Ciberseguridad para pymes: ¿la próxima frontera?

Ciberseguridad para pymes: ¿la próxima frontera? 1

Las PYMES desempeñan un papel fundamental en las economías nacionales, ya que representan alrededor del 97% de todas las empresas comerciales. Hasta hace muy poco, las PYMES no se consideraban un objetivo principal de las amenazas cibernéticas y con razón: todos los ataques de alto perfil estaban dirigidos a grandes empresas, y se asumía ampliamente que los ciberdelincuentes no se molestarían con objetivos de pequeña participación. Pero, a medida que la economía se vuelve más conectada, las PYMES también están ocupando un lugar central en las actividades cibernéticas. Como las PYMES están conectadas tanto con clientes como con empresas más grandes y organizaciones gubernamentales, ahora se convierten en un objetivo atractivo para los ciberdelincuentes. Además, las armas cibernéticas de bajo costo y de producción en masa hacen que ahora sea económicamente viable para los ciberdelincuentes atacar con éxito a las PYMES e incluso a individuos. De estos, el ransomware tiene uno de los índices de retorno de la inversión más altos para los delincuentes.

Conciencia e impacto

Las PYMES son blanco de ciberataques a un ritmo nunca antes visto. Según la última investigación , más del 50 % de las PYMES encuestadas (con entre 100 y 1000 empleados) informaron de un ciberataque o una violación de datos durante el último año.

No es sorprendente que las PYMES sean cada vez más conscientes de las amenazas cibernéticas: las infracciones de alto perfil aparecen en los titulares todos los días y los incidentes “pequeños” afectan cada vez a más PYMES a su alrededor. Aun así, en una encuesta reciente se demostró que el 60% de las PYMES no consideran que los ciberataques sean un gran riesgo para sus organizaciones, mientras que el 44% no considera que una seguridad sólida sea una prioridad. Sin embargo, los ciberataques podrían tener un daño financiero considerable para la empresa: el coste medio de un ciberataque para una PYME el año pasado superó los 8.000 dólares, una cantidad importante de dinero para una pequeña empresa típica. Sin embargo, ese costo no incluye intangibles, como tiempo de inactividad, pérdida de negocios, remediación, etc., lo que significa que el costo real para una PYME es posiblemente mucho mayor; algunos incluso lo estiman en 10.0000 dólares estadounidenses adicionales.

Estado actual de las soluciones de la industria.

La industria de la ciberseguridad aún tiene que irrumpir en el mercado de las PYMES. Tiene un gran éxito vendiendo a grandes organizaciones, tanto gubernamentales como privadas, pero el mercado de las PYMES es casi un océano azul en términos de ventas.
Una razón de esto es psicológica: la falta de conciencia (como se mencionó anteriormente), donde creencias erróneas (“La ciberseguridad es necesaria para los bancos, no para mi negocio”) frenan la adopción de soluciones cibernéticas para este sector. La segunda es una razón económica: a la mayoría de las PYMES les resulta difícil pagar los miles de dólares necesarios para adquirir las mejores soluciones cibernéticas.
La tercera es la dificultad técnica para configurar y mantener estas soluciones: la mayoría de las PYMES no son de naturaleza técnica y tienen poca o ninguna capacidad técnica para operar la mayoría de las soluciones. Alrededor del 67% dijo que carece de personal suficiente para manejar la ciberseguridad. Vale la pena centrarse en este último punto: se prevé que la creciente brecha de habilidades afectará más a las PYMES que a las empresas, porque incluso si una PYME grande quisiera contratar a un técnico en ciberseguridad o un CISO, enfrentará una escasez de talento y una feroz competencia por el talento con organizaciones más grandes.

La cuarta es que simplemente no hay suficientes soluciones hechas a medida para organizaciones más pequeñas. Muy pocas empresas de ciberseguridad han desarrollado soluciones específicas para pymes y la mayoría de ellas no han tenido éxito comercial.
El único producto que toda PYME conoce y utiliza es el antivirus (consulte una discusión detallada sobre AV aquí ). Como puede verse en la siguiente lista, las tecnologías de ciberseguridad más esenciales son:

  1. Antimalware
  2. Cortafuegos del cliente
  3. Protección/gestión de contraseñas
  4. VPM y otras puertas de enlace web seguras
  5. Detección y prevención de intrusiones
  6. Sistemas automatizados de gestión de parches
  7. Anti-denegación de servicios
  8. Tecnologías de cifrado
  9. Cortafuegos de aplicaciones web (WAF)
  10. Gestión de identidad y acceso

Es evidente que las PYMES saben centrarse en las tecnologías tradicionales. También se puede especular que hasta que se hayan comprado e implementado los primeros elementos (que sirvan efectivamente como base o infraestructura de ciberseguridad), las PYMES no invertirán en tecnologías más avanzadas. Dado que el presupuesto y los recursos son de suma importancia para las PYMES, muchas se detendrán después de comprar lo básico y nunca seguirán adelante.

Soluciones futuras

Dado el tamaño de este mercado potencial y el lento crecimiento de los clientes empresariales (la mayoría de los cuales ya han implementado soluciones cibernéticas y ahora se enfrentan a actualizaciones), es seguro que los proveedores cambiarán parte de su enfoque hacia este lucrativo mercado. Sin embargo, está claro que las diferencias entre los clientes pequeños y empresariales inhibirán la adopción de tecnologías similares, por lo que es necesario introducir tecnologías y ofertas comerciales novedosas. Estas son algunas de las tendencias que identificamos y que potencialmente podrían generar impacto en el mercado de las PYMES:

Las PYMES se han apresurado a adoptar soluciones en la nube: más del 60% de las PYMES en EE. UU. utilizan algún tipo de solución en la nube. Una mayor adopción de la nube permitirá la adopción de soluciones de seguridad basadas en la nube, como servicios de correo electrónico seguros, almacenamiento seguro y soluciones de agente de seguridad de acceso a la nube (CASB).

Las PYMES están descubriendo que pueden traspasar toda la responsabilidad de las operaciones cibernéticas a una parte externa. Un MSSP puede no ser excesivo para una tienda familiar, pero podría ser una gran solución para una fábrica con cien empleados, un informático y sin posibilidad de contratar a un CISO. De hecho, más del 30% de las PYMES encuestadas dijeron que utilizaban MSSP para ayudar con las operaciones de ciberseguridad.

El seguro cibernético bien podría ser la fuerza impulsora detrás de la adopción de la ciberseguridad por parte de las PYMES. Las pólizas de seguro para PYMES son cada vez más comunes y no pasará mucho tiempo antes de que las compañías de seguros ofrezcan ofertas conjuntas de seguro más seguridad (en colaboración con las principales empresas de seguridad o MSSP).

Resumen

Las PYMES son la última frontera para la industria de la ciberseguridad. Los grandes proveedores que ya no pueden crecer mediante la innovación y la promoción de nuevos productos necesitarán expandirse a este enorme mercado para mantener el crecimiento y la rentabilidad. La demanda por parte de las PYMES está destinada a crecer, por lo que la carrera para satisfacer esta necesidad está muy abierta, pero para capturarla las empresas de seguridad necesitarán cambiar su mentalidad y su oferta tecnológica y comercial.