La transformación digital ha explotado en popularidad en los últimos años y ahora es una palabra de moda para los líderes empresariales en casi todas las industrias. La mejora de la experiencia del usuario, la agilidad, la comodidad y la reducción de los gastos generales la hacen especialmente atractiva para las pequeñas y medianas empresas. Las PYMES están adoptando la transformación digital en un número cada vez mayor para mejorar su negocio y evitar una transición más masiva a medida que sus organizaciones crecen.
La transformación digital siempre será un delicado equilibrio entre la mejora de los procesos y el aumento del riesgo. Las PYMES corren un riesgo especial de violación de datos e información comprometida durante su transformación digital si no logran aumentar su seguridad en conjunto. Los servicios de seguridad gestionados ofrecen la oportunidad de proteger la información confidencial con soluciones de alto nivel suministradas desde la nube con una protección total.
El primer paso para ofrecer una seguridad completa es señalar las debilidades inherentes a los métodos de seguridad tradicionales para hacer frente a su transformación digital prevista. Una vez que se han identificado los problemas potenciales, el siguiente paso es encontrar las mejores herramientas que proporcionen el nivel óptimo de protección. El nivel de protección adecuado mitigará en gran medida la vulnerabilidad, sin dejar de trabajar en el presupuesto y los procesos de una organización más pequeña.
En este documento técnico se analizarán los riesgos actuales de la transformación digital que hacen que las PYMES sean especialmente vulnerables a los ataques, así como los tres pasos esenciales de los servicios de seguridad gestionados para mitigarlos. El nivel adecuado de seguridad proactiva y de supervisión evitará que los clientes gasten más de la cuenta en seguridad, o que el costo de una violación de datos sea elevado. En particular, este documento cubrirá:
- Por qué una transformación digital hace que las PYMES sean un objetivo atractivo para los malos jugadores.
- Vulnerabilidades críticas de los diversos aspectos de la tecnología expandida.
- Cómo proteger los datos de sus clientes, así como sus dispositivos y personas.
Por qué una transformación digital hace vulnerables a las PYMES.
Cada año, más y más empresas destinan sus recursos y grandes porciones de su presupuesto a la transformación digital. Sin embargo, a menudo no logra el impacto que los líderes esperan lograr; las investigaciones demuestran que el 70% de todas las transformaciones digitales no alcanzan sus objetivos previstos.
Mientras que algunos artículos gustan de señalar a la organización o la mentalidad de los empleados como la razón de sus fracasos, las propias empresas informan que es la seguridad la que presenta muchos de sus desafíos. En un estudio de más de 270 empresas, los líderes señalaron a las cuestiones de seguridad como su barrera más significativa para una una transformación digital exitosa. Sin embargo, sólo el 34% de estas organizaciones declararon que consideraron cuestiones de ciberseguridad durante la etapa de desarrollo. Las organizaciones que no tienen en cuenta la seguridad durante su transformación digital corren el riesgo de tener todo el plan comprometido antes de llegar a los objetivos previstos.
Los ciberdelincuentes tienden a atacar a las PYMES porque suelen tener normas de seguridad poco estrictas y menos presupuesto para proteger sus datos que las grandes empresas. Pueden atacar a un gran número de ellas a la vez, lo que conduce a datos explotables que a menudo son tan valiosos como los de las grandes empresas. Si bien las PYMES recurren a la transformación digital para ser más rentables, ésta puede resultar más costosa si son víctimas de una violación de datos. El informe "Cost of a Data Breach" de IBM encontró que el coste promedio de una violación de datos era de 8,19 millones de dólares en los Estados Unidos. También descubrieron que las PYMES terminan pagando más en promedio que las empresas: Las organizaciones de entre 500 y 1.000 empleados pagaban 3.533 dólares por empleado por una violación de datos, frente a los 204 dólares por empleado de las empresas con más de 25.000.1
Las PYMES que se someten a la transformación digital son particularmente vulnerables a los ataques porque su seguridad no siempre se corresponde con su expansión tecnológica. Además, los ataques continúan haciéndose más sofisticados, contra los cuales las PYMES pueden no estar preparadas para defenderse. Las PYMES son víctimas de ataques de rescate -ransomware-, de phishing, de denegación de servicio distribuido y de ingeniería social. La evolución de los ataques y las consecuencias financieras subsiguientes deberían causar cualquier alarma en las PYMES.
Riesgos involucrados en la transformación digital.
El término "transformación digital" ha sido calumniado por expertos y dirigentes porque es un término vago y amplio, que abarca una amplia gama de tecnologías. En este informe técnico, tocaremos la tecnología más comúnmente adoptada en la transformación digital para las PYMES.
Los aspectos comunes de la transformación digital para las PYMES incluyen:
IoT.
El Internet de las Cosas (IoT) proporciona ventajas significativas a las PYMES. La capacidad de los sensores para completar tareas, analizar y comunicarse sin intervención humana ofrece a las empresas formas de crear valor para sus clientes. Sin embargo, muchos no están diseñados con la seguridad en mente y dejan a las organizaciones abiertas a posibles violaciones de datos.
