Para las pequeñas empresas, una presencia completa ciberseguridad Es muy poco probable que se forme un equipo debido a limitaciones presupuestarias. Pero eso no significa que las pequeñas empresas no estén bajo ataque.
En un puesto anterior como sargento detective liderando operaciones encubiertas y equipos de delitos cibernéticos, el volumen de ataques exitosos que mi equipo y yo experimentamos siempre fue alto. Los métodos de ataque también variaron, pero lo que fue consistente fue que vimos robos de cantidades relativamente menores, menos de £5,000. Esta no es una noticia que valga la pena mencionar, pero es un duro golpe para las pequeñas empresas y una gran recompensa para los ciberdelincuentes que probablemente tuvieron poco tiempo para atacar.
Las pequeñas empresas que no cuentan con los elementos básicos son el objetivo perfecto para los ciberdelincuentes. Con la falta de controles de seguridad (incluidas políticas y procedimientos efectivos) y pagos regulares que entran y salen de sus cuentas bancarias, es fácil ver por qué las pequeñas empresas son un objetivo principal.
Este elevado número de incidentes hace que, a pesar de los presupuestos limitados, las pequeñas y medianas empresas no tengan más remedio que involucrarse en la ciberseguridad. Si bien tener un gran equipo de ciberseguridad al mismo nivel que una organización puede ser una expectativa poco realista, existen opciones para organizaciones más pequeñas que esperan demostrar liderazgo en materia de ciberseguridad.
Consultor en Seguridad Cibernética, Cyber Smart.
Internamente o subcontratada
La incapacidad de las pequeñas empresas para permitirse contratar un puesto de alto nivel en ciberseguridad a tiempo completo significa que tienen que tomar decisiones. ¿Contratan un rol más pequeño o subcontratan el liderazgo en ciberseguridad a un CSO virtual? La decisión se basa en el conocimiento en ciberseguridad que existe actualmente dentro de la empresa y la visión estratégica de la empresa.
Un puesto de nivel inicial permitirá a la empresa contratar a un empleado de tiempo completo que pueda comprender la empresa y su cultura. Este rol también podrá influir en la cultura y convertirse en un punto de contacto informado en materia de ciberseguridad; Tener a alguien en casa significa que puede ser un punto de contacto visible, respondiendo preguntas sobre temas cotidianos como los correos electrónicos.
Evidentemente, esta opción tiene sus inconvenientes. Un puesto con menos experiencia puede carecer de experiencia y no ser capaz de manejar situaciones complejas que surjan. Esto también puede afectar el progreso de la empresa en la mejora de su posición en materia de ciberseguridad. También habrá costos adicionales asociados con un rol con menos experiencia, como requisitos de capacitación y desarrollo, aunque algunas organizaciones pueden verlos como una inversión.
Por el contrario, contratar los servicios de un CISO virtual significa que el individuo podrá comenzar a trabajar, brindando experiencia inmediata y, lo más importante, la capacidad de desarrollar una estrategia para la empresa. La flexibilidad de este puesto subcontratado a tiempo parcial permite a la empresa utilizar un responsable de seguridad de la información según sea necesario. Si el cumplimiento es una necesidad para la empresa, el CISO podrá garantizar que se cumplan las normas de seguridad pertinentes.
Sin embargo, nuevamente, existen desventajas, ya que los CISO completarán su trabajo con menos tiempo disponible y no tendrán un equipo en quien delegar el trabajo. Esto significa que tendrán que participar ellos mismos en más tareas diarias de ciberseguridad o emplear empleados no calificados que realicen este trabajo como una responsabilidad secundaria. También es probable que los CISO incurran en mayores costos de contratación, y el hecho de que trabajen a tiempo parcial puede afectar su respuesta.
La última opción a considerar es un proveedor de servicios de seguridad gestionados (MSSP). Esta puede ser una forma rentable de adquirir experiencia en ciberseguridad en todo momento del día y de la noche. Un proveedor de servicios de seguridad gestionados conocerá su empresa y podrá proporcionarle recursos adicionales a medida que la empresa crezca.
Sin embargo, vale la pena señalar que al utilizar un MSSP, una empresa efectivamente entregará el control de su seguridad a un tercero, por lo que deben contratar con prudencia. Dependiendo del MSSP utilizado, una empresa puede perder el beneficio de su postura de ciberseguridad dedicada, ya que algunos MSSP utilizan productos específicos para todos sus clientes. El último punto que vale la pena considerar son las tarifas adicionales. Algunos servicios pueden generar tarifas adicionales y si la empresa se ve involucrada en un accidente, se requiere experiencia y recursos adicionales.
¿Cuándo tomas la decisión de adentrarte en el ciberespacio?
La respuesta a esta pregunta varía de una empresa a otra. Las pequeñas empresas deben prestar atención a los conceptos básicos de ciberseguridad para asegurarse de tenerlos implementados y ya no ser presa fácil.
Las pequeñas empresas que hayan obtenido Cyber Essentials deberían considerar obtener Cyber Essentials Plus. Esto sirve como verificación externa de que los controles de Cyber Essentials se han implementado correctamente. Lo más importante es que este estándar debe mantenerse durante todo el año.
A medida que su negocio crece, se vuelve más importante que comprenda qué activos son importantes para usted, cómo protegerlos y qué procesos debe seguir si sucede lo peor. En este caso, la carga de trabajo aumenta y puede llegar a ser más de lo que los responsables de la ciberseguridad pueden manejar en ese momento.
Otros factores que vale la pena considerar son la industria en la que trabaja. Si trabaja en una industria altamente regulada, puede ser aconsejable contratar antes a un profesional de ciberseguridad. Le ayudarán a garantizar que su empresa cumpla con los estándares necesarios para mantener el cumplimiento y mantener su negocio en funcionamiento.
En muchas ocasiones, las empresas contratan empleados de ciberseguridad después de que se produce una brecha. Aunque esto es comprensible, este no es el momento ideal. La mayoría de las empresas ya han gastado una cantidad significativa de dinero en responder y recuperarse de la infracción, y contratar en esta etapa probablemente significará que tendrá que contratar rápidamente; Esto puede llevar a decisiones apresuradas, incorrectas y costosas.
Promoviendo una cultura de seguridad
Uno de los mayores desafíos que enfrentan las organizaciones de todos los tamaños, especialmente las pequeñas, es la concienciación sobre la ciberseguridad. Es vital garantizar que todos en la empresa estén al tanto de las últimas amenazas y de cómo estas amenazas podrían afectar su función.
Una empresa puede gastar una cantidad significativa de dinero en protegerse, pero si alguien no está al tanto de las últimas amenazas y hace clic en un correo electrónico de phishing o es engañado por una llamada falsa habilitada por IA, es probable que esos controles sean ineficaces.
Es difícil crear una cultura en la que la ciberseguridad sea importante y deba considerarse en el día a día de los negocios, pero es más fácil de lograr cuando la empresa es más pequeña, donde la comunicación es más fácil, especialmente los mensajes de los líderes senior que probablemente sean más cerca de la “primera línea”.
Cultura fuerte dentro de un Pequeños negocios Promueve la responsabilidad compartida entre recursos limitados, brindando a la empresa un nivel de seguridad consistente con cualquier tarea específica que puedan realizar.
Hemos enumerado el mejor software antivirus en la nube..
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro