Llegamos a ustedes gracias a:



Columnas de opinión

PyMEs y cibercrimen: Riesgos y consecuencias

Por: Abelino Ochoa, Director General para América Latina de Kaspersky Lab

[24/08/2011] Hoy en día, el verdadero cibercrimen tiene la única meta de robar información que pueda convertirse fácilmente en dinero. Hay dos estrategias amplias para el cibercriminal moderno: robar cantidades pequeñas a un gran número de usuarios particulares, buscando pasar desapercibidos; o desbancar blancos más atractivos como negocios, los cuales representan un riesgo mayor pero posibles ganancias exponencialmente más grandes.

La PyME no es ninguna excepción y de hecho puede ser un blanco más atractivo que una corporación grande. El robo de credenciales bancarias es una de las metas más típicas del cibercriminal de hoy y en el caso de una empresa, le da acceso a cantidades de dinero muy superiores a las de un particular. Desde el 2007, hemos visto un crecimiento vertiginoso de troyanos y otros tipos de malware diseñados específicamente para recaudar datos financieros de sus víctimas en todo el mundo, pero en particular en varios países de América Latina como Brasil y Colombia. El uso del comercio y la banca electrónica están en auge entre consumidores y los negocios que les ofrecen sus servicios.   Además, nuestras estadísticas muestran que entre el 2009 y el 2010, el número de los ataques de malware en toda la región de América Latina ha crecido en más de un 340%.
Según una encuesta global realizada por nosotros y B2B International en mayo de este año, en la cual participaron  mil 300 profesionales de tecnología de información (TI) de todo el mundo, el 42% de los pequeños negocios perciben un incremento en los ataques cibernéticos contra su empresa. El 57% de las empresas de todos los tamaños en los mercados emergentes, donde está incluida América Latina, también percibe un incremento. En estos mercados, tan solo el 65% de las empresas usan plenamente la protección anti-malware para asegurar sus datos; 5% menos que el promedio mundial y mucho menos que países como el Reino Unido (92%) y los Estados Unidos (82%).
La PyME no cuenta con los mismos recursos TI que una grande corporación y muchas veces no tiene un equipo de seguridad TI dedicado. Tal vez no tenga los recursos para implementar una solución diseñada para las complejas redes corporativas. Nuevamente, según esta encuesta, el 45% de las compañías de todos los tamaños sienten que deben invertir más en su seguridad y de este grupo, la gran mayoría piensa que debe invertir por lo menos 25% más. Dados los recursos con los que cuentan los pequeños negocios, éstos invierten solo la cuarta parte por empleado en la seguridad en comparación con una empresa grande.
Hoy en día, la creación de malware para atacar pequeños negocios implica un costo muy bajo para el cibercriminal -bajo riesgo, alta recompensa. Muchos dueños de PyMES tal vez piensan que no son lo suficientemente grandes para atraer la atención del cibercriminal, pero esto definitivamente no es así.
En los Estados Unidos está el caso de Patco, una empresa mediana de construcción que al ver vulnerados sus credenciales bancarias, perdió 345 mil dólares, dinero por el cual muy probablemente su banco no se responsabilice y deban dar por perdido. Las leyes varían de país en país pero una vez que el dinero ha sido substraído de su cuenta, puede que ya sea demasiado tarde. Grupos dedicados al comercio electrónico como la NACHA, alertan desde hace años que la usurpación de credenciales bancarias es uno de los riesgos más grandes que enfrenta un negocio mediano o pequeño.
Por ello, es muy importante generar conciencia de estos riesgos entre los dueños de pequeños y grandes negocios en nuestra región. Si los riesgos son tan altos y los recursos se ven limitados, ¿qué deben hacer los dueños de estos negocios?
* En primer lugar, contar con una solución de antivirus con buen desempeño, que se actualice con frecuencia y que cubra la red de computadores y dispositivos de la empresa.  Esta solución debe proteger todo el endpoint si es posible, incluyendo las estaciones de trabajo y los dispositivos móviles.
* Segundo, su solución debe tener la posibilidad de administrarse centralmente y así evitar que los empleados cambien la configuración de su antivirus en las distintas máquinas del negocio. Una política de seguridad administrada centralmente casi siempre es la solución más eficiente y flexible para el empresario.
* Tercero, la solución debe ser fácil de usar. Sin un recurso dedicado de TI o con presupuestos limitados, parte del control de la red recaerá sobre el dueño o un empleado que éste designe, y el uso de su solución para administrar la red y cada computadora debe ser rápida y eficiente.
Por último y no menos importante, está el elemento humano. 
* Establezca políticas de seguridad claras y asegure que se cumplan, como no permitir la descarga de archivos ejecutables y archivos sospechosos a las computadoras de su red. 
* Eduque a sus empleados sobre las amenazas de ingeniería social como el phishing que se propagan por email y a través de redes sociales.
* Esté atento a los nuevos tipos de ataque que puedan afectar a su país, mismos que suelen salir publicados en los medios de comunicación social y en sitios dedicados como Securelist.
* Proteja las comunicaciones en vez de restringirlas. Siempre será más efectivo para su seguridad y su negocio proteger a sus empleados contra sitios y enlaces maliciosos a través de los canales más usados (como el correo electrónico y la mensajería instantánea), que intentar restringirla por completo.
CIO, Perú