Los encabezados globales están salpicados  de historias de “hackeos”, brechas de información o ataques de ransomware impactando a  grandes organizaciones. Esto crea la falsa impresión de que las empresas pequeñas están  menos en riesgo. 

“Cuando organizaciones tales como eBay, British Airways o Equifax sufren brechas a causa  de una incidencia o ciber ataque, las noticias rápidamente se esparcen por el mundo. Y  esto es entendible, dado que estos ataques pueden potencialmente afectar la información  de millones de individuos globalmente. Sin embargo en las noticias no aparece la historia  del contador que no puede acceder a su computadora por una  semana debido al ataque de un malware, o el caso del cirujano plástico al que le fueron  retenidos los detalles de sus pacientes a cambio de un rescate. El hecho de que estos  ataques estén fuera de la vista pública y que no se reporten en las noticias no quiere decir  que no estén sucediendo,” señaló Ricardo Alvarado, Director Ejecutivo de Riesgos de  Lockton México.  

Estimando los ciber ataques a empresas pequeñas y medianas 

De hecho, casi la mitad de todos los ciber ataques (43%) están dirigidos a pequeños  negocios, de acuerdo a los datos recolectados por SCORE, 

“Los ciber cirminales ven a los pequeños negocios como objetivos más fáciles pues  frecuentemente carecen de los recursos necesarios para invertir en seguridad de TI y  proveer de capacitación en ciber seguridad para sus empleados,” mencionó Ricardo  Alvarado.  

Una pequeña empresa es hackeada cada 19 segundos. Un estudio de Hiscox muestra que  ahora es más probable (59%) de que ocurra una incidencia en pequeñas y medianas  empresas, asimismo el estudio “Cyberthread” realizado en 2019, por Keeper Security, que  entrevistó a más de 500 tomadores de decisiones de niveles directivos en compañías con  500 o menos empleados, reveló que dos de tres de los negocios entrevistados (66%) no  creen que serán víctimas de un ciber ataque. 

“Lo anterior explica la falta de acciones al respecto. De acuerdo con un estudio realizado  por la Federation of Small Businesses(FSB) una de tres pequeñas empresas (35%) ha  confirmado que no han instalado un software de seguridad en los últimos dos años, cuatro  de diez (40%) no actualiza su software de forma recurrente, una proporción similar no  realiza un respaldo de su información ni de los sistemas de TI, y, menos de la mitad (47%)  tienen una política estricta de contraseñas para sus aparatos, señaló Ricardo Alvarado.  

Además, los negocios pequeños no necesitan ser un “objetivo” para sufrir un ciber ataque.  Por ejemplo, el malware de NotPetya, afectó a miles de computadoras en el mundo y 

mientras incapacitó a compañías multinacionales, el daño colateral a pequeños y medianos  negocios fue indiscriminado. A las primeras horas de su aparición el NotPetya se había  diseminado a incontables pequeñas y medianas empresas alrededor del mundo,  convirtiéndolo en el malware con mayor propagación de la historia.  

De acuerdo con la FSB, los pequeños negocios son sujetos, colectivamente, a casi 10,000  ciber ataques al día. El año pasado se vio un incremento de 424% de incidencias en nuevos  pequeños negocios, frecuentemente a causa de intentos de phising, malware, ransomware  y solicitudes de pagos fraudulentas. 

“Los riesgos son altos, con una potencial pérdida de ingreso y daño reputacional, así como  responsabilidades con terceros, particularmente en los casos en donde la relación con el  cliente se ha visto deteriorada debido a que se ha comprometido su información con  implicaciones legales. Si a esto se le añaden gastos adicionales tales como gastos de  regulación de cumplimiento, honorarios legales, investigaciones técnicas y pérdida de  clientes, los costos complementarios a un ciber ataque pueden comprometer la estabilidad  de un pequeño negocio. El 10% de éstos, que han tenido alguna incidencia en el 2019 se  vieron forzados a cerrar como resultado de dicho ataque, de acuerdo a un reporte conducido  por Zogby Analytics comisionado por la Alianza de Ciber Seguridad Nacional de EUA,”  Comentó Ricardo Alvarado.  

Recomendaciones 

Lockton recomienda a las pymes para reducir su exposición al riesgo, invertir en tres  componentes: recursos, educación y seguros. 