La capacidad del IoT para conectar dispositivos de bajo y alto riesgo puede causar importantes problemas de ciberseguridad a las empresas que no han adaptado su seguridad en consecuencia. Lo que antes era una parte de bajo riesgo de su sistema ahora está vinculada con sus datos más sensibles. Los hackers sólo necesitan encontrar un punto de entrada para acceder a todo.
Según el Instituto Nacional de Estándares y Tecnología2, los tres mayores problemas de seguridad para el IoT son:
- Los dispositivos de IoT interactúan entre sí para hacer cambios en los sistemas físicos de maneras que la tecnología tradicional no lo hace.
- El IoT no puede ser accedido o controlado de la misma manera que la tecnología tradicional.
- La disponibilidad, eficiencia y eficacia de la ciberseguridad son diferentes para el IoT que para la TI tradicional.
Debido a que el IoT no funciona igual que la TI, requiere un enfoque diferente de la ciberseguridad. A menos que las PYMES ajusten su seguridad en consecuencia, se enfrentan a una posible violación de sus datos.
BYOD.
En un intento por reducir los gastos generales y mejorar la satisfacción de los empleados, BYOD (o Bring Your Own Device - trae tu propio dispositivo) es una práctica creciente para las PYMES. Permite a los empleados trabajar desde sus dispositivos personales, como teléfonos inteligentes, tabletas o portátiles.
Las empresas que no han establecido una política oficial de BYOD pueden descubrir que sus empleados están usando dispositivos personales de todas formas. Con la proliferación de los dispositivos de Internet, una empresa se vería en dificultades para encontrar empleados que no lleven su teléfono móvil al trabajo. Mientras que los teléfonos que sólo se usan por razones personales no representan una amenaza a la seguridad, realizar el trabajo desde sus dispositivos puede comprometer la seguridad de toda la empresa.
BYOD deja a las organizaciones particularmente vulnerables a los ataques DDoS. El robo de datos es otro riesgo asociado con BYOD. Si un empleado envía un archivo a través de una red insegura, como en una cafetería o un aeropuerto, es fácil que los malos jugadores comprometan la información. La infiltración de malware también es un problema. Los empleados pueden descargar un juego móvil con malware adjunto y atacar su información a través de su dispositivo.
Los ex empleados descontentos también pueden suponer un problema para la seguridad de la empresa. Pueden utilizar la información cargada en su dispositivo para causar estragos y destrucción tanto para sus clientes como para la reputación de la empresa.
Trabajo remoto.
Incluso antes de que el trabajo a distancia se hiciera obligatorio en algunas zonas, estaba explotando en popularidad. En el entorno actual, sin embargo, el trabajo a distancia es una necesidad. Las organizaciones que anteriormente se resistían al trabajo remoto se ven obligadas a desarrollar métodos que permitan a sus empleados trabajar desde casa.
Los empleados que no conocen las prácticas seguras de trabajo a distancia pueden dejar a una empresa vulnerable a una violación de datos. Compartir dispositivos con personas no autorizadas, acceder a la información a través de redes inseguras, como la Wi-Fi pública, y el descuido en la apertura de correos electrónicos también puede comprometer información sensible y dejar a su organización en peligro.
Aplicaciones en la nube.
Las aplicaciones en la nube proporcionan a las PYMES un mayor acceso a sus datos, lo que les permite tomar decisiones basadas en datos y obtener conocimientos críticos para hacer crecer su negocio. Sin embargo, las organizaciones pueden ser vulnerables a los ataques cuando no toman las precauciones adecuadas.
Las aplicaciones en la nube dejan a las empresas en riesgo de secuestro de cuentas, donde los atacantes pueden acceder a información confidencial utilizando credenciales robadas. Los grupos de amenazas avanzadas y persistentes se dirigen a los entornos de la nube y utilizan los servicios públicos de la nube para realizar sus ataques. Las APIs inseguras también pueden crear un punto de entrada para que los atacantes se aprovechen de ellas.
La pérdida de datos también puede suponer un problema importante para las PYMES. Un accidente o una catástrofe puede significar que la información de los clientes se pierda permanentemente sin que se disponga de las copias de seguridad adecuadas. Tanto Google como Amazon son ejemplos de cómo incluso las empresas más avanzadas técnicamente pueden perder datos si no hacen copias de seguridad.
Cómo proteger su empresa para una transformación digital.
Un servicio de seguridad administrada que comprende las complejidades tanto de una transformación digital como de las PYMES debe ser capaz de detectar posibles vulnerabilidades, proporcionar el nivel de seguridad necesario para tener en cuenta cualquier cambio en la tecnología y seguir proporcionando supervisión a su organización.
Identificar las vulnerabilidades en su plan de transformación digital.
