Según estudios recientes, tres de cada cuatro pymes han experimentado algún problema de ciberseguridad. Estas compañías son un objetivo fácil para los ciberdelincuentes por varios motivos.
En primer lugar, no cuentan con tantos recursos técnicos o económicos para protegerse como tienen las grandes empresas y pueden carecer de personas dentro de las organizaciones dedicadas al apartado de la ciberseguridad. Además, en muchos casos los propios gestores o personal de dirección no toma este aspecto muy en serio.
La firma S2Grupo, especializada en ciberseguridad y gestión de sistemas críticos, advierte de que las pymes son las entidades que presentan más riesgos en el ámbito de la seguridad de la información y ha identificado los siete obstáculos que necesitan superar para estar protegidas.
“Las pymes tienen una fuerte dependencia de las TIC a la hora de desarrollar sus servicios y, sin embargo, en su mayoría no disponen de medidas de ciberseguridad. Esto sucede porque hay múltiples barreras que dificultan la implementación de este tipo de estándares. Por tanto, éste es uno de los grandes retos a los que nos enfrentamos en los próximos años”, ha afirmado Miguel A. Juan, socio-director de S2 Grupo, ha declarado José Rosell, socio-director de S2 Grupo.
Estas son las mayores barreras que impiden su correcta protección:
1. Desconocimiento sobre los estándares de seguridad de la información aplicables
En muchos casos, sobre todo entre aquellas pymes que no pertenecen al sector de las TIC, existe desconocimiento acerca de los estándares existentes. A menudo echan en falta un punto de referencia o consulta único, de modo que puedan pedir consejo acerca de que estándar es el más adecuado para ellos por ser el que mejor se adapta a sus necesidades, requerimientos por parte de terceros, etc.
2. Falta de compromiso de la dirección
Debido a que los recursos de las pymes suelen estar más limitados y que sus esfuerzos están centrados en ser competitivos en su ámbito de negocio, es difícil para la dirección percibir de una manera clara cómo implementar unos estándares de seguridad de la información añade valor a su negocio y les puede proporcionar ventaja competitiva frente a la competencia.
3. Percepción equivocada acerca de los objetivos de los ciberataques
Entre la mayoría de dirigentes y empleados de pymes, existe la extendida creencia de que los ciberataques afectan principalmente a grandes organizaciones, y no a empresas de su envergadura, ya que ellos no almacenan y/o tratan información tan crítica.
4. Falta de contribución en el proceso de desarrollo de los estándares
El diseño de los estándares de seguridad de la información está impulsado, principalmente, por grandes organizaciones, y éstos están destinados a cubrir sus múltiples procesos de negocio. Como consecuencia, los estándares asumen que todas las organizaciones tienen los recursos suficientes para implementarlos, y que tienen el entendimiento necesario acerca de los requisitos técnicos y no técnicos que se incluyen en los mismos.
5. Falta de capacidades en ciberseguridad
Una de las principales acciones requeridas a la hora de implantar un estándar es asignar roles y responsabilidades de seguridad de la información a algunos empleados. Los roles de seguridad que son requeridos para gestionar estos estándares son varios y con distintos perfiles, y esto excede la capacidad de recursos humanos de la mayoría de pymes.
6. Presupuesto y recursos limitados
El poco presupuesto destinado a seguridad de la información parece ser uno de los grandes impedimentos para las pymes a la hora de implantar un estándar. Hay que tener en cuenta que la implementación de éstos requiere inversión en consultores especializados que les guíen, para cumplir con los requerimientos técnicos de los estándares, para adquirir soluciones software, nueva infraestructura TIC, etc.
7. Gestión de riesgos
Para la mayoría de pymes, la seguridad de la información es todavía un campo emergente y éstas no aplican el mismo grado de rigurosidad a la hora de evaluar los riesgos de seguridad de la información que a la hora de evaluar riesgos financieros, legales, operacionales, etc. Sin embargo, las pymes son poco a poco más conscientes del potencial impacto que puede tener hoy en día la interrupción de sus procesos de negocio debido a un incidente de seguridad-