Recientemente un colega me contó, que estando en una fiesta con un grupo de amigos concluían; que, en lugar de sacar a bailar, o hablar con una “mujer bonita” era mejor optar por una “mujer no tan linda” ya que la probabilidad de ser rechazado por una “mujer bonita” era alta, pero con las “no tan lindas” las probabilidades de éxito eran mayores; esto dado que la cantidad de mujeres lindas era menor en relación con la cantidad total de mujeres presentes.
En la fiesta era de esperar que todos los hombres (o mujeres) tendrían a “la mujer más bonita” como principal objetivo y luego a las que le seguían en parámetros elevados de belleza. Pero antes de que alguien se incomode, explico que inicio con esta idea que no busca ser un debate sexista, ético ni nada por el estilo, sino para utilizarla como una analogía.
En el mundo empresarial hay “mujeres lindas” y “mujeres no tan lindas“, sin embargo, desde la perspectiva de seguridad caemos en el error de pensar que el deber de protección y los ataques informáticos solo se dirigen a las grandes empresas (alias: lindas) y que las empresas medianas, pequeñas y micro (alias: no tan lindas) son menos propensas a pasar por esto, aparentemente por no ser llamativas para los adversarios o criminales y porque no requieren mayor nivel de protección.
¿Por qué se da esta situación?
Cuando se habla de seguridad de la información y ataques informáticos a menos que la persona que esté observando la situación sea parte de la empresa afectada, las noticias y la información mediática para indicar que una empresa fue atacada, se da principalmente si se trata de empresas grandes y reconocidas. Pero recordemos que toda gran empresa arrancó siendo una empresa de menor tamaño, en muchos casos varias arrancaron siendo empresas de garaje.
Y resulta que mientras muchos profesionales en seguridad y responsables de empresas no miran a las “no tan lindas” como prioridad porque hacer negocios, trabajar o proteger a grandes empresas resulta más tentador, rentable o se considera que son el foco de atención; existen adversarios o criminales que, si las tienen dentro de su espectro de análisis, identifican que están desatendidas y son un buen punto de ataque con mayor probabilidad de éxito.
¿Cuál puede ser la diferencia entre linda o no?
Para un atacante diseñar un ataque dirigido a una empresa grande puede implicar mayor sofisticación por la naturaleza de los controles de seguridad que tenga versus lo que implique en escala similar para una empresa de menor tamaño.
Empresa grande | Empresa…no tan grande |
EDR Backups Segmentación de Red Correlación de eventos SOC Equipo legal Oficial de Seguridad Privacidad … bueno ya entendieron… |
Con lo anterior para el atacante puede implicar un mayor esfuerzo cifrar la información que se encuentre en productivo y llegar en igual medida a las copias de respaldo en el caso de la empresa grande. Si se considera el mismo ataque pensando en una empresa no tan grande puede facilitar que se cifren tanto la información en productivo como la información de respaldo cuando existe.
La mala noticia de lo anterior es que tanto la primera empresa como la segunda con sus controles a medida igual pueden verse afectadas por el ataque. Sin importar el tamaño de la empresa no hay garantía absoluta de protección, pero la primera empresa por ir un poco más allá en sus controles tiene mayor probabilidad de asumir en mejor forma el incidente. Algunos pensarán, pero en el segundo caso igual se implementaron medidas de seguridad, entonces
¿Qué más quieren de nosotros como empresas de menor tamaño?
En este caso lo que deberían considerar estas empresas es dejar de pensar que no les va a pasar y que no serán foco de ataque, así como aprender sobre seguridad y asesorarse ya sea por personal interno o externo sobre la mejor forma de implementar controles. En pleno siglo XXI la seguridad de la información ya no es una opción para las empresas, es una responsabilidad.
He conocido empresas que no catalogan como grandes y que han sido víctimas de este tipo de ataques teniendo inadecuadas medidas de seguridad, cuya solución termina siendo reconstruir casi desde cero.
Solo a partir de esto, tomaron conciencia y destinaron recursos basados en sus capacidades para implementar controles, que les permitieron disminuir la probabilidad de estar expuestos a los mismos incidentes o contar con mayores capacidades de recuperación ante estos. No obstante, algunas empresas aún al experimentar estas situaciones siguen sin identificar la importancia de destinar recursos para su protección.
Entonces, ¿por qué la seguridad no es solo de empresas grandes?
La implementación de medidas de seguridad se asocia con empresas grandes porque tienen mayores recursos. Las medianas, pequeñas y micro empresas en varias circunstancias no suelen considerar la implementación de seguridad porque la principal preocupación es lograr los recursos para operar y en muchos casos vivir el día a día pasando a ser la seguridad una añadidura o lujo. El problema con lo anterior, es que normalizamos que la seguridad no esté al alcance de toda empresa y que toda empresa no es responsable de proteger los datos que maneja de clientes, usuarios y consumidores.
Parte de los compromisos y la responsabilidad que tienen las empresas con la venta de productos y servicios en contraprestación con la ganancia que obtienen de estos es hacer la debida diligencia para cuidar la información dentro de sus posibilidades operativas, humanas y económicas.
Por ello la seguridad no es solo cosa de empresas grandes, la seguridad es cosa de empresas sin importar su tamaño, industria o cualquier otro factor y es responsabilidad de los empresarios implementarla; más aún en las actuales circunstancias donde se adoptan con mayor recurrencia el uso de tecnologías de la información orientadas a la transformación digital con la integración de herramientas como la inteligencia artificial, la computación en la nube, el comercio electrónico y la masificación de las redes sociales.
Estos aspectos en teoría mejoran la productividad y el acercamiento con clientes, pero abren múltiples puertas a los atancantes, que sabiamente los utilizan en mayor medida hacía aquellas empresas de menor tamaño que aún piensan que la seguridad de la información no les aplica y se excusan en su tamaño para no implementarla.