Cuánto presupuesto necesita una pyme para prevenir un ciberataque

Foto EE: Archivo

Ninguna empresa está exenta de sufrir una ataque cibernético, de serlo se está en riesgo la integridad, confiabilidad y disponibilidad de la información que almacenan en sus sistemas de información. Por esta razón, las pequeñas y medianas empresas (pymes) deben considerar, dentro de su presupuesto tecnológico, de operación y herramientas que ayuden a reducir los riesgos.

Para determinar la cantidad de recursos que una pyme debe destinar a la implementación, mantenimiento y administración de una solución de seguridad de la información, hay que considerar distintas variables, desde la contratación de un especialista que capacite y conciencie al personal de la compañía hasta la valoración del impacto que podría sufrir.

El presupuesto de ciberseguridad debe ser considerado una inversión y no un costo, de acuerdo con Cecilia Pastorino, especialista en Seguridad Informática de la consultora ESET Latinoamérica.

“Es importante entender que todo incidente de seguridad va a costarle dinero a la empresa y, dependiendo de la magnitud, en la mayoría de los casos este costo es muchísimo mayor al que tiene prevenirlo”, dijo Pastorino.

Para Noe Espinoza, director de Seguridad de la Información en IQsec-CERT, para determinar cuánto debe invertir una pyme en ciberseguridad, lo primero que debe hacer es un estudio de los activos con los que cuenta y un análisis de riesgos que ayude a priorizar la protección específica que requiere cada uno de estos activos.

Asimismo, Rafael Bucio, director general de TPX Security, coincide con este análisis y sugiere que la compañía tiene que contar primero con un perfil tecnológico, una evaluación de qué tiene la empresa (activos) y, a partir de esta información, llevar a cabo auditorías que ayuden a detectar vulnerabilidades. El resultado de estas auditorías genera un perfil objetivo en el que se determina cuánto es posible gastar para mejorar los sistemas de la empresa y mitigar el riesgo.

Según Bucio, una pyme puede llegar a gastar desde 10,000 a 4 millones de pesos, dependiendo de su tamaño o del sector. No es lo mismo una pequeña papelería cuyos únicos activos tecnológicos son una computadora, un router y una fotocopiadora que una pequeña financiera que maneja los recursos de decenas o centenas de clientes y que cuenta con un pequeño centro de datos.

La nube, una opción de ciberseguridad para las pymes

Akamai nació hace 18 años para dar servicios de almacenamiento en la nube y hace seis o siete años empezó a usar esta tecnología para ofrecer servicios de seguridad de la información. En 2017, 1 de cada 3 empresas mexicanas que se acercaron a esta compañía en busca de una solución de ciberseguridad una era pyme y en lo que va del 2018, esta cifra aumentó a 55%, de acuerdo con Hugo Werner, vicepresidente regional de Akamai para América Latina.

“El servicio se paga por mensualidades, lo que beneficia a las pymes que, a diferencia de las grandes empresas, no cuentan la mayoría de las ocasiones con un flujo de caja que les permita hacer una inversión importante en ciberseguridad”, dijo Hugo Werner.

El ejecutivo detalló que con este tipo de soluciones de Software as a Service (SaaS) y dependiendo del tipo de cliente y de otras muchas cosas, como el número de dispositivos, el costo mínimo de una solución de ciberseguridad es de 1,500 a 2,000 dólares al mes.

A diferencia de las grandes empresas, donde los ataques más recurrentes afectan la disponibilidad del servicio (DDoS), las pymes son el blanco preferido de los ataques con ransomware (en los cuales se secuestra información) y de phishing (en los que se engaña al usuario para que se exponga a una intrusión)..Las empresas se convierten en víctimas de extorsión que deben pagar un rescate para que el secuestrador les devuelva la información o para que sus sistemas puedan seguir funcionando.

“Actualmente, a nivel global, la proporción del presupuesto tecnológico que una empresa destina a ciberseguridad es de entre 15 y 20 por ciento.En América Latina no llegamos a ese número, pero las pymes se están dando cuenta de que los ataques cibernéticos ya no están orientados únicamente a las grandes organizaciones”, dijo Werner.

Retorno de Inversión

Definir cuánto debe invertir una pyme en ciberseguridad depende de varios factores: el número de activos, la exposición al riesgo que tiene cada uno de estos, el número de empleados, la interacción que estos tengan con la información y los recursos tecnológicos que forman parte del negocio; la conciencia en esta materia que exista en la empresa y el sector del negocio.

Para los especialistas, definir el Retorno de Inversión (ROI) de una solución de ciberseguridad es aún más complicado, por una razón sencilla: la seguridad es un bien intangible que solo se puede cuantificar en el momento que entra en acción.

En este sentido, de acuerdo con Sabas Casas, vicepresidente para América Latina de S21sec, el ROI de la ciberseguridad es como el ROI de los seguros: es muy difícil saber cuál es el retorno.

“Tú inviertes en seguridad y es probable que justo por eso es que no hayas sufrido algún incidente. Si te atacan y ya estás pagando un sistema de seguridad, éste puede ayudar a paliar el incidente. Es complejo cuantificar el ROI, a mí me gusta verlo como se miden los seguros: como algo necesario para evitar que tu negocio se vaya a la quiebra”, dijo Casas.

El costo promedio del daño ocasionado por un ciberataque es de 1.5 millones de dólares en México, y el promedio global, el costo fue de 2.3 millones de dólares, durante 2016, de acuerdo con el reporte Ciberseguridad y privacidad: De la percepción a la realidad de la consultoría PwC.

Para Sabas Casas, lo mínimo en lo que una pyme debe invertir en ciberseguridad es en lo necesario para contratar a un responsable de este sector de la empresa, una persona en la cual se deposite el 100% de la responsabilidad de la seguridad informática de la compañía.

“Sin eso, cualquier medida que se pueda tomar puede recaer en alguien que probablemente no tenga los conocimientos suficientes para resolver los incidentes”, dijo Casas.

[email protected]

CRÉDITO: 
Rodrigo Riquelme / El Economista