Al comenzar un negocio, la seguridad informática no parece una preocupación inicial. Especialmente en el caso de las pequeñas y medianas empresas, como PYMEs y microempresas, la posibilidad de sufrir ataques cibernéticos parece tan remota que muchas PYMES apenas dedican recursos a su prevención. Si a eso se le suma que el presupuesto de muchas compañías es muy ajustado, se crea el escenario perfecto para que los ciberataques sean una realidad. Por eso en este post, te vamos a contar por qué las PYMEs y microempresas son las más expuestas a ciberataques

Dedicar poco dinero a prevenir accesos ilegítimos, junto a ignorar la importancia de cuidar sus datos o el alto coste de tener sus datos bloqueados, convierte a las microempresas y PYMEs en el blanco habitual de los criminales digitales.

Según los datos ofrecidos el año pasado por el Instituto Nacional de Seguridad (INCIBE), el ritmo de crecimiento de las amenazas es cada vez mayor. En sus informes, INCIBE ofrece datos de años previos para dejar claro el riesgo de seguridad que suponen los ciberataques: en 2015 se contabilizaron 18.000 delitos informáticos de esta clase, mientras que en el 2018 fueron 123.000, lo que significa un aumento de más del 683% en tan solo 3 años.

¿Qué riesgos corren las pequeñas y medianas empresas si la seguridad informática no es una de sus prioridades?

Existen muchos informes -además de los ofrecidos por INCIBE- que apuntan en la misma dirección: los ataques informáticos a PYMES son más comunes de lo que piensan tanto los dueños como los empleados de las mismas.

La empresa especialista en seguridad informática Kaspersky Lab asegura que 4 de cada 10 pequeñas y medianas empresas son víctimas de ciberataques. Datos muy similares a los ofrecidos por la Confederación Española de la Pequeña y Mediana Empresa (Cepyme) que hablan de un 53% de PYMES atacadas en años como el 2017. Datos que, aunque no son de este año, reflejan una realidad que no ha cambiado en estos momentos.

¿Cuál es el coste económico de no tomarse en serio la seguridad informática?

Si los ciberataques han comprometido los datos personales de los clientes la empresa infractora se enfrenta a sanciones RGPD que pueden suponer el 4% del volumen de negocios anual del año anterior o hasta 20 millones de euros dependiendo del caso.

En el caso de los ataques con ransomware -el cifrado de la información de los equipos hasta pagar un chantaje para recuperar el control del equipo- o ataques que borren los datos, el coste para una empresa es de entre 20.000 a 50.000 € al dejar de facturar y trabajar con normalidad hasta solucionar la brecha de seguridad informática. Dentro de ese coste que se produce a causa de los ataques informáticos a PYMES y microempresas también se incluye la inversión destinada a mejorar su ciberseguridad.

Algunas medidas básicas para mejorar la seguridad informática en las PYMES y microempresas

Emplear antivirus y firewalls

Contar con un antivirus profesional actualizado diariamente que sea capaz de detectar amenazas manera proactiva al reconocer emails de spam o phising de manera automática. De igual manera, para evitar los ataques informáticos a PYMES instalar un cortafuegos es un complemento indispensable para cualquier antivirus.

Actualiza todos los equipos y programas usados además del antivirus

De nada servirá contratar licencias de un antivirus profesional si no está actualizado con las últimas firmas de seguridad que le permitan reconocer un ransomware o cualquier otro tipo de malware antes de que infecte los equipos. Si los programas tienen vulnerabilidades que puedan ofrecer una puerta de acceso a los delincuentes, actualizarlos hará que sean más seguros.

Educar a los colaboradores

Concienciar a los empleados de la importancia de la ciberseguridad y de los riesgos a los que pueden enfrentarse en su día a día como las técnicas de phising para robar información confidencial o el spam. Otra ventaja de educar a los miembros de la empresa será que se aumentará la productividad al descartar con más rapidez los emails que sean basura que sólo hagan perder tiempo útil a la empresa.

Además, ofrecer a los empleados una plataforma o talleres formativos para aprender sobre ciberseguridad para que sean capaces de identificar y prevenir por su cuenta los ciberriesgos más básicos. Para ello existen guías de ciberseguridad básicas diseñadas tanto por empresas profesionales de la seguridad informática como Kaspersky Lab como por instituciones relevantes como Cepyme.

Sólo usar pendrives y memorias USB proporcionadas por la empresa

No introducir memorias externas de origen desconocido. Esta es una de las recomendaciones que más frecuentes realizadas por Kaspersky Lab. La curiosidad puede poner en riesgo los equipos y ofrecer un acceso a la información confidencial con todo lo que implica.

Emplear contraseñas complejas y temporales

Los mejores códigos de acceso a los datos serán aquellos que no sean previsibles. Por lo tanto, para tener contraseñas seguras será necesario que la contraseña:

  • Tenga una longitud mínima de 10 caracteres.
  • Incluya letras, números y signos especiales.
  • Utilice mayúsculas y minúsculas.

Además, para mantener las contraseñas seguras es aconsejable crearlas de forma aleatoria para evitar patrones y cambiarlas de manera regular.

Contar con un experto que sea capaz de parar ataques informáticos a PYMES

Contratar personal cualificado para que se encargue de la seguridad informática de manera permanente. En el caso de ciberataques que busquen acceder a los datos, no basta con aprender sobre ciberseguridad. Debe de ser un informático profesional quien se encargue de mantener a salvo la información confidencial de las PYMES y microempresas para evitar sanciones de la RGPD, amenazas de denuncias de sus clientes o el chantaje de un criminal para recuperar los datos.

Mantener copias de seguridad en distintos dispositivos

Uno de los consejos que Cepyme da para evitar chantajes y robos de información por ransomware es hacer copias de seguridad de manera habitual. A ser posible utilizando más de un dispositivo físico o en la nube y de forma diaria.

<< Ver guía sobre cómo realizar una copia de seguridad en Windows >>

De esta manera, las copias de seguridad permitirán que las PYMEs y microempresas puedan seguir funcionando con tan sólo recuperar los datos guardados.

Denunciar los ataques informáticos a PYMES y microempresas

Aunque no es una medida de seguridad, sí es algo a realizar y que se debe recordar. Cepyme recuerda que los ataques contra una empresa van contra la ley, y como tal es perseguido. Además, si se sospecha que se ha puesto en riesgo información confidencial de usuarios o clientes, la compañía está obligada a realizar la denuncia en un plazo de 72 horas y puede tener una sanción RGPD.

Como se puede ver, las PYMES y microempresas son un objetivo habitual de los delincuentes informáticos porque no son conscientes de los ciberriesgos a los que se exponen. Muchas ignoran la importancia de contar con una fuerte seguridad informática, el coste de las sanciones RGPD o no facturar por tener sus equipos bloqueados.

Con las medidas arriba mencionadas, la seguridad informática para las empresas de pequeñas dimensiones será mucho más eficaz y mantendrá los datos y los equipos informáticos a salvo de los criminales y su chantaje.

Si te ha resultado interesante este artículo, no olvides compartirlo en redes sociales para ayudar a todas esas PYMEs y microempresas que son las más expuestas a ciberataques o ataques informáticos.

¡Gracias por leer el blog de Always On!