En febrero pasado, el ciberataque de a uno de los proveedores de Toyota obligó a esta empresa a detener la producción de casi 13.000 vehículos. El costo mundial de los ciberataques asciende a 6 billones de dólares anuales, y aumenta cada año. Los ciberataques pueden suponer una catástrofe para las empresas de todos los tamaños, pero especialmente para las más pequeñas. El coste medio de un ataque de ransomware puede ascender a 1,2 millones de dólares, y hasta 1,6 millones de dólares en el caso de las filtraciones de datos. Ante esta situación, es necesario tomar medidas urgentes para ayudar a las PYMES a prepararse y gestionar mejor los riesgos de seguridad digital.
Cerrar las puertas traseras
Durante la pandemia, hasta el 70% de las PYME digitalizaron sus modelos de negocios, adoptando el comercio electrónico, el teletrabajo o soluciones de trabajo inteligente. Esto creó nuevas oportunidades para que los actores maliciosos exploten las aplicaciones web, los dispositivos y los sistemas digitales que fueron adoptados a toda prisa por las PYMES para contrarrestar los efectos de la pandemia. En 2020, el FBI recibió un número récord de denuncias de ciberataques, un aumento del 69% respecto al año anterior. En Austria, el 60% de las empresas afirmó haber sido víctima de un ciberataque en 2021, mientras que, en Alemania, los daños económicos derivados de la ciberdelincuencia se duplicaron con creces entre 2019 y 2021, hasta alcanzar los 220.000 millones de euros.
Las pymes están rezagadas frente a las empresas más grandes en la adopción de prácticas de seguridad más sofisticadas
Las empresas más grandes como Toyota -con más datos y recursos financieros a su disposición- son objetivos claramente atractivos para los ciberdelincuentes. En contraste, se podría pensar que las PYMES al tener niveles más bajos de digitalización, una superficie de ataque más pequeña y menos datos críticos no estarían bajo la mira de los cibercriminales.
Sin embargo, a medida que la digitalización de las PYMES se acelera, las PYMES se han convertido en objetivos atractivos para los hackers. Mientras que las grandes empresas con conocimientos digitales y con ciberdefensas sofisticadas son cada vez más difíciles y costosas de vulnerar, las PYMES pueden ser víctimas de ataques baratos y replicables. En especial con la comoditización de malware, el ransomware y de otras amenazas en línea, la ciberdelincuencia tiene la posibilidad de comprar software malicioso personalizado para extorsionar PYMEs con menor riesgo.
Además, los ciberdelincuentes más ambiciosos están descubriendo que las PYMES pueden proporcionar también una ruta de entrada trasera a las grandes empresas, como nodos débiles en sus cadenas de suministro. El sector automotor puede ser especialmente vulnerable debido a las largas, complejas e interconectadas cadenas de suministro con distintos niveles de ciberseguridad y vulnerabilidad. En octubre de 2021, el proveedor alemán de automóviles Eberspächer sufrió un ataque que paralizó sus sistemas informáticos durante varios días. Los delincuentes también paralizaron a Pilz y Schmersal, dos empresas especialistas en la automatización del sector automotor, y cada vez tienen más en la mira a empresas más pequeñas que suministran componentes especiales para interrumpir la producción.
Blindando los datos
Las PYMES de todos los sectores tienen que incrementar sus esfuerzos para gestionar mejor los riesgos de seguridad digital y defender sus datos. En 2019, en toda la UE28, en promedio el 33% de las PYMES contaba con medidas o procedimientos para la seguridad de las TIC, frente al 76% de las grandes empresas. Frente a esto, un primer paso a tomar debe ser mejorar la gobernanza de los datos y concientizar sobre los riesgos de seguridad digital. La capacitación empresarial es fundamental ya que los empleados causan una parte considerable de los incidentes. Por ejemplo, en el 2021 en el Reino Unido, el 57% de los incidentes se originaron dentro de las empresas y la mayoría de ellos ocurrieron por accidente.
Muchos gobiernos están ayudando a las PYMES a combatir la amenaza. La Oficina de Transferencia de Seguridad Informática para las PYMES de Alemania está apoyando la transferencia de conocimientos y tecnología en materia de seguridad informática, así como la aplicación de medidas de ciberseguridad y campañas de concientización. En Costa Rica, los Centros Comunitarios Inteligentes han adoptado un enfoque práctico, ofreciendo a las PYMEs cursos básicos sobre ciberseguridad. También estos Centros Comunitarios imparten formación sobre tecnologías basadas en datos, como estadísticas, big data, inteligencia artificial e Internet de las cosas (IoT).
