5 costosas consecuencias del cibercrimen de las PYMES
Los delincuentes que buscan robar datos o interrumpir el comercio no solo se centran en las grandes corporaciones. De hecho, las pequeñas y medianas empresas (PYMES) son un objetivo igualmente atractivo.
En 2013, había aproximadamente
PYMES en los Estados Unidos, dos tercios de las cuales contribuyeron aproximadamente 7,5 billones de dólares a la economía de los Estados Unidos. Esto los convierte en una víctima lucrativa y vulnerable para los ciberdelincuentes simplemente porque muchos de ellos no están prestando atención.
Los delitos cometidos a través de Internet se dividen en dos grandes categorías: robo de información y vandalismo digital. El robo incluye información financiera, información de propiedad estratégica o de productos, registros de clientes e historiales de transacciones. Una vez robada, esta información se utiliza para robar fondos directamente de la pyme o de sus clientes, o se vende a otros delincuentes.
El phishing es una forma de robo de información que incita a un usuario a revelar información confidencial, como contraseñas o números de tarjetas de crédito, haciéndose pasar por una entidad de confianza. El vandalismo digital incluye ataques de denegación de servicio (DoS), virus u otros tipos de malware, a menudo con la intención de interrumpir un negocio. Todas las formas de ciberdelincuencia conllevan costes perjudiciales.
Evaluar los costos para las empresas más pequeñas
Para una pequeña empresa, el robo de información de los clientes puede paralizar las operaciones o cerrar una empresa. Un solo incidente que daña la reputación de una empresa o compromete la integridad de su tienda electrónica podría resultar en pérdidas irrecuperables.
El costo directo promedio para una pequeña empresa por un ataque único
, pero eso excluye el daño a la marca y otros costos blandos. Las pymes incurren en casi cuatro veces los costos de ciberdelincuencia per cápita de las empresas más grandes,
.
Para muchas PYMES, estos costos pueden resultar fatales. Un estudio de la Alianza Nacional de Ciberseguridad de 2012 {{/url}} {{^url}} de la Alianza Nacional de Ciberseguridad de 2012 {{/url}} mostró que el 36 por ciento de los ataques cibernéticos se realizan contra PYMES. De ellos, hasta el 60 por ciento van a la quiebra dentro de los seis meses de un ataque. Sin embargo, el 77 por ciento de los propietarios de PYMES creen que sus empresas están a salvo de las brechas de seguridad cibernética.
La ciberdelincuencia es un efecto secundario desafortunado de la era de la información. Donde los bienes físicos o el dinero en efectivo antes contenían todo el valor objetivo de los ladrones, hoy en día la información tiene un valor aún mayor. Las empresas deben ser diligentes para protegerse contra el robo electrónico. Las PYMES deben evaluar su posible exposición a la ciberdelincuencia y tomar medidas para prevenir y neutralizar los ataques.
Aunque los costos precisos de un ataque difieren según el tamaño de una PYME y las circunstancias que rodean a ese ataque, las siguientes secciones describen los tipos de costos en los que podría incurrir una PYME a raíz de un evento tan infeliz.
Pérdida de negocio durante un ataque
Una brecha de seguridad a menudo significa apagar las operaciones electrónicas de la SMB durante algún período de tiempo. Un minorista en línea sometido a un ataque DoS podría cerrarse durante varios días o semanas mientras determinaba el origen del ataque y tomaba medidas correctivas.
Una filtración de datos de clientes en la que se robó información de tarjetas de crédito probablemente causaría un bloqueo similar. La acción correctiva a menudo depende de la capacidad de respuesta de un proveedor de servicios; un asunto frustrante, lento y costoso. Es probable que los costos den lugar a pérdidas totales de ingresos durante al menos varios días.
Pérdida de activos de la empresa
El robo de números de cuentas bancarias y contraseñas durante una violación puede causar el robo de fondos de la cuenta. Los propietarios de pequeñas y medianas empresas pueden asumir erróneamente que los bancos cubrirán la pérdida {{/url}} {{^url}} asumir erróneamente que los bancos cubrirán la pérdida {{/url}} , al igual que las compañías de tarjetas de crédito de consumo. De hecho, una PYME perderá cualquier fondo robado, lo que podría causar que una empresa pierda su capital de trabajo.
