La seguridad de las PYMES alcanza a las grandes empresas, según muestran los datos



Las pequeñas y medianas empresas enfrentan problemas similares a los de las grandes organizaciones y tienen prácticas de seguridad actualizadas para responder con búsqueda de amenazas, administración de parches y personal dedicado.

Las pequeñas y medianas empresas (PYMES) han tenido una reputación de estar detrás de la curva en seguridad cibernética, especialmente en comparación con las grandes empresas que tienen más recursos. Un nuevo informe muestra que las PYMES tienen la misma capacidad de defenderse, a pesar de enfrentar desafíos similares.

Para comprender mejor el estado de la seguridad de las pymes y desacreditar conceptos erróneos comunes, los investigadores de Cisco Protection encuestaron a casi 500 pymes (250–499 empleados) y preguntaron sobre los factores que configuran su postura de seguridad. Lo que aprendieron fue que a las PYMES les está yendo mejor de lo esperado.

«Vemos una y otra vez que las pymes realmente están superando su peso», dice Wolfgang Goerlich, asesor de CISO con Cisco Stability. «Lo están haciendo mejor de lo que hubiéramos anticipado». Uno de los hallazgos que lo sorprendió fue la cantidad de personalized de seguridad dedicado. Una suposición común es que las PYMES tienen pocos recursos de seguridad cibernética, si es que tienen alguno, y como resultado, a menudo alguien se ve obligado a hacer malabarismos con la seguridad junto con otras responsabilidades de administración de TI.

Los datos muestran que el 60% de las pymes tienen al menos 20 personas dedicadas a la seguridad, aunque no especifica su nivel de participación o si esos empleados fueron subcontratados a través de un proveedor de servicios de seguridad gestionados. Casi el 80% de las grandes organizaciones informan la misma cantidad. Solo el 40% de las pymes y el 22% de las grandes empresas tienen menos de 20 empleados de seguridad dedicados.

«Ese es un gran cambio en la última década», dice Goerlich sobre el aumento de individual. En basic, dice, hay «más puntos en común de lo que a menudo pensamos» cuando se habla de la seguridad de las PYMES. Algunos factores han impulsado estos cambios. Por un lado, las pequeñas empresas enfrentan niveles similares de escrutinio público. La mitad de las PYMES han logrado esto después de una violación de seguridad, related al 51% de las empresas más grandes. Sus clientes también están presionando: el 74% de las PYMES dicen que reciben consultas de los clientes sobre cómo manejan los datos de las personas, en comparación con el 73% de las organizaciones más grandes.

Goerlich atribuye el aumento del escrutinio público a dos factores. Una es la realización de la cadena de suministro y los riesgos de terceros, que están llevando a los clientes a hacer más preguntas. Incluso los pequeños proveedores que venden herramientas se ven afectados con más frecuencia por las consultas. Otro son los efectos de los requisitos de regulación y cumplimiento, que generalmente afectan primero a los proveedores más grandes y luego se transmiten a los proveedores más pequeños. Ahora, están llegando a las PYMES encuestadas aquí.

«Si usted es un cliente, su voz por sí sola no puede mover la aguja … pero las voces de varios clientes mueven la aguja en una dirección significativa», dice sobre el aumento de las consultas. Los requisitos para las pequeñas y medianas empresas de hoy son problemas con los que las empresas estaban luchando hace seis años.

Sin embargo, muchas de las amenazas que enfrentan son las mismas. Los investigadores clasificaron los incidentes con mayor probabilidad de causar más de 24 horas de tiempo de inactividad y encontraron que el ransomware y los ataques dirigidos son consistentes en todas las organizaciones. Es más possible que las PYMES sean eliminadas con ransomware, credenciales robadas, phishing, spy ware y malware móvil Las organizaciones más grandes vieron amenazas como la denegación de servicio distribuida y las infracciones de datos ocuparon un lugar más alto en sus listas.

«Independientemente del tipo de organización que sea, si está en Online, es un objetivo», dice Goerlich. El mito de «no somos lo suficientemente grandes como para ser un objetivo» ya no es una mentalidad que tienen las pymes.

Cómo las pequeñas empresas abordan las amenazas
Cuando se vieron afectados por su incidente de seguridad más severo, el 75% de las pymes dijeron que sus sistemas estuvieron inactivos durante menos de ocho horas, en comparación con el 68% de las empresas más grandes. Goerlich dice que la inversión en herramientas de seguridad puede influir en la cantidad de tiempo de inactividad: cuantos más proveedores usó una PYME, más tiempo de inactividad informó de su incumplimiento más grave. Esto varió de un promedio de cuatro horas con un proveedor, a un promedio de 17 horas con más de 50 proveedores, el informe de los investigadores.

Las organizaciones más pequeñas están invirtiendo más tiempo y dinero en seguridad, una tendencia que ha llevado a la proliferación de herramientas. Goerlich lo llama un «resultado lógico» de dónde ha estado la industria y hacia dónde va, pero una huella tecnológica más compleja impide el tiempo de respuesta ante incidentes.

Las pymes son bastante diligentes para mantener actualizada su tecnología: el 42% explain su infraestructura como «muy actualizada» y el 52% dice que están «actualizadas regularmente», en comparación con el 54% y el 41% de las grandes organizaciones, respectivamente. Más de la mitad (56%) del parche de SMB reveló fallas de software diariamente o semanalmente, y el 37% dice que parchea quincenalmente o mensualmente. Goerlich señala que las pymes a menudo adoptan plataformas de software program como servicio para simplificar su huella, y estas son más fáciles de parchear.

Las pequeñas empresas también invierten en respuesta a incidentes (IR), con un 45% que prueba su plan de IR cada seis meses y un 36% una vez al año. Solo el 1% de las pymes nunca prueba su plan de respuesta. Más del 70% de las pymes tienen empleados dedicados a la caza de amenazas, equivalent al 76% de las grandes organizaciones que informan tener un departamento de caza de amenazas.

En standard, los números indican que las pequeñas empresas se están centrando más en la seguridad con el tiempo. El mismo sentimiento se repite en los datos de The Manifest, que recientemente publicó los resultados de un encuesta de 383 organizaciones más pequeñas, la mayoría de las cuales tenían menos de 50 empleados. Los datos muestran que incluso las empresas más pequeñas están invirtiendo en medidas de seguridad, como limitar el acceso de los empleados a los datos de los usuarios (46%), el cifrado de datos (44%), exigir contraseñas de usuario sólidas (34%) y capacitar a los empleados sobre la seguridad de los datos y la mejor seguridad prácticas (34%).

«La capacitación es una estrategia a largo plazo para garantizar que los empleados no actúen descuidadamente», dice Riley Panko, de The Manifest, quien señala que estos incidentes no siempre son intencionales. Los ciberdelincuentes no pueden apuntar a una PYME específica en su lugar, enviarán spam a varias empresas y verán cuáles son lo suficientemente descuidadas como para hacer clic en un enlace malicioso o dejar la información expuesta. Las organizaciones más pequeñas que carecen de medidas de seguridad tienen más probabilidades de ser víctimas de estos ataques, pero planean continuar mejorando: es probable que el 64% dedique más recursos a la seguridad en 2020.

Contenido relacionado:

Kelly Sheridan es la Editora de private de Dim Studying, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance policies & Engineering, donde cubrió asuntos financieros … Ver biografía completa

Más thoughts





Enlace a la noticia initial