Los gobiernos también están trabajando con las empresas tecnológicas para mejorar la seguridad digital. Esto incluye el desarrollo de soluciones comerciales específicas para las PYMES, así como medidas para mejorar los protocolos de seguridad en los productos y servicios existentes. Australia está invirtiendo 1.670 millones de dólares australianos a través de su Estrategia Australiana de Ciberseguridad 2020, que ayudará a las empresas a proteger sus productos servicios y clientes de las ciberamenazas. Suecia ha concedido subvenciones a consorcios para diseñar soluciones de ciberseguridad para nuevos productos y servicios desarrollados en el país.
Los mecanismos de cooperación eficaces, incluidos los buenos canales de comunicación, pueden ser vitales para identificar y responder a las amenazas emergentes. Las redes entre sectores, entre PYME y grandes empresas, y entre jurisdicciones para luchar contra los ataques “sin fronteras” son cada vez más importantes. En Alemania, la Oficina Federal de Seguridad de la Información (BSI) está tratando de crear resiliencia mediante el intercambio de conocimientos y experiencias entre las empresas y los proveedores de seguridad informática, con el lema “Las redes protegen a las redes”.
La lucha contra la ciberdelincuencia se intensifica. A medida que los datos se vuelven centrales para los modelos de negocio de las PYMEs (“know your customer”), paras las operaciones de las cadenas de suministro (“just in time”) y también para los procesos de producción (“automation”), el valor de los datos para los actores maliciosos también aumenta. Al mismo tiempo, las herramientas, habilidades y técnicas de que disponen los delincuentes son cada vez más sofisticadas y menos costosas. Las PYMES deben tomar medidas urgentes para seguir el ritmo, colaborando con los gobiernos y la comunidad tecnológica para protegerse a sí mismas, a sus clientes y a sus cadenas de suministro.
La Recomendación de la OCDE sobre la gestión del riesgo de la seguridad digital para la prosperidad económica y social ofrece orientación para una nueva generación de políticas destinadas a optimizar la apertura digital y la gestión del riesgo de la seguridad digital. Esta recomendación hace un llamado a las altas del gobierno y las organizaciones para reducir el riesgo general, y hace especial hincapié en capacitar a las PYMES para gestionar su propio riesgo de seguridad digital.
Para más información sobre la seguridad digital en las PYMES, las tendencias emergentes y las políticas pertinentes, consulte las siguientes publicaciones recientes: “La transformación digital de las PYMES” y “Perspectivas de la OCDE sobre las PYMEs y el Emprendimiento. 2021 de la OCDE. Y no se pierda la publicación de la Fase I del proyecto de la Comisión Europea y la OCDE “desatando el potencial de las PYMES para ampliar su crecimiento sostenido”, que profundiza en la cuestión clave de la gobernanza de los datos de las PYMES.
Leer el articulo en otros idiomas :
Sandrine Kergroach is Head of SME and Entrepreneurship Performance, Policies and Mainstreaming unit at the OECD Centre for Entrepreneurship, SMEs, Regions and Cities (CFE). She leads the work on innovation, internationalisation and the scaling up of SMEs and start-ups, their productivity and ESG performance. She supervises activities related to policy monitoring, the development of data infrastructure and the OECD SME and Entrepreneurship Outlook. She also leads efforts for mainstreaming SME&E policy considerations. Sandrine holds a Doctorate in Economics (TU Berlin), a Master in Strategy and Management (Paris Dauphine-PSL), a Master in Modern History (Paris Sorbonne) and a Bachelor in Applied Economics and Statistics (Paris Dauphine-PSL).
Stefan Becker joined the Federal Office for Infomation Security (BSI) as Head of Section, Cyber Security for the Private Sector in May 2017. He started his career at the criminal police in Bonn in 1994. With the creation of the Cybercrime Competence Centre he moved on to the Landeskriminalamt Nordrhein-Westfalen in 2011. Stefan Becker holds a degree in public administration as well as an MBA with a specialisation in Risk and Fraud Management.
Laurent Bernat is a policy analyst at the OECD Secretariat in the Digital Economy Policy Division. He supports the Working Party on Security in the Digital Economy (SDE), under the Committee on Digital Economy Policy (CDEP), as well as the OECD Global Forum on Digital Security for Prosperity. He led the development of the OECD Recommendations on Digital Security Risk Management for Economic and on Social Prosperity (2015) and on Digital Security of Critical Activities (2019). Currently, he coordinates policy work on the digital security of products, vulnerability treatment, “responsible response” by private actors, and the security of communication networks. Laurent worked on many different trust-related policy issues including national cybersecurity strategies, digital identity management, RFID, cryptography policy and the protection of children online. Prior to joining the OECD in 2003, he worked at the French data protection agency, the Commission nationale de l'informatique et des libertés (CNIL) and was associate director in an Internet consulting firm. Laurent BERNAT has a master in political science and international relations.
3 comments
Comments are closed.