La información de propiedad, como diseños de productos, registros de clientes, estrategias de la empresa o información de empleados, a menudo se ve comprometida o robada directamente. Todos estos activos tienen un valor incalculable para una empresa y, por lo tanto, pueden causar pérdidas paralizantes.
Daño a la reputación
Otro coste difícil de cuantificar es el daño a la reputación después de un ataque. El muy publicitado
que comprometió 100 millones de registros de clientes le costó a esa empresa aproximadamente 1 148 millones en costos directos en efectivo, después de los pagos del seguro. Sin embargo, el daño a la reputación de Target persistirá durante mucho tiempo, lo que hará que las personas duden en compartir información personal, usar sus tarjetas de crédito o comprar en la tienda. Forrester Research estimó que los costos totales de Target superarían los billion 1 mil millones.
Este escenario podría ser peor para una PYME. Por ejemplo, considere un operador de resort que depende en gran medida de su sitio web para atraer nuevos clientes, hacer reservas y mantener su marca. Si ese sitio es hackeado e infectado con enlaces maliciosos, los motores de búsqueda lo pondrán en cuarentena, colocándolo en un “contenedor de pecados”, durante un período bastante largo, lo que dificultará que los clientes encuentren el sitio web.
Incluso después de que el operador resuelva el hackeo, la reputación virtual del complejo podría tardar meses en restaurarse. Y eso se suma a las pérdidas de ingresos y buena voluntad de los clientes afectados durante el ataque.
Litigios
Es poco probable que las pymes sean demandadas si la información de sus clientes es robada a menos que no implementen medidas de protección razonables. En el caso Objetivo, por ejemplo, los consumidores y los bancos que tenían sus tarjetas de crédito presentaron demandas colectivas.
En este último caso, un juez estadounidense
al permitir que los hackers accedieran a su centro de datos, lo que permitió a los bancos continuar sus demandas. Ciertamente, Target no es una PYME, pero una pequeña empresa necesita reconocer la necesidad de proteger la información de sus clientes. Tomar medidas razonables (“ejercer la diligencia debida” en términos legales) debe ofrecer protección contra futuros litigios en el desafortunado caso de una violación de datos.
Costes de protección: personal, cortafuegos, cifrado y software
El coste más importante de la ciberdelincuencia también debería ser el primer desembolso: prevención. Las empresas de cualquier tamaño necesitan implementar una estrategia para protegerse contra la realidad de la ciberdelincuencia. Para las PYMES más pequeñas, una empresa de una sola persona, eso podría ser tan simple como usar una sólida protección con contraseña en todos los sistemas y utilizar un software de protección de bajo costo, tal vez tan solo 5 50/año.
Para empresas más grandes, los costos se escalan con el tamaño. El uso de soluciones de información de seguridad y gestión de eventos (SIEMs), sistemas de prevención de intrusiones (IPSs), sistemas de inteligencia de red y análisis de datos puede reducir en gran medida los costes de ciberataques,
.
Consejo de expertos: Haz algo
El mayor riesgo al que se enfrenta un gestor de PYMES es la inacción. Ignorar el delito cibernético no hace que desaparezca y ponga al negocio en peligro. Las acciones de protección contra el delito cibernético son ahora más importantes que las cerraduras de la puerta de entrada de una tienda.
No poner en marcha un plan de protección electrónica adecuado al tamaño y modelo de negocio de la PYME equivale a dejar la puerta principal abierta de par en par con un montón de dinero en efectivo a la vista. No dejes que el dinero se escape: ponlo bajo llave.
Chris Janson es un tecnólogo con más de 25 años de experiencia en la industria trabajando en funciones de ingeniería, marketing y gestión para empresas grandes y pequeñas. Ha publicado muchos artículos sobre redes de comunicaciones y su uso en el gobierno, las finanzas, la educación y otras industrias. Habla en conferencias de la industria, es miembro de las juntas directivas de OpenCape Corporation y Rural Telecom Congress y ha impartido cursos en la Northeastern University en Boston.
Ed Tittel ha estado trabajando en TI durante más de 30 años. Es autor de más de 100 libros de computación, incluida la serie de exámenes de títulos de preparación para la certificación. Él también blogs regularmente para el Intercambio de Conocimientos (“
Leave a Reply