La Agencia de Ciberseguridad de la Unión Europea identifica los retos de ciberseguridad a los que se enfrentan las PYME en la actualidad y emite recomendaciones.
Las pequeñas y medianas empresas (PYME) se consideran la columna vertebral de la economía europea. En la actualidad, 25 millones de PYME están activas en la Unión Europea y emplean a más de 100 millones de trabajadores.
El informe Ciberseguridad para las PYME que publica hoy ENISA ofrece consejos para que las PYME afronten con éxito los retos de la ciberseguridad, especialmente los derivados de la pandemia del COVID-19. Con la crisis actual, las empresas tradicionales han tenido que recurrir a tecnologías como los códigos QR o los pagos sin contacto que nunca antes habían utilizado. Aunque las PYME han recurrido a estas nuevas tecnologías para mantener su negocio, a menudo no han aumentado su seguridad en relación con estos nuevos sistemas. La investigación y la experiencia real demuestran que las organizaciones bien preparadas hacen frente a los incidentes cibernéticos de forma mucho más eficiente que las que no planifican o carecen de las capacidades necesarias para hacer frente a las ciberamenazas correctamente.
Juhan Lepassaar, Director Ejecutivo de la Agencia de Ciberseguridad de la UE, dijo: «La ciberseguridad y el apoyo a las PYME está en la vanguardia de la estrategia de ciberseguridad de la UE para la década digital y la Agencia está plenamente dedicada a apoyar a la comunidad de PYME en la mejora de su resiliencia para transformarse digitalmente con éxito.»
Además del informe, ENISA también publica hoy la Guía de Ciberseguridad para PYME: «12 pasos para asegurar su negocio«. La breve guía de ciberseguridad ofrece a las PYME acciones prácticas de alto nivel para asegurar mejor sus sistemas, y por tanto sus negocios.
Basado en una amplia investigación, una extensa encuesta y entrevistas específicas, el informe identifica aquellos retos de ciberseguridad preexistentes que se han visto agravados por el impacto de la crisis pandémica.
Conclusiones principales
El 85% de las PYME encuestadas está de acuerdo en que los problemas de ciberseguridad tendrían un grave impacto perjudicial en sus negocios, y el 57% afirma que lo más probable es que quebraran. De las casi 250 PYME encuestadas, el 36% declaró haber sufrido un incidente en los últimos 5 años. Sin embargo, los ciberataques todavía no se consideran un riesgo importante para un gran número de PYME y sigue existiendo la creencia de que los incidentes cibernéticos sólo se dirigen a organizaciones más grandes.
Sin embargo, el estudio revela que los ataques de phishing se encuentran entre los incidentes cibernéticos más comunes a los que se exponen las PYME, además de los ataques de ransomware, el robo de ordenadores portátiles y los fraudes de los directores ejecutivos (CEO). Por ejemplo, con la preocupación inducida por la pandemia, los ciberdelincuentes buscan comprometer las cuentas utilizando correos electrónicos de phishing con Covid-19 como asunto. Los fraudes de directores generales son otros señuelos destinados a atraer a un empleado para que actúe según las instrucciones de un correo electrónico fraudulento que se muestra como si fuera enviado por su director general, y que suele solicitar un pago que debe realizarse con urgencia en circunstancias similares a las de los negocios.
El informe desvela los siguientes retos a los que se enfrentan las PYME
- Escaso conocimiento de las ciberamenazas;
- Protección inadecuada de la información crítica y sensible;
- Falta de presupuesto para cubrir los costes derivados de la aplicación de medidas de ciberseguridad;
- Disponibilidad de conocimientos y personal en materia de ciberseguridad de las TIC;
- Ausencia de directrices adecuadas adaptadas al sector de las PYME;
La puesta en marcha de la red; - Escaso apoyo de la dirección.
¿Cómo abordar estos retos?
Las recomendaciones emitidas se dividen en tres categorías:
- Personas
Las personas desempeñan un papel esencial en el ecosistema de la ciberseguridad. El informe llama la atención sobre la importancia de la responsabilidad, la implicación y la concienciación de los empleados, la formación en ciberseguridad y las políticas de ciberseguridad, así como la gestión de terceros en relación con la información confidencial y/o sensible.
- Procesos
La supervisión de los procesos empresariales internos incluye la realización de auditorías, la planificación y respuesta a incidentes, las contraseñas, los parches de software y la protección de datos.
- Técnicas
A nivel técnico, se deben tener en cuenta una serie de aspectos relacionados con la seguridad de la red, los antivirus, el cifrado, la supervisión de la seguridad, la seguridad física y la seguridad de las copias de seguridad.
Destinatarios
El informe pretende ofrecer orientaciones prácticas a los propietarios y empleados de las PYME. Además, este trabajo puede ser de utilidad para otras entidades implicadas en el ecosistema de las PYME, como las asociaciones nacionales y europeas de PYME, los responsables políticos y los ejecutores, los proveedores de TIC de las PYME y otros.
Antecedentes
Durante casi 15 años, la Agencia de Ciberseguridad de la UE ha impulsado iniciativas de ciberseguridad para ayudar a las PYME a integrar la ciberseguridad en sus entornos digitales. A partir de 2006 y 2007, la Agencia publicó dos informes sobre el Paquete de Información para las PYME, en los que se ofrecían metodologías de evaluación y gestión de riesgos para las PYME. En 2010, la Agencia publicó el informe Business Continuity for SMEs para ayudar a facilitar la transferencia de conocimientos de TI a las PYME. En 2015, se publicó el informe Guía de seguridad en la nube para las PYME, para ayudar a las PYME a comprender los riesgos y las oportunidades de seguridad en relación con los servicios en la nube. Dos años más tarde, la Agencia publicó las Directrices para las PYME sobre la seguridad del tratamiento de datos personales.
La Agencia de Ciberseguridad de la UE publicó el año pasado una serie de consejos para ayudar a las empresas a enfrentarse a la rápida evolución de la esfera digital durante la pandemia: Consejos para seleccionar y utilizar las herramientas de comunicación en línea; Consejos para la ciberseguridad al comprar y vender en línea; Consejos para la ciberseguridad al trabajar desde casa; Diez consejos de ciberhigiene para las PYME durante la pandemia del COVID-19. La Agencia de Ciberseguridad de la UE y la Alianza Nacional de Ciberseguridad publicaron en noviembre de 2020 una lista de comprobación conjunta para las PYME, que ofrece a las empresas de ambos lados del Atlántico una guía básica para mantener la seguridad digital.
Deja una respuesta