Aunque muchas empresas pequeñas y medianas han creído históricamente que son demasiado insignificantes para ser un blanco, esa percepción es errónea. De hecho, la mayoría de las pequeñas y medianas empresas han sido víctimas de ataques cibernéticos. Un estudio de Symantec reveló que las pequeñas y medianas empresas (PYME) se están convirtiendo en un área de amenaza importante, en la que está creciendo rápidamente el número de incidentes entre las PYMEs. El estudio identificó el ransomware Cryptolocker como una amenaza que, cada vez más, tiene en su mira a las PYMEs. Además de ser objetivos, las empresas más pequeñas suelen ser una ruta de ataque hacia organizaciones más grandes a través de sus relaciones con clientes, proveedores o empresas conjuntas, lo que hace que la administración de proveedores y socios sea una función crítica para todas las entidades interconectadas.
Esto no significa que la defensa sea imposible, pero sí significa que los miembros de la junta directiva deberán asegurarse de que la gerencia está completamente comprometida en hacer que los sistemas de la organización sean tan resistente como económicamente factibles. Esto incluye el desarrollo de planes de defensa y respuesta que sean capaces de afrontar métodos sofisticados de ataque. Si bien los programas complejos de ciberseguridad pueden ser difíciles de implementar dentro de organizaciones más pequeñas que están limitadas por la disponibilidad de recursos, todas las organizaciones deberían poder implementar al menos un plan de ciberseguridad.
¿Por qué nos atacarían?
Algunas organizaciones creen que es poco probable que sean víctimas de un ataque cibernético porque son de tamaño relativamente pequeño, no son una marca conocida y/o no tienen cantidades sustanciales de datos confidenciales del consumidor, como números de tarjetas de crédito o información médica. De hecho, los adversarios tienen en la mira a organizaciones de todos los tamaños y de todas las industrias, buscando cualquier cosa que pueda ser de valor, incluidos los siguientes activos:
- Planes de negocios, incluidas las fusiones o estrategias de adquisición, ofertas, etc.
- Sistemas y planes de negociación.
- Contratos o acuerdos propuestos con clientes, proveedores, distribuidores, socios de empresas conjuntas, etc.
- Credenciales de inicio de sesión de los empleados y otra información útil.
- Información sobre las instalaciones, incluidos los diseños de plantas y equipos, mapas de construcción y planes futuros.
- Información de I + D, incluidos nuevos productos o servicios en desarrollo.
- Información sobre procesos de negocio clave.
- Código fuente.
- Listas y datos de empleados, clientes, contratistas y proveedores.
Una de las características determinantes de estos ataques es que pueden penetrar en prácticamente todos los sistemas de defensa perimetral de una empresa, como los cortafuegos o los sistemas de detección de intrusos. Se calculan meticulosamente estos ataques para asaltar a un objetivo específico, y los intrusos buscan múltiples vías para explotar las vulnerabilidades en todas las capas de seguridad hasta lograr sus objetivos. La realidad es que si un atacante sofisticado tiene en la mira los sistemas de una compañía, casi con seguridad los violará. Esto no significa que la seguridad sea un imposible, solo significa que la ciberseguridad debe ser más que simplemente la seguridad perimetral basada en TI. Dado que los ataques se han vuelto más sofisticados, las defensas deben volverse más sofisticadas.