Riesgos de Ciberseguridad en las pymes

By:
Hiscox España
Hiscox España

La ciberseguridad se ha convertido en una de las principales preocupaciones de los estados y los CEOs a nivel mundial. Riesgos como los ciberataques, fuga de datos o ataques a infraestructuras críticas aparecen dentro de los principales riesgos que pueden afectar a la estabilidad económica mundial según el informe Global Risk Landscape del World Economic Forum. Esto ha derivado en una mayor presión regulatoria por parte de los legisladores estatales.

Estos riesgos no solo afectan a las grandes organizaciones y entes gubernamentales. Las consecuencias para las PYMES pueden ser catastróficas. Por ello, se requiere que las PYMES dispongan de una estrategia de ciberseguridad y unos planes de acción para mitigar dichos riesgos.

Pero, ¿cuáles son las principales amenazas para las empresas? Por un lado está la ciber-amenaza y por otro, la presión regulatoria. Vamos a verlas por separado.

¿Qué es una ciber amenaza?

Estos que mencionamos a continuación son solo algunos de los riesgos de ciberseguridad para las pymes. En concreto, estas que te presentamos a continuación se consideran ciber-amenazas y se traduce en una serie de riesgos. Por lo tanto, es muy importante para la seguridad empresarial contar con la infraestructura informática necesaria para protegerse contra estos ataques.

Principales riesgos de ciberseguridad a las que se enfrentan las PYMES

Ransomware

Software de carácter malicioso mediante el cual el ciber-delincuente «secuestra» la información del usuario cifrándola. Seguidamente el ciber-delincuente solicita un rescate económico para que los datos puedan ser recuperados.

Phishing

Estafa cometida a través de medios telemáticos mediante la cual el estafador intenta conseguir, de usuarios legítimos, información confidencial (contraseñas, datos bancarios, etc.) de forma fraudulenta.

APT – Advanced persistent threats

Se trata del más sofisticado de todos.  Una APT usa múltiples vías de ataque para conseguir un fin concreto. Por ejemplo, el acceso a una información altamente confidencial para la organización. Para ello, el atacante puede usar técnicas de ingeniería social, explotar vulnerabilidades, acceder a sistemas sensibles y por último proceder al robo de la información confidencial.

¿Cuál es la presión regulatoria para PYMES?

La Presión regulatoria que se aplica a pequeñas y medianas empresas se materializa en las siguientes legislaciones:

GDPR

Reglamento Europeo General de Protección de Datos.

Directiva NIS

Directiva sobre seguridad de las redes y los sistemas de información. Directiva que impactará en los proveedores de servicios digitales (mercados en línea, motores de búsqueda y servicios en nube) así como en los proveedores de servicios esenciales

Estas legislaciones llevan aparejadas además un régimen regulatorio con unas sanciones muy estrictas que pueden afectar a la cuenta de resultados de cualquier organización.

Consecuencias de los ciberataques para las PYMES

Ante esta situación de amenaza global las PYMES no pueden mirar para otro lado. La materialización de una amenaza de estas características puede tener consecuencias catastróficas para los negocios impactando en la cuenta de pérdidas y ganancias con costes económicos directos, de servicio, de reputación e imagen, por sanciones, etc. Es por ello que consideramos imprescindible que todas las PYMES dispongan de una estrategia de gestión de riesgos de ciberseguridad desde un doble enfoque:

  • Probabilidad: La implantación de controles de ciberseguridad debe partir de un análisis de riesgos. Para ello las organizaciones pueden partir de estándares internacionales como la ISO 27000.
  • Impacto: Disponer de procedimientos de detección y respuesta a incidentes de seguridad, copias de seguridad o planes de continuidad de negocio se convierten en controles necesarios para mitigar el impacto de cualquier incidente.

Cómo reducir el riesgo de ciberataques en las PYMES

Minsait, la unidad de negocio de Indra que tiene como objetivo dar respuesta a los retos que la transformación digital plantea a empresas  e instituciones. Pero, ¿Cómo se mitiga el impacto y cómo hacemos frente a las ciberamenazas?

