Ciberseguridad, reporting y pymes

Image

La tecnología está presente en todas las operaciones centrales y, por lo tanto, la ciberseguridad va más allá de las preocupaciones del departamento de TI en las empresas actuales. Contrariamente a la creencia generalizada, los ciberataques afectan a organizaciones de todos los tamaños. Las pymes, que suelen ser percibidas como eslabones más débiles de las cadenas de valor debido a la limitación de recursos, no son inmunes a los ciberataques. Los cibercriminales atacan a las pymes mediante ataques de phishing, malware y basados ​​en la web para vulnerar las conexiones de la cadena de suministro de las organizaciones más grandes. 

La falta de recursos y habilidades en materia de ciberseguridad, junto con el aumento de los ciberataques, plantea una grave amenaza a la competitividad de las pymes y a la integridad de sus cadenas de valor. Según un estudio de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el  90% de las pymes encuestadas  reconocen el grave impacto de los problemas de ciberseguridad y más de la mitad temen la quiebra o el cierre en el plazo de una semana tras un incidente cibernético.

El cibercrimen es un riesgo creciente 

Según un estudio reciente, el costo global del ciberdelito aumentará a 23,84 billones de dólares en 2027 , casi triplicándose respecto de los 8,44 billones de dólares de 2022.

El Informe sobre riesgos globales del Foro Económico Mundial (WEF), basado en una encuesta a 1.490 expertos y 11.000 líderes empresariales, demuestra la creciente preocupación por la ciberseguridad. El riesgo cibernético ha subido cuatro puestos en la lista de los 10 principales riesgos a corto plazo, y ahora  ocupa el cuarto lugar entre los riesgos globales más graves  para los próximos dos años. 

Además, el informe del Foro Económico Mundial clasifica la desinformación y la información errónea impulsadas por la IA como los principales riesgos a corto plazo, y  la IA generativa  se utiliza cada vez más para campañas de phishing sofisticadas dirigidas a individuos e infraestructuras menos seguras. En la mayoría de los casos, se trata de pymes. 

Enfoques regulatorios 

Como respuesta a estas crecientes amenazas a la ciberseguridad, los gobiernos de todo el mundo están respondiendo implementando medidas estrictas para obligar a las empresas a mitigar los riesgos de manera efectiva.

En la UE, la Directiva sobre contabilidad obliga a las empresas a detallar los riesgos e incertidumbres fundamentales a los que se enfrentan. Además, antes de octubre de este año, los Estados miembros deben promulgar medidas para cumplir con la Directiva NIS 2 con el fin de mejorar los estándares de ciberseguridad en toda la UE. 

Deben garantizar que las entidades importantes implementen medidas técnicas, operativas y organizativas apropiadas para gestionar los riesgos de las redes y los sistemas de información, utilizando un enfoque de todos los riesgos para minimizar el impacto de los incidentes en sus servicios y los servicios de otros.

El gobierno del Reino Unido está implementando reformas de ciberseguridad que incluyen ampliar las Regulaciones NIS para cubrir más organizaciones e incidentes, introducir un "deber cibernético de protección" para las cuentas personales en línea y exigir a las grandes organizaciones que incluyan una "declaración de resiliencia" en sus informes anuales detallando sus estrategias de gestión de amenazas.

Mientras tanto, en Estados Unidos, la Comisión de Bolsa y Valores (SEC) ha introducido nuevas normas que exigen a todas las empresas que cotizan en bolsa que informen sobre incidentes de ciberseguridad importantes en un plazo de 72 horas. Además, ahora todas las empresas deben informar anualmente sobre medidas preventivas de gestión de riesgos cibernéticos, lo que pone de relieve la importancia de las estrategias proactivas de mitigación de riesgos.

Mejores prácticas proactivas para proteger sus datos y los de sus clientes 

Aunque las pymes suelen enfrentarse a limitaciones presupuestarias, la ciberseguridad sigue siendo una necesidad. Un enfoque proactivo e informado en materia de ciberseguridad ayuda a lograr el cumplimiento normativo y genera confianza con los clientes y las partes interesadas, lo que garantiza la resiliencia a largo plazo de una organización.

La ciberseguridad no tiene por qué ser costosa; medidas asequibles como la asignación de funciones, la concienciación del personal y soluciones técnicas sencillas pueden mejorar sustancialmente la seguridad. Abordar los aspectos fundamentales (personas, procesos y tecnología) puede mejorar significativamente la ciberseguridad de las pymes sin costos sustanciales.

ENISA ha publicado una  guía de ciberseguridad para pymes  que incluye los siguientes 12 pasos de alto nivel que las pymes pueden adoptar para mejorar sus defensas de ciberseguridad y garantizar la protección de sus sistemas, datos y operaciones comerciales: 

1. Cultivar una cultura sólida de ciberseguridad

Establecer una cultura de ciberseguridad sólida es fundamental. Asigne responsabilidades específicas a la dirección y asegúrese de que los líderes la respalden. Involucre a los empleados mediante una comunicación regular y realice auditorías de ciberseguridad para identificar vulnerabilidades.

2. Proporcionar formación continua

Proporcionar formación continua sobre concienciación sobre phishing y manejo de datos. Los empleados bien informados son una defensa fundamental contra las amenazas cibernéticas.

3. Gestionar los riesgos de terceros

Gestione los riesgos de terceros aplicando estándares de seguridad. Revise y actualice periódicamente los acuerdos para garantizar el cumplimiento de los requisitos de seguridad.

