Posponer la ciberseguridad lo pone en un riesgo mucho mayor de lo que cree Puede parecer difícil de justificar cuándo está comenzando su empresa, pero cuanto más espere, más difícil y costoso será proteger su empresa de los piratas informáticos.
Por Jaime Manteiga
Este artículo fue traducido de nuestra edición en inglés.
Las opiniones expresadas por los colaboradores de Entrepreneur son personales
Muchas empresas más pequeñas, especialmente las nuevas con presupuestos limitados, tienden a tratar la seguridad de la información como una ocurrencia tardía, una campana y silbato que se agregará más adelante cuando los fondos lo permitan. Es posible que esta actitud se haya justificado hace 20 o 30 años, pero el panorama moderno del ciberdelito, la seguridad de los datos y la privacidad lo hace imposible ahora.
La protección de la información corporativa, la propiedad intelectual, los datos de los clientes y los sistemas de TI físicos es una función comercial esencial para las empresas modernas, pequeñas y grandes. Las violaciones de datos son comunes, costosas y pueden dañar la reputación de una empresa durante años.
Como emprendedor en la industria de la ciberseguridad, sé lo importante que es para las nuevas empresas jóvenes evaluar su situación de seguridad de la información en las primeras etapas de formación para determinar la proporción adecuada de enfoque y presupuesto a lograr.
Relacionado: Un casino es pirateado a través de un termómetro de pecera
Por qué los emprendedores postergan la ciberseguridad
El mundo de las startups es como el Salvaje Oeste. Es caótico, competitivo y, a menudo, lo estás haciendo bien solo para sobrevivir. Según la Fundación Kauffman, alrededor del 22 por ciento de las empresas emergentes en los Estados Unidos fracasan durante el primer año. En algunos estados, la tasa de fallas en el primer año llega al 37 por ciento. Ya sea autofinanciado o con capital de riesgo, cada centavo gastado en ese primer año puede ser fundamental para la supervivencia a corto plazo de la empresa.
Un presupuesto de inicio tiene una composición diferente al presupuesto anual de una empresa establecida. A menudo, una proporción más significativa del presupuesto del primer año se destina a compras iniciales de infraestructura y TI, contratación de empleados, campañas publicitarias, costos de préstamos y otros gastos necesarios. Sin una idea clara de cuándo o cuántas ganancias comenzarán a llegar, los presupuestos son ajustados y poco se desperdicia en cosas superfluas.
Muchos emprendedores no ven la seguridad de la información como una alta prioridad en su presupuesto inicial. Si no se considera una amenaza o un gasto inmediato, es fácil abordarlo más adelante. Es posible que una empresa pequeña y desconocida con una base de clientes limitada no sienta que necesita mucha protección contra los piratas informáticos que acechan en las sombras. Pero esta narrativa puede volver a morder a una empresa joven.
Relacionado: ¿Qué es DARKSIDE, el grupo de ransomware ciberdelincuente que tiene al mundo en alerta?
La nueva era de la privacidad digital
El problema está empeorando, no mejorando, y puede continuar así en el futuro previsible. Los malos actores se están aprovechando de los nuevos agujeros en la seguridad creados por los bloqueos y los aumentos en el trabajo remoto que han resultado de la pandemia de Covid-19.
Una de las razones por las que es tan difícil contener el ciberdelito es que evoluciona rápidamente y se ajusta a las medidas de seguridad de formas impredecibles. Cuando la cantidad de ataques de malware disminuye debido a una mejor seguridad y conciencia, los esquemas de phishing aumentan y toman su lugar. Cuando las grandes corporaciones y las agencias gubernamentales comienzan a reforzar su infraestructura de TI, los piratas informáticos dirigen su atención a objetivos más pequeños y vulnerables.
Dependiendo de la industria y de la naturaleza de cada negocio, los presupuestos anuales de ciberseguridad pueden variar desde un 2% hasta un 20% del presupuesto total de TI de una empresa. Por lo general, se encuentran entre el 5 y el 10 por ciento. Sin embargo, estas proporciones están aumentando, tanto en dólares totales como en proporción al presupuesto, a medida que evolucionan las amenazas. Los consumidores que se convierten en víctimas de violaciones de datos están comenzando a exigir una mayor seguridad y privacidad de las empresas con las que hacen negocios, lo que hace que la seguridad de la información sea más importante cada año.
