Recientemente un colega me contó, que estando en una fiesta con un grupo de amigos concluían; que en lugar de sacar a bailar, o hablar con una “mujer bonita” era mejor optar por una “mujer menos agraciada” ya que la probabilidad de ser rechazado por una “mujer bonita” era alta, pero con las “menos agraciaditas” las probabilidades de éxito son mayores; esto dado que la cantidad de mujeres lindas era menor en relación con la cantidad total de mujeres presentes. Adicional porque todos los hombres (o mujeres) del lugar tendrían a “la mujer más bonita” como principal objetivo. Y arrancó con esta idea que no busca ser un debate sexista ni nada por el estilo, sino para utilizarla como analogía.
En el mundo empresarial hay “mujeres lindas” y “mujeres menos lindas”, sin embargo, desde la perspectiva de seguridad caemos en el error de pensar que el deber de protección y los ataques informáticos solo se dirigen a las grandes empresas (alias lindas) y que las empresas medianas, pequeñas y micro (alias menos lindas) son menos propensas a pasar por esto, aparentemente por no ser llamativas por los adversarios o criminales y porque no requieren mayor nivel de protección.
Esto se da, porque cuando se habla de seguridad de la información y ataques informáticos a menos que la persona que esté observando la situación sea parte de la empresa afectada, las noticias y la información mediática para indicar que una empresa fue atacada, se da principalmente si se trata de empresas grandes y reconocidas. Pero recordemos que toda gran empresa arrancó siendo una empresa de menor tamaño, en muchos casos varias arrancaron siendo empresas de garaje.
Y resulta que mientras muchos profesionales en seguridad y responsables de empresas no miran a las “menos lindas” como prioridad porque hacer negocios, trabajar o proteger a grandes empresas resulta más tentador, rentable o se considera que son el foco de atención; existen adversarios o criminales que si las tienen dentro de su expectro de análisis, identifican que están desatendidas y son un buen punto de ataque con mayor probabilidad de éxito.
Para un atacante diseñar un ataque dirigido a una empresa grande puede implicar mayor sofisticación por la naturaleza de los controles de seguridad que tenga versus lo que implique en escala similar para una empresa de menor tamaño. Por ejemplo, un ataque de ransomware en una empresa que cuenta con segmentación de red y esquema de copias de respaldo aisladas puede implicar para el atacante un mayor esfuerzo para cifrar la información que se encuentre en productivo y llegar en igual medida a las copias de respaldo. Si se considera el mismo ataque pensando en una empresa que tiene un esquema de red wi-fi de hogares y ausencia de copias de seguridad o en algunos casos, cuentan con ellas pero están al alcance en la misma red, puede facilitar que se cifren tanto la información en productivo como la información de respaldo cuando existe.
La mala noticia de lo anterior es que tanto la primera empresa como la segunda con su controles a medida igual pueden verse afectadas por el ataque. Sin importar el tamaño de la empresa no hay garantia absoluta de protección, pero la primera empresa por ir un poco más allá en sus controles tiene mayor probabilidad de asumir en mejor forma el incidente. Algunos pensarán, pero en el segundo caso igual se implementaron medidas de seguridad, entonces que más quieren de nosotros como empresas de menor tamaño.
En este caso lo que deberian considerar estas empresas es dejar de pensar que no les va a pasar y que no serán foco de ataque, así como aprender sobre seguridad y asesorarse ya sea por personal interno o externo sobre la mejor forma de implementar controles. En pleno siglo XXI la seguridad de la información ya no es una opción para las empresas, es una obligación.
He conocido empresas que no catalogan como grandes y que han sido victimas de este tipo de ataques teniendo inadecuadas medidas de seguridad, cuya solución termina siendo reconstruir casi desde cero. Solo a partir de esto, tomaron conciencia y destinaron recursos basados en sus capacidades para implementar controles, que les permitieron disminuir la probabilidad de estar expuestos a los mismos incidentes o contar con mayores capacidades de recuperación ante estos. No obstante, algunas empresas aún al experimentar estas situaciones siguen sin identificar la importancia de destinar recursos para su protección.
Es asi como se asocia la implementación de medidas de seguridad con empresas grandes porque tienen mayores recursos. Las medianas, pequeñas y micro empresas en varias circunstancias no suelen considerar la implementación de seguridad porque la principal preocupación es lograr los recursos para operar y en muchos casos vivir el día a día pasando a ser la seguridad una añadidura o lujo.
El problema con lo anterior, es que normalizamos que la seguridad no esté al alcance de toda empresa y que toda empresa no es responsable de proteger los datos que maneja de clientes, usuarios y consumidores. Parte de los compromisos y la responsabilidad que tienen las empresas con la venta de productos y servicios en contraprestación a la ganancia que obtienen de estos es hacer la debida diligencia para ciudar la información dentro de sus posibilidades operativas, humanas y económicas.
Por ello la seguridad no es solo cosa de empresas grandes, la seguridad es cosa de empresas sin importar su tamaño, industria, ingresos, ubicación o cualquier otro factor y es una responsabilidad de los empresarios implementarla sin importar las circunstancias. Más aún en las actuales circunstancias donde se adoptan con mayor recurrencia el uso de tecnologías de la información orientadas a la transformación digital con la integración de herramientas como la inteligencia artificial, el comercio electrónico y la masificación de las redes sociales en pro de los negocios; que permiten del lado de las empresas mejorar la productividad y el acercamiento con clientes, pero también del lado de los atancantes contar con otros vectores de ataque para aprovecharse de las empresas, y en mayor medida de aquellas que aún piensan que la seguridad de la información no les aplica y se excusan en su tamaño para no implementarla.