El uso de las tecnologías de la información y comunicaciones en las organizaciones, así como la adopción de servicios en la nube, han traído grandes innovaciones y ventajas competitivas, sin embargo, esto ha implicado que la superficie de ataque de las organizaciones se haya incrementado significativamente y que las consecuencias de los ciberataques sean cada vez mayores.

Cuando analizamos los posibles impactos de un ciberataque, no solo se incluyen temas tecnológicos, sino que se abarcan aspectos de negocio, esto porque suele haber repercusiones negativas en los ingresos, en la capacidad de operar, lo que afecta a los clientes, a la reputación e imagen de la organización, y en algunos casos, incluso ocasiona multas. Las consecuencias podrían ser tan importantes que provoquen que una PyME tenga que cerrar.

Todas las organizaciones, en mayor o menor medida, pueden sufrir las consecuencias de un ciberataque, sin distinción del tamaño, sector o giro. Esto quiere decir que las PyME también son blanco de ataques, ya sean “oportunísticos” (aquellos que buscan afectar a quien se pueda) o dirigidos (enfocados en una organización específica). En este último caso, el ataque es dirigido a una PyME para utilizarla como vehículo para atacar y comprometer a otra empresa más grande, a la cual esa PyME le presta servicios.  

Por otro lado, cada vez es más frecuente que las organizaciones exijan a sus proveedores el cumplimiento de ciertas prácticas fundamentales de ciberseguridad (algunos le llaman “ciberhigiene”), desde el proceso de contratación y durante toda la vida del contrato. Por lo anterior, contar con medidas de ciberseguridad no es un lujo sino un factor de éxito para competir adecuadamente.

De igual forma, los clientes finales son cada vez más exigentes sobre la privacidad de sus datos y sobre el cuidado que ellos esperan que las empresas tomen para proteger su información. En caso de no ser diligentes, las organizaciones podrían perder la confianza de sus clientes como consecuencia de un ataque cibernético.

En resumen, la ciberseguridad es un tema que las PyME no deben postergar más, pues es de suma relevancia para mantener la continuidad operativa, la confianza de los clientes y para dar certeza a las partes interesadas. En mi opinión, se debe atender con un enfoque adecuado pero pragmático, partiendo de estos tres principios:

  • Aceptación. Hay que admitir que nuestra organización es vulnerable, esto no es señal de debilidad, al contrario, es la mejor manera de empezar el proceso de adaptación al contexto actual de ciberamenazas. Una parte intrínseca de esa vulnerabilidad son las personas, que siguen siendo el eslabón más vulnerable.
  • Compromiso. La máxima responsabilidad de la ciberseguridad recae en la dirección o liderazgo de la organización, ya que es una cuestión de negocio y no solo un tema técnico/operativo. El involucramiento y compromiso de los directores y de cada uno de los empleados es fundamental para enfrentar exitosamente este reto.
  • Acción. Los esfuerzos de la ciberseguridad deben ser dirigidos por los riesgos y planteados como un esfuerzo continuo, no hay un destino final sino un proceso permanente de reforzamiento. Las acciones establecidas deben contemplar un enfoque completo, es decir, incluir aspectos para la protección, la detección y la respuesta ante incidentes.

[email protected]