Los costos y riesgos de esperar
Además del aumento de los costos de apuntalar los sistemas contra los ataques, los costos de mitigar las secuelas de una brecha de seguridad de TI van en aumento. El precio depende de la naturaleza de la violación y del volumen de datos comprometidos, pero en el peor de los casos, puede seguir creciendo durante años. En los últimos años, algunas entidades más grandes, públicas y privadas, se han visto obligadas a gastar millones de dólares en actividades de respuesta a incidentes después de importantes ciberataques. Los costos de responder a un incidente o incumplimiento, administrar las consecuencias de las relaciones públicas y los costos de oportunidad asociados con tener que gastar capital para limpiar un desastre eclipsan el costo de mantener un presupuesto anual suficiente para la seguridad de la información.
Los piratas informáticos no se han tomado un descanso por la pandemia; de hecho, están aumentando. Aproximadamente 214 millones de usuarios de Facebook, Instagram y LinkedIn fueron expuestos en enero a través de una base de datos china compartida extraída por piratas informáticos. Un mes después, los piratas informáticos secuestraron las tarjetas SIM de T-Mobile a través de la ingeniería social, revelando información del cliente en el proceso. La disparidad en las tácticas hace que frustrar los ataques sea un desafío constante. Las empresas pueden sobrevivir a estos incidentes y, finalmente, volver a hacer negocios, pero no sin antes perder ganancias, participación de mercado y reputación, algunas de las cuales tal vez nunca se recuperen.
Si bien ningún plan de seguridad de la información es rígido, una postura de seguridad poderosa, actualizada y bien administrada puede frustrar la mayoría de los ataques, mitigar el daño de los ataques que ocurren y reducir significativamente los costos de recuperación y respuesta a incidentes futuros. También puede ser mucho más costoso modernizar o agregar seguridad a los sistemas después de que una empresa ha mejorado sus operaciones.
Relacionado: La ciberseguridad ahora es esencial para la estrategia corporativa
Dejando entrar la seguridad en la planta baja
Una de las mejores formas de mantener una postura sólida en materia de ciberseguridad es adoptar un enfoque holístico. La seguridad debe ser parte de la mentalidad y la cultura de una empresa desde el principio, especialmente para las empresas más relacionadas con la tecnología o aquellas en industrias que tienen que lidiar con grandes volúmenes de datos de clientes. Esto no significa que la seguridad deba romper el presupuesto de una startup joven, pero un poco de planificación y algunas medidas relativamente económicas pueden aprovechar al máximo los gastos iniciales de TI y ahorrar dinero en el futuro.
Las empresas jóvenes deben evaluar el panorama realista de las amenazas cibernéticas para su industria y su infraestructura de TI particular antes de comenzar. Los consultores profesionales de ciberseguridad pueden ayudar a dar una idea clara de lo que se necesita a corto y largo plazo. Asegúrese de establecer una cultura de seguridad y mejores prácticas entre los empleados y la gerencia, enfatizando algunas de las incursiones fáciles de los piratas informáticos como el phishing y otras técnicas de ingeniería social. Implemente capacitaciones y evaluaciones periódicas, y dé buenos ejemplos al más alto nivel.
Si inicialmente no es posible contar con un equipo de seguridad de TI dedicado o una persona, considere la posibilidad de contratar un servicio de director de seguridad de la información virtual (vCISO) subcontratado. Un vCISO es una opción asequible para muchas pequeñas empresas y puede brindar una valiosa tranquilidad a medida que su empresa crece.
Las filtraciones de datos son caras en muchos niveles. Las cartas y los correos electrónicos de las empresas que informan a los clientes que su información fue o puede haber sido comprometida se están convirtiendo en algo común. Estas comunicaciones a menudo vienen con ofertas por un período gratuito de monitoreo de robo de identidad u otras "ramas de olivo" para aliviar el dolor. Pero el daño ya está hecho. Las infracciones no solo dañan la reputación de una empresa con los consumidores, sino que los futuros inversores pueden dudar en involucrarse con una empresa que se percibe como un pasivo de datos. Puede parecer difícil justificar desembolsar capital en seguridad de la información cuando su empresa recién está comenzando, pero cuanto más espere, más difícil y costoso será integrarlo en su organización cuando más lo necesite.