La digitalización de nuestras actividades personales y organizacionales ha incrementado la frecuencia anual de ciberataques. La ingeniería social y el phishing son las modalidades más usadas para realizar fraudes informáticos. En este escenario, es clave conocer a fondo el escenario global y las medidas que podemos implementar en nuestros negocios.

Inversión en ciberseguridad

La información es un activo importante para las personas y, por ende, para cualquier organización o negocio, ya que contiene datos confidenciales o sensibles sobre transacciones financieras, comerciales y administrativas que son relevantes para sus fines estratégicos. Además, las empresas manejan datos de clientes, proveedores y personal que deben gestionarse con responsabilidad, según la Ley de Protección de Datos Personales.

La información en su estado físico (documentos, archivos, etc.) puede custodiarse medianamente en un ambiente cerrado. Sin embargo, en un entorno digital creciente, la información puede almacenarse en discos, en la nube (data centers de terceros), en procesamiento o en redes de transmisión (pública o privada), lo que la expone a todo tipo de intercepción o amenaza natural o intencional por parte de los ciberdelincuentes.

Si bien las empresas, en general, han aumentado su inversión en recursos de ciberseguridad, como consecuencia del incremento de amenazas, los montos invertidos por las pymes son insuficientes. Sus transacciones en canales digitales han aumentado hasta en 50 %. A su vez, es necesario contar con personal preparado y actualizado en seguridad informática para implementar buenas prácticas de ciberseguridad a nivel organizacional.

Cifras importantes

Según Google, existen más de dos millones de webs falsas, creadas para robar datos personales y claves de acceso. A su vez, el World Economic Forum (WEF) estima que el impacto global del cibercrimen en el 2021 fue de USD 6 billones, equivalente al 1 % del producto bruto interno (PBI) global.

El crecimiento de ciberataques puede variar en cada país. Sin embargo, una encuesta realizada en 2021 por la consultora Ernst & Young determinó que el 55 % de empresas peruanas había experimentado un incremento de ciberataques en diversas modalidades durante la pandemia.

Si consideramos un estudio realizado por Fortinet, Perú es el tercer país que registra más ciberataques en Latinoamérica, con un volumen de 4700 millones de intentos. Otro estudio realizado por Kaspersky en la región señala que el número de ciberataques en el Perú durante el 2021 creció un 71 % respecto al año anterior.

Impacto en empresas pequeñas

Un estudio realizado por IT Masters señala que el 43 % de los ciberataques en el mundo afectan a pequeños negocios. En Perú, los ciberataques a pequeñas y medianas empresas (pymes) se duplicaron durante la pandemia, según un estudio realizado por IBM.

Este tipo de negocios se consideraba un blanco fácil por su poca inversión en personal y herramientas de ciberseguridad, sin considerar su mayor exposición por el uso de equipamiento informático poco protegido, así como de software con sistemas operativos obsoletos y sin soporte técnico.

Entre las pymes aún persiste el mito erróneo de que implementar soluciones de ciberseguridad es caro y requiere expertos en tecnologías de la información (TI) para su correcta gestión. Hoy existen muchas opciones para implementar estas estrategias, así como para su gestión directa o mediante terceros.

Los costos de la implementación están correlacionados con la cantidad de usuarios y activos de información a resguardar. No obstante, la organización, sin importar su tamaño, debe promover una cultura de seguridad de la información en todos los niveles, incluyendo clientes y proveedores.

Riesgos cibernéticos

Las pymes suelen priorizar su inversión en los recursos relacionados al core del negocio. Sin embargo, la digitalización de sus procesos ha migrado la información física a medios informáticos y gran parte circula en el ciberespacio. Ello representa un riesgo operativo, comercial y económico. Si los activos de información son hackeados, pueden afectar la integridad, disponibilidad y confiabilidad de la información.

La pregunta es qué tanto valoran las pequeñas empresas esta información y cuánto estarían dispuestas a gastar por mantenerla resguardada. Al respecto, pueden empezar incluyendo en la organización a un especialista en seguridad informática, no solo para implementar buenas prácticas de ciberseguridad en los sistemas y equipos informáticos, como la instalación de Antivirus, Firewalls, IDS/IPS, VPNs, sino también para promover una cultura de seguridad en la organización.

También existen muchas aplicaciones en software libre disponibles en internet para ordenadores simples o servidores de infraestructuras críticas que pueden ayudar a disminuir los costos, entre los que tenemos: Alpine, BackBox, BlackArch, Blackubuntu, Bugtraq, Caine, ClearOS, Container Linux, DEFT, Discreete, GnackTrack, Heads, Hyperbola, IPCop, IPFire, Ipredia, Kali, Kodachi, LPS, Network Security Toolkit, NodeZero, OpenBSD, OpenWall, Parrot, Pentoo, PureOS, Qubes, Samurai Web Security Framework, Santoku, SecurityOnion, Smoothwall, Tails, Trisquel, TrustedBSD, ubGraph, Whonix, WifiSlax, Xiaopan (Fuente: GNU/Linux)

Otra opción es seleccionar a un proveedor que brinde servicios de ciberseguridad, por lo que es recomendable evaluar alternativas en base a las referencias de los clientes para tomar la mejor decisión.

Acciones clave

Toda pyme debe aplicar, al menos, las siguientes prácticas de ciberseguridad:

• Identificar activos críticos de información del negocio, como la información comercial, financiera, administrativa y estratégica, así como los recursos informáticos disponibles, como computadoras, dispositivos móviles, hardware, software y redes de datos que soportan los procesos de negocio.

• Identificar las vulnerabilidades de estos activos de información, así como los riesgos y las amenazas inherentes al negocio. Esta acción permitirá desarrollar un plan de trabajo para la implementación gradual de buenas prácticas de ciberseguridad.

• Efectuar copias de respaldo permanentes de la información digital del negocio.

• Contar con soporte técnico de hardware y software, manteniendo actualizados los sistemas operativos con parches de seguridad.

• Promover una cultura de seguridad de la información en todos los usuarios internos y externos del negocio.

• El área interna o externa a cargo de la seguridad de la información debe realizar un monitoreo permanente de eventuales ciberataques para aplicar acciones de respuesta y recuperación de la información.

Si la pyme tiene un presupuesto muy limitado, existen acciones básicas que también puede aplicar. Entre ellas figura:

• Realizar con frecuencia copias de seguridad de los datos.

• Actualizar los softwares con regularidad.

• Cambiar la contraseña del router del wifi con frecuencia.

• Instalar antivirus en todos los dispositivos que use el negocio.

• Usar contraseñas de acceso a las aplicaciones, incluyendo verificaciones biométricas.

• Crear una cultura preventiva y de seguridad de la información entre todos los colaboradores del negocio, aplicando políticas sobre navegación segura en internet, verificación de USB desconocidos, uso de contraseñas fuertes, uso de correo empresarial, etc.

• En la medida en que crezca el negocio, será necesario contar con un personal técnico especializado para monitorear los accesos o, en su defecto, tercerizar este servicio.

Es clave entender que las ciberamenazas evolucionan al igual que la tecnología. Por ello, los antivirus deben mantenerse actualizados y contar con los parches de seguridad correspondientes. También es importante considerar que el 34 % de las vulnerabilidades cibernéticas no tiene un parche conocido, según IT Masters. Tomar conciencia de este riesgo por parte de toda la organización impulsará la promoción de medidas preventivas para el cuidado de la información.