Avatar
  • En el estudio participaron CIOs de Brasil y México.

Por Ghassan Dreibi

Director de Seguridad
Cisco América Latina

Presentamos nuestro reporte más reciente de la Serie de Ciberseguridad,“Big Security in a Small Business World, que examina cómo las organizaciones pequeñas y medianas están adoptando la ciberseguridad para hacer crecer sus negocios.

Estamos publicando este informe en un momento complicado de nuestras vidas. Sabemos y entendemos que las pequeñas y medianas empresas de todo el mundo se enfrentan a retos sin precedentes en sus operaciones. Con todo lo que se afronta ahora, ¿cómo saben en qué enfocarse para mantenerse seguros? ¿Cómo protege a su compañía de los ataques, si está operando con menos empleados?

En este informe exploramos y desacreditamos 10 mitos que existen en torno a la ciberseguridad para las empresas más pequeñas.

La industria de la seguridad ha sido injustamente dura con las pequeñas y medianas empresas a la hora de reconocer lo bien que se prioriza la ciberseguridad. Este informe, basado en una encuesta realizada a 500 PyMES -definidas aquí como organizaciones con 250-499 empleados-, y realizado en 13 países, incluyendo Brasil y México en América Latina, revela que no sólo se toman la seguridad muy en serio, sino que su enfoque innovador y empresarial de la seguridad también está dando frutos.

Es hora de acabar con algunos mitos sobre la forma en que las pequeñas y medianas empresas utilizan sus recursos de seguridad cibernética. Aquí hay algunos aspectos destacados de lo que el estudio reveló:

Mito 1: Solo las organizaciones grandes enfrentan el escrutinio público – en todas sus formas

Falso, el año pasado ambos enfrentaron el mismo nivel de escrutinio público

  • 74% de las PyMES recibieron preguntas de los clientes y prospectos sobre cómo estaban manejando sus datos, comparado con el 77% de las organizaciones grandes.

Mito 2: Las organizaciones grandes tienen menos tiempo de inactividad (downtime) y se recuperan más rápido de los ataques.

Falso: La información muestra que hay una muy ligera diferencia entre el tiempo inactivo que tiene una empresa grande y una pequeña

  • El año pasado 24% de las PyME enfrentaron downtimes de más de ocho horas de su violación de seguridad más severa comparado con 31% de las organizaciones grandes.

Mito 3.- Las PyMES no tienen personal dedicado a la seguridad

Falso: Puede ser el caso de algunas ya que menos del 1 % dijeron que no tenían a nadie dedicado a la seguridad

  • 60% reportó tener más de 20 personas dedicadas, incluyendo los que tienen de manera externa a través de algún proveedor

Mito 4: Las grandes corporaciones tienen infraestructura más actualizada

Parcialmente cierto: 54% de los grandes corporativas dicen que su tecnología está actualizada en comparación del 42% de las PyMEs

94% de las PyME dicen que hacen actualizaciones regularmente o constantemente

Mito 5: Las PYMES se enfrentan a amenazas diferentes que las grandes empresas

Parcialmente cierto: En tanto que las tácticas son comparables, los criminales son diferentes.  Comparamos los tipos de ataques que tanto las PYMES y las grandes empresas informaron que experimentaron durante el último año. También comparamos la cantidad de tiempo de inactividad causados por los ataques. Muchos, como ransomware, no discriminan por tamaño de negocio. Las amenazas afectan a las organizaciones indiscriminadamente, sin importar su tamaño.

Mito 6.- Las PyMES no son proactivas en detectar amenazas

Falso: 72% de las PyME tienen empleados dedicados a detectar amenazas comparado con el 76% de las organizaciones grandes.

Mito 7: Las empresas pequeñas no prueban sus planes de respuesta a incidentes con simulacros

Falso. Solo el 1% de las PyMES no realizan nunca una prueba de su plan. 46% de ellas lo prueban cada 6 meses en comparación con el 49% de las organizaciones grandes.

Mito 8: El liderazgo de las PyMES no toma en serio la seguridad y la privacidad de los datos

Falso: Con los datos tomados de tres preguntas de la encuesta sobre la privacidad de datos, programas de concientización sobre ciberseguridad, y el compromiso de los ejecutivos con la seguridad desde el inicio, demostramos que este mito no es real. El liderazgo ejecutivo está informado y comprometido.

Mito 9.- Organizaciones más pequeñas no “aplican parches” con regularidad en las vulnerabilidades

Falso: 56% de las PyMES “aplican parches” cada semana o semanalmente, comparado con el 58% de las empresas grandes

Mito 10 .- Las PyMEs no pueden medir la eficacia de sus programas de seguridad

Falso: 86% de las PyMEs dicen tener métricas claras para evaluar la efectividad de su programa de seguridad, comparado con el 90% de las organizaciones grandes.

Completamos el informe desde donde están las PyMES y hacia donde se pueden dirigir; específicamente, la necesidad de simplificar la seguridad y la orientación para mantener la seguridad en el cambio a una fuerza laboral remota.

Hacer que la seguridad sea tan simple como sea posible, pero no menos efectiva, ha sido durante mucho tiempo una guía. Pero encontrar datos que apoyen la eficacia de un menor número de proveedores ha sido difícil de conseguir. En este estudio, el mayor número de proveedores que nuestros encuestados de PyMES utilizaron se tradujo claramente en un mayor tiempo de inactividad reportado de su infracción más grave. Esto varió de un promedio de cuatro horas usando un proveedor, a un promedio de más de 17 horas usando más de 50 proveedores. Estos datos son convincentes para apoyar la tendencia de consolidación de proveedores.

Una preocupación más apremiante para muchos es adaptarse a una postura de trabajo remota. Teniendo en cuenta esta nueva realidad, necesita una estrategia para proteger a los empleados y dispositivos fuera del sitio, al tiempo que admite la flexibilidad y la capacidad de respuesta por las que son conocidas las PyMES. Al final, el informe proporciona información para manejar estos desafíos en el contexto de lo que ahora sabemos sobre la seguridad de las PyME. Esta es una guía práctica que puede poner en marcha inmediatamente.

Le invitamos a leer el reporte completo en Inglés: Big Security in a Small Business World.