Columna de Alan Abreu, Responsable de riesgos cibernéticos de Hiscox.
En nuestro Hiscox Cyber Readiness Report, analizamos más de 4000 organizaciones en Reino Unido, Estados Unidos, Alemania, España y Países Bajos. En general encontrábamos grandes deficiencias en la preparación de las compañías, pero en el caso de las pequeñas y medianas empresas españolas casi 8 de cada 10 eran calificadas como cibernovatas. Una mala combinación si tenemos en cuenta que, según datos presentados por Google recientemente, el 99,8% del tejido empresarial español no se considera “un objetivo atractivo para un ciberataque”.
La realidad nos dice que estas empresas están más expuestas y tardan más en recuperarse de un incidente cibernético. Pero no se trata solo de la frecuencia de los ataques, o incluso de la dificultad para volver a la normalidad, el problema de bases es que tienen una menor conciencia y sensibilidad hacia esta problemática. Cuando además, las consecuencias de ser atacadas no se queda solo en ellas, ya que pueden estar conectadas a cadenas de suministro más grandes, por lo que está en juego su propio negocio, datos y reputación, y también aquellos del resto de entidades con las que colabora.
Por ejemplo, cualquier profesional o pyme que actúe como proveedor a infraestructuras de trenes, autobuses, aviones, compañías de energía o cualquier otra organización considerada crítica para la infraestructura nacional podría proporcionar una puerta trasera para los hackers. De hecho, cuatro de los ataque históricos más relevantes como los de Sony, AT&T, eBay y Target, fueron posibles debido a que un proveedor externo se vio comprometido.
En un mundo cada vez más hiperconectado, el riesgo de seguridad cibernética aumenta cada día. Los tipos de amenaza están cambiando tan rápido como evoluciona la tecnología. Existe así una causa efecto entre aprovechar la tecnología para conseguir una ventaja competitiva en el mercado y aumentar el nivel de exposición a mayores riesgos de seguridad. La transformación digital que está experimentado el tejido empresarial español debe ir ligada, sí o sí, a una mayor y más sofisticada estrategia de ciberseguridad.
Un primer paso, dentro de estas pequeñas compañías, será asumir que es clave la capacitación del personal para detectar un ataque. Confiar solo en la tecnología no es suficiente. Deben comprender que el incidente cibernético no es algo que solo le “ocurre al ordenador”, sino que todos, ya sea en nuestro ámbito personal o profesional, estamos expuestos a una red de estafas y ataques a nivel global que puede costarnos tiempo y dinero.
Teniendo en cuenta, además, que hay una gran parte de las pymes atacadas que cesan su actividad a los 6 meses siguientes al incidente, la pregunta que se hacen los directores o gerente de estas compañías es, “¿por qué alguien va a tener interés en atacar mi empresa?”, cuando debería preguntarse, “si fueras un ladrón a qué casa entrarías, ¿a una grande con un sistema de seguridad de alarma o a una pequeña con la ventana abierta?”.