Las PYMES y las empresas de nueva creación no tienen los mismos recursos para gastar en ciberseguridad que una empresa, pero eso no significa que deban escatimar en un plan de ciberdefensa por completo.
Stephen Lilley, abogado de ciberseguridad y privacidad de datos deayer Brown, explica por qué las pymes y las empresas de nueva creación son especialmente vulnerables a los ataques cibernéticos y a las filtraciones de datos.
Dan Patterson, de ConsejoTecnologico.com y ZDNet, habló con el abogado Stephen Lilley, de Cybersecurity and Data Privacy de Mayer Brown, acerca de cómo una PYME o una empresa de nueva creación debe prepararse contra los ciberataques. Lilley hizo hincapié en que las empresas deben tener cuidado con los servicios gratuitos de correo electrónico y almacenamiento en nube, y eliminar tantos riesgos como sea posible, ya que los ataques están demostrando tener implicaciones legales a largo plazo.
Dan Patterson: Los ciberataques son un componente innegable de los negocios. Las empresas tienen los recursos para defenderse bien. ¿Qué pasa con las PYMES y las empresas de nueva creación? Stephen, muchas gracias por tu tiempo hoy.
Más información sobre ciberseguridad
Lo oigo todo el tiempo, estoy seguro de que tú también lo oyes. «Mi negocio es pequeño, somos locales, regionales, o somos una nueva empresa y no tenemos los recursos para gastar en ciberdefensa.» ¿Cómo pueden las compañías que son pequeñas o que simplemente no tienen mucho dinero extra seguir defendiendo bien?
Stephen Lilley: Gracias por la oportunidad de hablar con usted sobre este importante tema hoy. Tienes razón. Escuchamos esto todo el tiempo. Las grandes empresas tienen programas de cumplimiento, tienen programas de seguridad masiva. Las pequeñas empresas y las nuevas empresas, esto no es algo que puedan lograr. No hay dinero para invertir en tales programas de uso. Al mismo tiempo, las amenazas son reales, y las empresas, a menos que aborden la ciberseguridad de forma razonable, podrían encontrarse ante riesgos existenciales; tanto desde una perspectiva empresarial como desde una perspectiva de litigio y responsabilidad.
Patterson: Así que estoy seguro de que también oirás esto. Escucho esto todo el tiempo pero, «Está bien. Lo entiendo. Entiendo que tengo que gastar algo de dinero, pero simplemente no tengo el dinero o ¿en qué debería gastar los recursos limitados que tiene mi empresa? «
VEA: Por qué las vulnerabilidades humanas son más peligrosas para su negocio que los fallos de software (ConsejoTecnologico.com)
Lilley: Cada empresa tiene un perfil diferente. Algunas compañías tienen información personal. Si usted piensa en un inicio que está publicando una nueva aplicación para información sobre el cuidado de la salud, por ejemplo, un rastreador de fitness o algo así. Obviamente, esa empresa va a querer estar muy centrada en la protección de esa información personal.
Otras compañías pueden tener una tecnología muy nueva y emocionante que quieren proteger muy de cerca. Creo que la clave para las empresas es identificar dónde está el mayor riesgo y luego identificar qué pasos pueden dar, dado su presupuesto para proteger esos riesgos, proteger esas amenazas, y para las empresas de las industrias reguladas, en particular. Así que, por ejemplo, una empresa del sector sanitario o una empresa que maneja información personal, obviamente quieren pensar también en lo que podría pensar un regulador si hubiera algún tipo de compromiso.
Una vez más, se entiende que las pequeñas empresas no tienen programas de cumplimiento. No tienen un departamento enorme que esté haciendo auditorías como lo haría una gran empresa, pero si pudieras pasar un poco de tiempo pensando en ello: «¿Quiénes son las personas? ¿Dónde van a estar mis riesgos legales? ¿Y cómo me protejo generalmente contra ellos? «Puede ser bastante simple, puede ser tan simple como… Si eres una empresa realmente pequeña, no envíes hojas de cálculo llenas de información personal por correo electrónico. Eso no es una buena idea, obviamente a medida que te haces más y más grande, tu proceso madurará.