La ciberseguridad comienza tan pronto como el plan para una transformación digital comienza a formarse. Tiene que ser una parte del plan inicial considerado en cada paso del camino. Las PYMES son un objetivo particular porque su seguridad no siempre se corresponde con su crecimiento, dejando lagunas y vulnerabilidad. La transformación digital y la seguridad deben coordinarse en conjunto para evitar este error potencialmente catastrófico.
IBM realizó un estudio de las transformaciones más exitosas, y constató que quienes tenían una mayor apreciación y énfasis en la importancia de la seguridad terminaban con un resultado más satisfactorio3. Estos "altos ejecutores", como se los denominó en el documento de investigación, tenían menos probabilidades de sufrir una filtración de datos durante su proceso.
Identifique las transformaciones digitales que su organización espera lograr. Anote dónde le gustaría expandirse en IoT, BYOD, trabajo remoto o más aplicaciones de la nube. Asegúrate de incluir los detalles de tus planes para ver dónde podrían estar las posibles vulnerabilidades.
Además, haga una lista de los dispositivos informáticos físicos y virtuales de la empresa. Estaciones de trabajo, ordenadores portátiles, impresoras, dispositivos móviles, servidores de aplicaciones de red, cortafuegos corporativos y servidores de archivos de red deben ser incluidos en la evaluación.
Determinar el nivel de seguridad necesario.
Una vez que entienda lo que quiere lograr y las vulnerabilidades potenciales, puede determinar qué nivel de seguridad se necesita. A continuación se presentan los servicios de seguridad vitales para una transformación digital exitosa.
IoT | BYOD | Trabajo Remoto | Aplicaciones en la nube |
AntivirusInstalar y supervisar el antivirus en todos los dispositivos para asegurar cada punto de entrada. |
Encriptación de Correo ElectrónicoLa encriptación de extremo a extremo directamente en los dispositivos del usuario asegura que la información sólo termine en las manos adecuadas. |
Asegurar a los empleados en cualquier momento y en cualquier lugarProporcionar una conexión VPN a los trabajadores remotos para asegurar el acceso a los datos y aplicaciones de la empresa. |
Copia de seguridad y recuperación de desasptresEvita que se pierdan datos sensibles y valiosos en caso de accidente o emergencia. |
Escaneos regulares de vulnerabiliadesLos análisis regulares garantizan que el antivirus, las contraseñas y cualquier otro software estén actualizados. |
Decripción SSLSecure Internet Gateway inspecciona todos los puertos y protocolos para asegurarse de que las amenazas no puedan llegar a su red, y llena los huecos de seguridad dejados por los aparatos tradicionales. |
Sensibilización y formación en materia de seguridadEduque a los empleados en prácticas que los protejan a ellos y a su empresa, como reconocer las estafas y crear contraseñas sólidas. |
Puerta de enlace web seguraActuando como un guardia de seguridad virtual, cualquier detección desde la nube bloquea inmediatamente todas las amenazas para todos los clientes dentro de la red. |
Prevención de pérdida de datosImpide que los usuarios compartan datos confidenciales y regula qué datos pueden transferirse. |
Autentificación seguraHay varias formas de lograrlo, pero las políticas de contraseñas y la autenticación multifactorial (MFA) son algunos de los primeros pasos. |
Procesos y políticas aplicablesAsegúrate de que todos sepan cómo mantener la compañía a salvo. Establecer una dirección clara respecto a qué datos hay que proteger y cómo. |
Gestión de parchesInstalar parches y mantenerlos actualizados puede ayudar a resolver las vulnerabilidades inherentes de las aplicaciones de la nube. |
Monitorización continua.
Un grave error cometido por muchas PYMES es gastar demasiado en prevención en detrimento de las capacidades de detección y respuesta. Mientras que la prevención es un aspecto vital de la protección de la información sensible, los ataques cambian y pueden atacar en cualquier momento. Cuanto más rápido una empresa pueda responder a un ataque, más fácil será contenerlo y reducir la cantidad de daño que se puede hacer.
Mantener una base sólida de seguridad con una supervisión y gestión remotas continuas. Encontrar y mantener nuevos parches y actualizaciones de software, así como actualizar las medidas de seguridad en función de las nuevas amenazas, garantizará una protección continua contra los ciberdelincuentes.
Resumen.
Las transformaciones digitales son un cambio inevitable para las PYMES. Sin embargo, deja a las organizaciones vulnerables a amenazas más nuevas y sofisticadas. El IoT, el BYOD, el trabajo a distancia y las aplicaciones en la nube tienen desafíos únicos de los que las empresas deben ser conscientes.
Los servicios de seguridad gestionados pueden ayudar a las PYMES a identificar los posibles compromisos y reducir las vulnerabilidades, al tiempo que mejoran sus procesos para una empresa más fuerte. Estos servicios pueden ayudarle a adoptar el cambio y la tecnología, sabiendo que tiene protección tanto para usted como para sus clientes.