  • Pese a que es aceptado que las pequeñas y medianas empresas deban concentrar sus  recursos en el conocimiento de su propia industria, dejar a un lado las amenazas a la  seguridad y los riesgos de negocio que esto conlleva, se vuelve un riesgo latente para  dichas firmas. Si el dueño de un negocio no tiene el entendimiento de cómo proteger su  negocio y tampoco cuenta con personal de TI encargado de velar por la seguridad de las 

operaciones del negocio contra ciber ataques, debe buscar un socio comercial que tenga  este rol. El soporte adecuado en TI es la primera línea de defensa.  

“Estamos trabajando en una era en donde este no es un gasto discrecional, de hecho los  expertos en ciber seguridad dicen que se deben asignar un presupuesto de al menos 3%  de los gastos totales de la compañía solamente a este tipo de recursos. Se debe considerar  también el escenario que alguien de nuestros empleados esté comprometiendo el negocio  ya sea entregando la información a la competencia o reteniendo la información sensible de  los clientes para solicitar rescate. Este es un evento cada vez más común y que puede ser  evitado con medidas de ciber seguridad bastante simples”, subrayó Ricardo Alvarado.  

  • Invertir en la educación de los empleados. Sabemos que los errores humanos y el fallo de  sistemas son responsables del 52% de las brechas de seguridad, no hay firewalls o anti virus que protejan de un simple error de un empleado. Contraseñas débiles, compartir  información sensible por error, dar “clic” en ligas falsas o documentos adjuntos dañinos.
  • El seguro de cyber es la tercera pieza del rompecabezas de ciber seguridad. Mucha gente  cree erróneamente que la cobertura ya está incluida dentro de alguna de las pólizas que ya  tiene contratadas. Las coberturas tradicionales de seguro carecen en profundidad y en  amplitud de las condiciones que el seguro de cyber sí tiene, además que en caso de  incidencia es mejor contar con una asesoría con experiencia en reclamaciones de este tipo. 

Por ello Lockton México señala que es necesario que toda organización tenga una póliza  cyber, pues protege a los negocios con riesgos relacionados a la infraestructura de TI y sus  actividades. Cubre riesgos que resultan de ataques maliciosos así como de incidentes que  pasan inadvertidos pero que sí causan daños a los sistemas o información de los negocios.  “El seguro de cyber va a reembolsar algunos de los costos que enfrentará el negocio al  tratar con un incidente, pero además generalmente cubrirá las responsabilidades que tenga  ante terceros derivadas de dicho evento”, señaló Ricardo Alvarado.  

Un beneficio significativo de la póliza cyber es la de los servicios de asesoría que se brindan  cuando hay una incidente, ya que el asegurado tiene acceso inmediato a consultores  expertos, ayuda que resulta bienvenida sobre todo cuando un negocio está en un una  posición vulnerable. Las ciber amenazas crean considerable presión, confusión y  preocupación y el tener acceso inmediato a un equipo que incluye expertos en TI, abogados  y equipos de manejos de crisis y relaciones públicas, ayudan a la correcta toma de  decisiones a un negocio que se encuentra en una posición difícil. 

“Tomar estos simples pasos para mitigar los riesgos cibernéticos es esencial. La naturaleza  de nuestro mundo digital es tal que los ataques cambian todo el tiempo y el panorama de  las amenazas es muy dinámico. Lo que es claro es que cualquier negocio que ignore la  ciber seguridad está tomando un riesgo importante para el mismo negocio, para sus clientes  y para sus socios de negocios. El mensaje que se pretende dejar en claro es que las  pequeñas y medianas empresas no son inmunes. Los dueños de estos negocios deben  estar conscientes de que el peligro es real y tomar acciones apropiadas para mitigar el  riesgo. Estar siempre al pendiente y realizar las debidas investigaciones ya que los  defraudadores están haciendo lo propio,” concluyó Ricardo Alvarado.  

Lockton, a través de un esquema de consultoría, ve de primera mano el valor que el Seguro  de Cyber ofrece a sus clientes contra daños y costos incurridos debido a este tipo de  ataques, proporcionando cobertura para gastos, garantizando de este modo que sus  clientes cuenten con condiciones de cobertura óptimas y de acuerdo a sus necesidades.