4. Desarrollar un plan de respuesta a incidentes

Desarrollar un plan de respuesta a incidentes con pautas claras e implementar herramientas de monitoreo para detectar actividad sospechosa y responder rápidamente a posibles infracciones.

5. Implementar controles de acceso

Implemente controles de acceso y utilice autenticación multifactor para agregar una capa adicional de seguridad, dificultando el acceso no autorizado.

6. Protege tus dispositivos

Mantenga actualizado el software y utilice software antivirus para proteger los dispositivos. Cifre los datos confidenciales e implemente soluciones de administración de dispositivos móviles para protegerlos.

7. Fortalece tu red

Proteja las redes con firewalls robustos y revise las soluciones de acceso remoto para garantizar la seguridad. Utilice redes privadas virtuales para transmisiones de datos encriptadas y evite el acceso no autorizado.

8. Mejorar la seguridad física

Mejorar las medidas de seguridad física para controlar el acceso a las instalaciones y proteger las áreas sensibles. Implementar sistemas de vigilancia y control de acceso para detectar el acceso físico no autorizado.

9. Realice copias de seguridad de los datos periódicamente

Realice copias de seguridad de los datos críticos con regularidad y asegúrese de que se almacenan de forma segura. Pruebe los procedimientos de copia de seguridad para verificar la rápida restauración de los datos en caso de ciberataques o incidentes de pérdida de datos.

10. Utilice los servicios en la nube de forma segura

Utilice los servicios en la nube de forma segura, siguiendo las mejores prácticas descritas en recursos como  la Guía de seguridad en la nube para pymes de ENISA . Revise periódicamente el cumplimiento de los estándares de seguridad por parte de los proveedores de la nube.

11. Mantenga los sitios en línea seguros

Mantenga seguros los sitios en línea mediante pruebas periódicas de vulnerabilidades y configurando la protección de datos personales y financieros. Realice revisiones periódicas para asegurarse de que los sitios estén actualizados y protegidos contra posibles amenazas.


Tendencias futuras en los informes sobre ciberseguridad 

Los informes de ciberseguridad se transformarán a medida que se intensifiquen las amenazas y las presiones regulatorias. A medida que las organizaciones se enfrentan a un mayor escrutinio, se espera que aumenten los requisitos de informes de infracciones, lo que exigirá a las empresas que mejoren sus capacidades de generación de informes.

La tecnología, en particular la inteligencia artificial y la automatización, puede ayudar significativamente en esta evolución al permitir que las empresas realicen la transición hacia la respuesta y recuperación ante incidentes en tiempo real.

Los riesgos de la cadena de suministro seguirán siendo una de las principales preocupaciones a nivel mundial. Dado que las infracciones de los ataques a la cadena de suministro  superan en un 40 % a las infracciones vinculadas con malware, la atención a la seguridad de la cadena de suministro solo se intensificará, lo que requerirá una arquitectura de confianza cero y la elaboración de informes exhaustivos.

La privacidad de los datos seguirá siendo crucial, y la gestión transparente de los datos y las respuestas a las violaciones son esenciales para mantener la confianza. La mejora del intercambio de información sobre amenazas y la integración de factores ESG pondrán de relieve el papel de la presentación de informes en el marco de objetivos de sostenibilidad más amplios.

En Europa, los cambios regulatorios, incluida la Ley de Resiliencia Operativa Digital (DORA)  y  las revisiones de la Directiva NIS2 , están destinados a estandarizar las prácticas de ciberseguridad. La DORA exige la presentación de informes de incidentes y pruebas de resiliencia, mientras que la NIS2 amplía la cobertura del sector y endurece los requisitos de presentación de informes. Las pymes de sectores como la atención médica, la energía y los servicios digitales deben implementar medidas de seguridad sólidas y cumplir con el RGPD.

Se están considerando requisitos simplificados de presentación de informes y mecanismos de apoyo, reconociendo el papel vital de las pymes en la economía digital. Sin embargo, el cumplimiento exigirá inversiones en infraestructura, capacitación y monitoreo para garantizar la protección operativa y la alineación regulatoria.

Navegando por las cambiantes regulaciones de ciberseguridad

A medida que cambia el panorama regulatorio, cumplir con las nuevas regulaciones de ciberseguridad requerirá implementar medidas y prácticas de informes más estrictas.

Las empresas de todos los tamaños y  de diferentes sectores deben mantenerse a la vanguardia actualizando continuamente sus estrategias de ciberseguridad para cumplir con los nuevos estándares y protegerse contra las amenazas emergentes. 

HLB Global puede ayudar brindando orientación experta sobre cumplimiento normativo, ofreciendo soluciones de ciberseguridad personalizadas,  servicios de garantía de riesgos y  servicios de asesoramiento ESG , y brindando programas de capacitación integrales. 

¿Qué es la Comunidad HLB Brighter Futures?

Nuestra comunidad Brighter Futures promueve a los líderes emergentes dentro de la red HLB y ayuda a difundir la estrategia HLB (y a respaldar su implementación) en todo el marco operativo de la red.

La comunidad cuenta con un equipo de liderazgo de cuatro personas que rota anualmente; nuestros líderes de Brighter Futures trabajan en estrecha colaboración con HLB Global y los equipos ejecutivos en nuestros objetivos estratégicos, con caminos progresivos trazados hasta 2027.

Para obtener más información sobre nuestros líderes de Brighter Futures, incluido Carlos, haga clic aquí.

Image
Get in touch
Whatever your question our team will point you in the right direction.
Start the conversation
Image

Sign up for HLB insights newsletters