La ciberseguridad es un motor de éxito para las empresas digitales

Cuando se habla de pymes tecnológicas o digitales el enfoque principal suele estar en los startups y en su esfuerzo por crecer, básicamente porque necesitan muchas ventas en el corto plazo para mantener un ritmo vertiginoso de crecimiento. El reto llegó para otras pymes, aquellas tradicionales y no digitales, cuando por la pandemia fue necesario migrar a internet para “sobrevivir” y cumplir las expectativas de los consumidores, desarrollando aplicaciones en la nube o también usando plataformas de marketplaces o eCommerce.

En palabras de Adriel Araujo, CEO y cofundador de Hackmetrix, ya sea por desconocimiento o priorización, las pymes no son proactivas en ciberseguridad; sin embargo, el momento crítico les llega cuando algo las obliga a prestar atención, ya sea un cliente corporativo exigiéndolo, algún regulador presionando o un ciberdelincuente atacando sus sistemas.

“Un corporativo tradicional, de esos que aparecen en el ranking Forbes, cuenta con más de 150 proveedores de servicio tecnológicos para ser más ágil y lanzar nuevos productos al mercado, desde software de inteligencia artificial, hasta empresas que desarrollan aplicaciones personalizadas para ellos. El problema es que cada uno de estos proveedores representa una puerta de entrada a cibercriminales y deben ser auditados para prevenir ese riesgo, elevando así la vara de entrada para las pymes, quienes se ven forzadas a implementar estándares internacionales como ISO 27001 o PCI DSS para estar más seguras y vender a estos corporativos”, cuenta Adriel Araujo.

Si una pequeña y mediana empresa quiere llegar a un corporativo puede pasar dos años invirtiendo recursos, tiempo y dinero en la negociación hasta convencer al comprador, el problema se presenta cuando entra el departamento de riesgos y pide que se cumplan una serie de políticas y controles de seguridad, así como también que haya pruebas de penetración periódicas. Para sorpresa de esta pyme, implementar un programa de seguridad no es de un día al otro, tarda seis meses en el mejor de los casos, limitando así sus posibilidades de cerrar la venta y por ende crecimiento.

Lea también : Las 10 predicciones de ciberseguridad para 2022

Desde Hackmetrix han identificado que una Pyme puede crecer enfocando su solución a negocios más pequeños o que dan por hecha la existencia de controles de seguridad, pero si van a operar en países con regulaciones estrictas de seguridad o protección de los datos, ya no es opcional, es cumplir o atenerse a multas, sanciones, e incluso no poder operar allí. Por ejemplo, México tiene la Ley Fintech, Colombia la Circular Externa 007 de la Superintendencia Financiera de Colombia, Chile la RAN 2010 de la CMF, Perú y Venezuela ya hablan de formular sus propias regulaciones.

¿La ciberseguridad es gasto o inversión?

Es común pensar que la ciberseguridad es un gasto, pero es una inversión. Piense en que un día regresa a su casa y alguien la saqueó por lo que decide poner alarmas y comprar un seguro. Desde ahora estará seguro, pero ya tuvo un incidente. Ahora piense en una empresa que se hace famosa por ser hackeada y haber perdido datos sensibles o dinero, lo que termina cerrando puertas y oportunidades de negocio.

“Hace poco un cliente contrató nuestra plataforma de Ethical Hacking, que sirve para buscar vulnerabilidades en empresas y sus sistemas, y aunque los empleados sabían que debían respetar ciertas políticas como tener antivirus en su computador y usar un gestor de contraseñas, al colaborador le daba pereza porque no era consciente de los peligros. Como parte de la prueba, enviamos correos de phishing, una persona descargó un Excel con software malicioso y esto nos dio acceso a su máquina, sus contraseñas e incluso su información bancaria”, explica el CEO Araujo.

El cofundador de Hackmetrix dice que otro problema actual es que la ciberseguridad está acostumbrada en un modelo consultivo donde la consultora entrega un PDF con una lista que enumera controles y cambios a implementar para cumplir con un cliente o certificarse, por ejemplo, en ISO 27001, pero muchas veces no ofrecen las indicaciones de cómo cumplir los puntos o es difícil contactar al consultor para resolver dudas. Y en pequeñas y medianas empresas este trabajo suele hacerse por una sola persona o equipos reducidos, lo que hace que el trabajo sea más complicado.

“Lo que hacemos en Hackmetrix es ofrecer una plataforma que ayuda a las pymes y startups a implementar un programa de seguridad y cumplimiento, nuestra plataforma indica a los clientes qué hacer y cómo hacerlo en una interfaz gráfica muy intuitiva, además se integra con sus sistemas y emite alertas en caso de problemas de seguridad. En paralelo tenemos alianzas con empresas que emiten certificaciones ISO y PCI a nuestros clientes de validez internacional”.

Dentro de los más de 100 controles de un programa de seguridad se pide algo específico llamado prueba de penetración, para ello Hackmetrix integra en su herramienta un módulo de monitoreo que combina tecnología y ethical hackers, quienes revisan los sistemas de las empresas en búsqueda de falencias o debilidades con diversas estrategias y proveen recomendaciones para mitigarlas.

¿Se debe pensar desde el día cero?

Una empresa será objeto de ataques desde el día uno, y la pregunta es qué tanto se puede perder en caso de una vulneración. Lo ideal es un programa de seguridad antes de empezar operaciones, pero por lo general no se le da tanta importancia a la ciberseguridad hasta que hay un riesgo económico de por medio, ven que su competencia ya lo hizo, necesitan cerrar un negocio, cumplir una regulación o necesitan garantizar que su solución esté protegida. Por último, Araujo recalca que una empresa va a estar tan segura como se le refuerce al equipo. No importa que tan robusto sea un programa de ciberseguridad o que tan estricto sea en lo laboral si no se sigue en la vida personal. Al final si se vulnera lo personal puede ser el camino para lo laboral cuando se usa el mismo equipo para ambos, se comparten contraseñas, o se guardan en la nube sin protección. Por lo que no solo se necesitan soluciones, sino una verdadera cultura de la seguridad para robustecer a una pyme, cerrar grandes negocios y llegar al éxito.

Más información: https://www.hackmetrix.com/