Recientemente, la firma de investigación y análisis de TI, Enterprise Strategy Group ESG, realizó una encuesta entre 400 profesionales del mundo de la ciberseguridad y TI, todos ellos trabajadores en pequeñas y medianas organizaciones de Norte América.

¿Cuál es el estado de la ciberseguridad en las pequeñas y medianas empresas?

Dos tercios de las organizaciones encuestadas indicó haber experimentado al menos un incidente de ciberseguridad (sistemas comprometidos, malware, DDoS, phishing, fuga de datos, etc.) en los dos últimos años.

¿Cómo les afectaron los incidentes de seguridad?

  • Cerca de la mitad (46%) respondió que los incidentes de seguridad provocaron perdidas de productividad.
  • El 37% afirmó que estos incidentes conllevaron la interrupción de aplicaciones de negocio y sistemas de TI.
  • También un 37% apuntó una interrupción de procesos de negocio.

Nota: Múltiples respuestas fueron aceptadas en la encuesta.

El hecho es que las pequeñas y medianas organizaciones están siendo actualmente atacadas y comprometidas. Además, estos incidentes de seguridad tienden a producir un impacto financiero cuantificable.

Principales causas de los incidentes de seguridad

También se les solicitó a los encuestados que identificaran a los principales protagonistas en la generación de estos incidentes de seguridad. Estos fueron los resultados:

  • Error humano (35%)

    Los pequeños equipos de ciberseguridad/TI suelen estar compuestos generalmente por especialistas en TI, pero que no lo son tanto en materia de ciberseguridad. Como consecuencia de esto, se realizan malas configuraciones y procedimientos erróneos de seguridad.

  • Falta de comprensión sobre los riesgos en ciberseguridad (28%)

    Muchas pequeñas empresas no creen que puedan ser objetivos de ataques, por lo que invierten poco o ignoran la preparación en seguridad. Los ejecutivos de pequeñas empresas deberían concienciarse de que estos incidentes pueden suceder -y, de hecho, suceden- en cualquier lado.

  • Implementación de nuevas iniciativas TI (Cloud computing, SaaS…) sin las necesarias medidas de seguridad (27%)

    Probablemente debido a razones como la falta de conocimiento, o el alta en servicios SaaS por parte de personal de la empresa, sin comunicación al departamento de TI.

  • Escasez de preparación en ciberseguridad para personas no técnicas (24%).

    Las pequeñas empresas, al no considerarse objetivos de ciberataques, no suelen invertir en formación sobre esta materia.

  • El personal encargado de la ciberseguridad no puede con toda la carga de trabajo (20%)

    Las pequeñas organizaciones no suelen contar con las habilidades y personal suficiente en el área de ciberseguridad. En estos casos se hace necesario recurrir a un proveedor externo de servicios de seguridad gestionada (MSSP).

Por todo ello, es crucial que los ejecutivos de pequeñas y medianas empresas sean conscientes de que sus organizaciones también están siendo objetivo de los ciberdelicuentes; ya sea para extorsionarlas, robarles información valiosa para la compañía, etc.