En todo lo referente a ciberdelitos, las pequeñas y medianas empresas (PYMES) tienen el doble de posibilidades de convertirse en víctimas. Esto se debe a que, además del coste potencial que supone ser atacado por los hackers y otros cibercriminales, también se enfrentan al riesgo de perder la confianza de sus clientes. De hecho, un 58% de ellos afirma que sería menos propenso a utilizar los servicios de una empresa que haya sufrido un incidente, según el informe Small Business Reputation and the Cyber Risk.

 

La confianza juega un papel importante en cada fase de la relación con el cliente, tal y como pone de manifiesto el informe de Affinion El Consumidor Conectado. Sin confianza hay menos probabilidades de que un cliente puntúe favorablemente a una empresa.

Si estos argumentos no son suficientes para convencer a las PYMES de que deben invertir en sistemas de ciberseguridad, deberán considerar entonces las posibles multas que se aplicarán de acuerdo al Reglamento General de Protección de Datos (RGPD), que entrará en vigor en mayo de 2018 y que endurece las cuantías existentes hasta el momento.

El crecimiento del cibercrimen afecta a empresas grandes y pequeñas

Hoy vivimos en un mundo conectado donde nadie está fuera del alcance de los hackers y otros ciberdelincuentes. El mes pasado, el ataque del ransomware WannaCry paralizó 200.000 ordenadores en 150 países. Su impacto llevó a interrumpir las operaciones de miles de grandes empresas, bancos, hospitales, universidades y muchas otras organizaciones.

Las Pymes, particularmente vulnerables al cibercrimen

Raquel Aznar, Comercial and Marketing Senior Director de Affinion, afirma que “a pesar de que son las grandes organizaciones las que normalmente ocupan los titulares relacionados con el cibercrimen, las PYMES son aún más vulnerables.” En 2015, un informe de Symantec destacó que el 75% de las PYMES, frente al 35% de las grandes empresas, fueron víctimas de ataques de SPEAR phising (destinados a una organización determinada), lo que abre la puerta al ransomware en el 97% de los casos, según otro estudio llevado a cabo por PhishMe.

Según los datos del Instituto Nacional de Seguridad (Incibe), en 2016 se detectaron más de 115.000 ciberincidentes, de los cuales el 70% fueron dirigidos contra medianas y pequeñas empresas. El coste económico que supone hacer frente a este tipo de ciberdelito varía entre 20.000 y 50.000 euros, y en 2016 el coste total de los ciberataques a empresas ascendió a 265 millones de euros. En el caso de España, nos encontramos con que es el tercer país con más ofensivas a nivel mundial, después de Reino Unido y Estados Unidos.

Stephen Ridley, Jefe de tecnología, cibernética y datos de la compañía de seguros Hiscox, sostiene que “los cibercriminales perciben las PYMES como un blanco fácil y a menudo son vistas como una ruta hacia ‘un premio mayor‘, si son adquiridas por organizaciones más grandes y más inaccesibles directamente”.

Parte del problema es que muchas “pequeñas empresas no están en condiciones de tener su propio departamento de TIC, por lo que muchas de ellas optan por externalizar las funciones o asignárselas a un empleado junto con otras responsabilidades –a menudo el propio dueño de la empresa”, explica Todd McCracken, Presidente de la Asociación Nacional Americana de Pequeñas Empresas.

La actitud de “enterrar la cabeza bajo la arena” podría ser fatal para las PYMES

Eduardo Esparza, Country Manager de Affinion, advierte de que “el hecho de que muchos propietarios de PYMES no tengan ni el conocimiento ni los recursos necesarios para proporcionar ciberseguridad a sus empresas y a sus clientes es preocupante, pero quizás lo más alarmante es el hecho de que muchos otros den por hecho que el cibercrimen es algo que solo afecta a las grandes empresas, lo que puede ocasionar dramáticas consecuencias”.

"Enterrar la cabeza en la arena puede ahorrar dinero a corto plazo, pero el coste derivado de la piratería podría provocar desde simples incidencias hasta daño a la reputación, pérdida de datos de los clientes, multas y, en última instancia, el cierre de la empresa", afirma el experto en negocios digitales y catedrático de Salford University, Alex Fenton.

Los datos presentados en el informe Small Business Reputation and the Cyber Risk apoyan claramente lo afirmado por Fenton y muestran que las posibles ramificaciones que una brecha en ciberseguridad puede causar son "enormes y prolongadas". El 89% de las PYMES que han sido víctimas de un ciberataque han revelado los siguientes datos:

  • El 31% sufrieron daños en su marca
  • El 30% sufrió pérdida de clientes
  • Una reducción del 29% en su capacidad de generar nuevo negocio

La confianza y el customer engagement van de la mano

A la hora de evaluar la calidad de las experiencias, los consumidores "necesitan sentirse satisfechos tanto con la propia empresa como con la relación que mantienen con ella", para poder sentirse comprometidos. Así lo indica el informe de Affinion El Consumidor Conectado. "Necesitan confiar plenamente en la empresa y saber que pueden hacerlo". De hecho, el informe muestra que la confianza juega un papel importante en casi cada fase de la trayectoria de un cliente hacia el customer engagement y la fidelización.

Ser vulnerable a los ciberataques pone en riesgo la satisfacción del cliente y su confianza, ya que las víctimas del cibercrimen tienen más probabilidades de desarrollar sentimientos negativos hacia una empresa que no pudo protegerse a sí misma ni a sus clientes, según una investigación realizada por Opinium.

Cuando se pidió a los consumidores que comentaran los recientes ataques cibernéticos que tuvieron gran repercusión mediática:

  • El 71% dijo que creía que estos sucesos eran perjudiciales para la reputación de la organización.
  • El 65% afirmó que disminuyó su confianza en la marca.
  • El 53% pensó que disminuiría el compromiso de la gente con la marca en el futuro.

Estar preparado

En palabras del CEO de ConnectOne Bank, Frank Sorrentino, "al igual que un simulacro de incendio, tener un plan de acción para responder a un ciberincidente es crucial. Y aún más importante, debe ser practicado para que todos sus empleados sepan exactamente qué hacer en caso de que suceda".

Aquellos que puedan permitirse el lujo de contratar a profesionales, deben hacerlo, ya que así ayudan a las PYMES a proteger sus datos y su reputación online. Los paquetes de protección pueden ayudar a aliviar las preocupaciones de las pequeñas y medianas empresas sobre las ciberamenazas y ofrecer soluciones en caso de incumplimiento, así como ayudar a manejar las consecuencias de una manera constructiva para minimizar la pérdida de confianza del consumidor.

Para aquellas empresas que no pueden afrontar el gasto, hay una serie de recursos disponibles. Como mínimo, las PYMES deben seguir los tres sencillos pasos descritos por Cyber Streetwise:

  • Crear una contraseña segura utilizando tres palabras aleatorias.
  • Asegurarse de que todos los dispositivos están protegidos por software de seguridad.
  • Mantener el software siempre actualizado.

Multas elevadas para aquellos que no se toman en serio la protección de datos

El 25 de mayo de 2018 entrará en vigor el Reglamento General de Protección de Datos (RGPD). El GDPR está destinado a unificar las normas de protección de datos en toda la UE, y para aquellos que no presten atención a la advertencia las sanciones podrían ser incapacitantes. Con la intención de prepararse para la RGPD, las PYMES deberían:

  • Documentar su procedimiento de procesamiento de datos.
  • Examinar su nivel de riesgo y tomar las medidas apropiadas para prevenir brechas de seguridad.
  • Mantener a sus clientes informados de cómo se están protegiendo sus datos.