Tres de cada cuatro pymes creen que su tamaño las hace más vulnerables a los ciberataques

  • Actualidad
Seguridad

Los resultados de una encuesta de ESET sugieren que a las pequeñas y medianas empresas les falta confianza en lo que respecta a la gestión de las ciberseguridad. Esto se refleja, según explica la firma, en su propio sentimiento de vulnerabilidad con respecto a las compañías de mayor tamaño.

  Recomendados....
 

» I Encuentro ITDM Group: Cloud, palanca de crecimiento y gestión empresarial Registro
» El nuevo paradigma de seguridad para entornos SD-WAN Acceso
» Replanteando la gestión de residuos y eliminación de activos informáticos Guia

El estudio, realizado en catorce países a empresas de entre 20 y 500 empleados, destaca la falta de confianza de las pymes en la gestión de la ciberseguridad. En este sentido, esta falta de confianza se manifiesta a través del propio sentimiento de las pymes de vulnerabilidad con respecto a empresas más grandes. En este sentido, el 74% de las empresas encuestadas cree que las empresas de su tamaño son más vulnerables a los ciberataques

De acuerdo con ESET, existen varias razones por las que estar preocupados: la pérdida de datos, las repercusiones financieras y la pérdida de confianza de los clientes. Además, la prevalencia de los ciberataques sigue aumentando, con un incremento del 13% en las detecciones de ciberamenazas en 2022 con respecto al año anterior.

Seguir el ritmo a los cambios
Aunque ya se contaba con una amplia variedad de tecnologías y servicios antes de la pandemia del COVID-19, actualmente existe una cantidad ingente de servicios de monitorización y gestión en remoto, así como de software diseñado a medida para las pymes. En concreto, en el ámbito de la seguridad, la sobreabundancia de opciones y, en ocasiones, los malos resultados han erosionado la confianza de las pymes en áreas clave.

Esto ha hecho que las empresas se encuentren en la tesitura de mantener la ciberseguridad internamente o elegir externalizarla. También existe una falta de conocimiento sobre el acceso a expertos externos a las empresas, los tiempos de respuesta y el análisis forense de las amenazas. Y, a pesar de la proliferación de soluciones, los argumentos que respaldan las inversiones necesarias no han seguido el ritmo de los cambios en los modelos operativos, y las necesidades de seguridad subrayadas por la migración a modelos de trabajo híbridos son cada vez más relevantes.

El informe sostiene que muchos de los responsables financieros de pymes son conscientes de los principales factores de riesgo que aumentan significativa o moderadamente sus riesgos de ciberataques. Los encuestados citaron que el principal causante de riesgo en los próximos doce meses será la falta de conciencia sobre ciberseguridad de los empleados, hasta (84%) - destacan que esto aumenta significativamente los riesgos, agravado por las vulnerabilidades en la cadena de suministro y el ecosistema de socios y proveedores (79%), y la migración de servicios a la nube (77%). Además, un total del 78% de las pymes encuestadas expresó preocupación por los ataques de estados-nación debido al conflicto en Ucrania.

Principales retos
De forma más detallada, del informe se desprenden los tres principales retos en materia de ciberseguridad de las pymes: mantenerse al día de las últimas ciberamenazas (54%), seguir el ritmo de los últimos avances y tecnologías (50%) y la falta de inversión en ciberseguridad (49%). Otros motivos de preocupación son la falta de conocimientos, la sobrecarga de trabajo de los equipos, el cansancio por las alertas y la falta de apoyo de los directivos.

Para algunos, "estar al día" significa cómo hacer frente, en la práctica, a las preocupaciones sobre el malware, los ataques basados en la Web, el ransomware, los problemas de seguridad de terceros y las vulnerabilidades de software críticas o de alta gravedad. Más de la mitad están preocupados por el Protocolo de Escritorio Remoto (RDP), los ataques de denegación de servicio distribuido (DDoS), el compromiso del correo electrónico empresarial (BEC), los problemas de computación en la nube y los ataques a la cadena de suministro.

Si bien pocas de estas amenazas a la seguridad son específicas de su segmento, el 74% de las pymes cree que las empresas de su tamaño son más vulnerables a los ciberataques que las empresas más grandes. "En términos inequívocos, la preocupación de las pymes por la pérdida de datos, las repercusiones financieras y la pérdida de confianza de los clientes refleja su falta de capacidad para mitigar estos retos al mismo tiempo que mantienen el impulso en las competencias empresariales básicas", asegura ESET.

Una preparación post-filtración
La encuesta demuestra que aproximadamente dos tercios de los participantes han experimentado o actuado ante indicios de brechas de seguridad. Normalmente se tardan semanas en solucionarlos, lo que supone un coste considerable para las pymes. Por término medio, las pymes estiman que el coste total que estas brechas suponen para sus organizaciones equivale a 219.000 euros.

Tras las filtraciones, las pymes pueden invertir en formación, realizar auditorías o adquirir nuevas herramientas de ciberseguridad. En general, esto significa tomar medidas para reforzar las herramientas de acceso remoto, en concreto para proteger los inicios de sesión con autenticación multifactor (50%), restringir su uso únicamente a las VPN corporativas (50%) y mantener actualizadas las herramientas de acceso remoto (49%).

Con sólo el 27% de los encuestados indicando que han realizado auditorías de ciberseguridad en los últimos seis meses, y el 33% en los últimos doce meses, la situación es preocupante. En las organizaciones en las que se han realizado auditorías de ciberseguridad en los últimos dos años, el 52% recurrió a empresas externas de seguridad informática/proveedores de servicios gestionados (MSP), mientras que el 40% realizó las auditorías por sí mismo, y el 8% hizo ambas cosas.

"Aunque los enfoques adoptados siguen estando divididos, hemos podido observar que el 85% de las pymes afirma que todos los integrantes de sus cadenas de suministro tienen la responsabilidad de mejorar su ciberresiliencia, pero la mayoría también expresa su preocupación por el hecho de que la falta de inversión en ciberseguridad pueda poner en peligro a otros integrantes de estas cadenas de suministro.  En última instancia, la ciberseguridad eficaz se considera algo que proporciona a las empresas la confianza necesaria para crecer e innovar por lo que vemos ahí una oportunidad para que las pymes se decidan por impulsar la inversión en este aspecto", subraya Josep Albors director de Investigación y Concienciación de ESET España.