Hay algunos pasos básicos que usted puede tomar y los reguladores de la FTC han dejado claro cuáles pueden ser para las pequeñas empresas.
Patterson: Esto puede parecer una pregunta retórica, pero ¿a qué tipo de amenazas se enfrentan las pequeñas empresas? ¿Son las mismas que las de las grandes empresas y las organizaciones gubernamentales?
Lilley: Creo que en última instancia, lo son. Pueden tener una escala diferente, pero todos los tipos de empresas se enfrentan a las mismas amenazas generales. Si usted tiene información personal, existe el riesgo de que alguien intente robar esa información personal y monetizarla de una forma u otra. Si usted tiene un secreto comercial, existe la amenaza de que alguien intente robar ese secreto comercial y obtener algún tipo de beneficio comercial de él.
Si usted tiene algún tipo de sistema, existe la posibilidad de que alguien pueda usar un ataque disruptivo contra usted, como el ataque de ransomware, y apagar sus sistemas, y usted pierde el acceso a ellos y tiene que pagar dinero o a través de algún otro medio para tener acceso de nuevo a sus sistemas. Mientras que si usted es un banco masivo de Wall Street, su perfil de amenaza va a ser diferente; los tipos básicos de amenazas que usted enfrenta generalmente van a ser los mismos.
VER:Top 5: Formas en que los empleados crean problemas de seguridad para sus empresas(ConsejoTecnológico.com)
Patterson: Entonces, ¿qué puedo hacer para mitigar los ciberataques o mitigar el riesgo de que ocurran en mi empresa?
Lilley: Si usted se encuentra en una etapa muy, muy temprana, existen algunas prácticas básicas que puede utilizar para protegerse contra las amenazas básicas. Esos son francamente van a ser los mismos que la higiene de su computadora personal. Debe tener mucho cuidado con el sistema de correo electrónico que está utilizando, hay una variedad de servicios gratuitos donde puede almacenar documentos en la Nube. Todas esas son buenas cosas para explorar.
A medida que se madura más y más como empresa, va a querer empezar a poner en marcha algún tipo de planes y políticas. Vas a querer pensar si algo sale mal: «¿A quién voy a llamar?» Usted va a querer usar algún tipo de proveedor de servicios administrados para proteger sus sistemas y su información, asumiendo que no va a construir esa capacidad internamente.
Patterson: Stephen Lilley, Mayer Brown. Siempre es bueno hablar con tu equipo. Mientras miramos al año que viene, tres años, el software de rescate es un componente innegable de hacer negocios, pero ¿qué es lo que lo mantiene despierto? ¿Qué ciberamenazas están burbujeando bajo la superficie que podrían afectar particularmente a las PYMES y a las empresas de nueva creación en los próximos, digamos, 12, 18, 36 meses?
Lilley: Creo que hay una ola de nuevos tipos de ataques que se avecinan y que no necesariamente impactan a una compañía inmediatamente, pero que pueden tener un impacto significativo en los efectos legales. Por ejemplo, ahora hay ataques a las minas de Bitcoin, en los que básicamente los hackers se aprovechan de los sistemas confiados de la compañía para extraer Bitcoin. Así que comprometen su sistema y lo convierten en una operación de Bitcoin-mining. Eso es algo que puede suceder. No significa necesariamente que… Su sistema puede ralentizarse, pero cuando resulta más tarde, que usted ha tenido algún tipo de sindicato criminal corriendo en sus sistemas, y el FBI está llamando a su puerta, ese es un día muy malo.
Es como la siguiente ola de ataques, y de forma similar, creo que ya lo viste un poco el año pasado con el Mirai Botnet. Se están utilizando dispositivos para atacar otros sistemas, creo que es otro tipo de riesgo. Una vez más, no es algo que las pequeñas empresas van a pensar, pero si resulta que sus dispositivos que han estado atacando a un tercero, de nuevo, que va a ser un día muy malo cuando usted descubre que y usted tiene que empezar a pensar a través de las obligaciones que tiene con los terceros que ni siquiera sabía que tenía ninguna conexión con.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad.
Entregado los martes y jueves
mismo