En primer lugar, mediante un decálogo para empresas que detalle los controles clave en materia de ciberseguridad.

  1. Disponer de una política de seguridad de la información
  2. Disponer de un inventario de controles que permita cumplir con la normativa de aplicación en materia TIC (privacidad, servicios de sociedad de la información, ciberseguridad, etc.)
  3. Disponer de mecanismos de control de acceso y una política de contraseñas seguras
  4. Disponer de tecnologías de protección antivirus
  5. Efectuar revisiones periódicas del nivel de ciberseguridad mediante técnicas de hacking ético.
  6. Desarrollar software seguro desde la concepción del mismo (privacy-by-default)
  7. Disponer de capacidades de detección y respuesta a incidentes de seguridad: Dichas capacidades pueden ser alcanzadas mediante servicios de monitorización de la ciberseguridad (también denominados SOC, Security Operations Center)
  8. Efectuar planes de formación y concienciación periódicos
  9. Efectuar copias de seguridad y almacenarlas en un lugar seguro
  10. Disponer de un plan de continuidad de negocio

Además, consideramos que la contratación de seguros de ciber-riesgo es una estrategia clave de cara a la mitigación del impacto de dichas amenazas. Nuestras pymes podrán desarrollar su actividad con mayor tranquilidad si ponen  en práctica este decálogo, van de la mano de un experto en materias de prevención que le presente una propuesta de valor adaptada a cada una de sus necesidades, e implemente internamente una estrategia en materia de ciberseguridad. 

El ciberseguro, una protección indispensable para las pymes

La transformación digital de las empresas se ha visto impulsada por la pandemia en 2020, y esto ha generado que nuestro tejido empresarial, desde grandes compañías pero también pymes y autónomos nunca haya estado tan expuesto al ciberriesgo como hoy. Esta realidad sumada al aumento de la conciencia del asegurado o potencial cliente respecto a que cualquier cosa puede suceder, ha derivado en un aumento en la demanda de seguros frente a posibles ciberincidentes.

Dentro de las coberturas y servicios más demandados encontramos aquellos que ofrecen protección frente a brechas de seguridad y vulneraciones de datos, ataques cibernéticos en general y de extorsión en particular.

Por otro lado están la interrupción de negocio (algunas compañías dependen al 100% de la tecnología para desarrollar su actividad) y por supuesto, coberturas que respondan a errores cometidos por empleados o proveedores que desencadenan una brecha de datos o un fallo en la seguridad.

El ciberseguro Hiscox CyberClear 360º es el Seguro Ciber más completo del mercado,  y asegura a las pymes ante el perjuicio económico producido por un incidente en sus sistemas de información o recursos informáticos. No importa si el suceso se ha originado interna o externamente, o si ha sido accidental o no.

Ante esta situación, el seguro asumiría el coste que se pudiera generar, por ejemplo, por la paralización o cese del negocio, pérdidas de clientes, recuperación de reputación, consecuencias legales e indemnizaciones por la publicación de datos personales e información confidencial de terceros. Además, se cubrirán los gastos de honorarios de expertos en seguridad informática, legal o comunicación, entre otros si fuera necesario.

Cada riesgo se estudia de manera individualizada y por lo tanto las primas se ajustan para cada cliente. Pero una pyme podría acceder a nuestro seguro a partir de una prima de 350€ anuales y con total acceso a los servicios adicionales.

Por ejemplo, herramientas para mejorar la ciber preparación de la empresa a través de la plataforma ‘Servicios de Ciberseguridad Hiscox’ o ‘Hiscox CyberClear Academy’, nuestra plataforma de formación online en materia de ciberseguridad, diseñada específicamente para concienciar y reducir el riesgo de que una empresa sufra un ataque ciber.

Es importante que seamos conscientes de que cualquier empresa que tenga una web, un datáfono, estén conectados a un servidor o simplemente un correo electrónico puede ser víctima de un ciber incidente. La concienciación sobre la posibilidad de sufrir un ciberataque es la primera medida de prevención para las empresas, sobre todo las pymes.