responsables tendrán que valorar la opción de invertir en herramientas de seguridad basadas en IA, con sistemas avanzados de detección de amenazas y una mejor capacidad de respuesta. Todo ello sin olvidar la formación a los empleados en las últimas estrategias de phishing, en especial aquellas generadas con IA.
Ni tan las empresas más grandes del mundo, con todos tipo de recursos a su alcance, escapan a los riesgos de ciberseguridad. ¿Por qué deberían estar más tranquilas las pymes?
Unos pequeños pasos pueden dar grandes resultados en las pymes
Reforzar la seguridad en las pymes no es un destino, sino un camino que recorrer cada día. Y no hay mejor receta que “confiar y verificar” para este tipo de organizaciones: es importante que los responsables confíen en sus empleados y sistemas, pero también que verifiquen continuamente que las políticas de seguridad están al día, funcionan y se aplican.
El aumento de la concienciación y la inversión que refleja la Encuesta sobre ciberseguridad en las pymes es, sin duda, una buena noticia. Sin embargo, todavía queda mucho trabajo por hacer para alinear la cultura de ciberseguridad con las políticas y cerrar la brecha entre la percepción de los equipos directivos y los comportamientos de los empleados. Apostando por la formación integral, la aplicación sin fisuras de las políticas y tecnologías innovadoras, las pymes conseguirán fortificar sus defensas y poner las bases para un futuro más seguro.
Lea el informe íntegro para saber más sobre los desafíos de ciberseguridad de las pymes.*
*Este informe solo está disponible en inglés.