10 nuevas tendencias en ciberseguridad en pequeñas empresas

El estado de la seguridad en organizaciones pequeñas y en crecimiento.

En los últimos dos años, los lugares de trabajo híbridos han surgido como “el futuro del trabajo”. En este nuevo modelo, los empleados tienen más flexibilidad en cuanto a su forma de trabajar, mientras que los empresarios pueden aumentar la capacidad de recuperación de la empresa. Pero esta evolución del trabajo también cambia la forma en que las organizaciones abordan la ciberseguridad, puesto que ya no pueden permitirse dejar de lado la seguridad o mantenerla desconectada de sus objetivos empresariales.

Queríamos entender cómo afecta el futuro del trabajo a la forma en que las pequeñas y medianas organizaciones de los sectores público y privado ven la ciberseguridad y la gestión de contraseñas. Para conocer las tendencias en materia de ciberseguridad, realizamos encuestas por separado a los trabajadores y a los responsables de la toma de decisiones de TI, junto con entrevistas complementarias a un grupo selecto de directivos de TI. Esto es lo que hemos descubierto.

Conclusión n.º 1: las organizaciones están más concienciadas, pero solo algunas actúan

La mayoría de las organizaciones se han puesto las pilas. Entre todos los participantes de nuestra encuesta, el 83 % reconoció un mayor nivel de concienciación e importancia en materia de seguridad en su organización. Esto significa que las pequeñas y medianas organizaciones se dan cuenta de lo que está en juego en la era digital.

Esta mayor concienciación se tradujo en acciones, pero solo para un pequeño grupo de organizaciones. En general:

• El 38 % aumentó el uso de su actual gestor de contraseñas
• El 36 % adoptó nuevas políticas de seguridad
• El 37 % aumentó la formación en materia de ciberseguridad
• El 23 % dijo que sus organizaciones comenzaron a utilizar un gestor de contraseñas

Conclusión n.º 2: los líderes y los empleados ven la postura de ciberseguridad de su organización de forma diferente

A lo largo de nuestras dos encuestas independientes, observamos que las percepciones de los directivos difieren de las de los empleados en muchos ámbitos. Por ejemplo:

• El 98 % de los directivos y el 88 % de los empleados creen que su organización presta más atención a la seguridad tras las recientes filtraciones de datos a gran escala
• El 97 % de los directivos y el 75 % de los empleados informaron de un aumento en los niveles de concienciación e importancia de la seguridad en su organización
• El 65 % de los directivos y el 25 % de los empleados declaran haber aumentado el uso de su actual gestor de contraseñas
• El 31 % de los directivos y el 43 % de los empleados dijeron que sus organizaciones adoptaron nuevas políticas de seguridad
• El 23 % de los directivos y el 40 % de los empleados señalaron un aumento de la formación en materia de ciberseguridad
• El 32 % de los directivos y el 20 % de los empleados afirman que sus organizaciones han empezado a utilizar un gestor de contraseñas

Estas diferencias no son inesperadas, ya que los roles individuales influyen en la visión de las personas sobre el funcionamiento interno de su organización. Y dado que los directivos impulsan muchas de las iniciativas relacionadas con la seguridad, ven los cambios en la concienciación y las prácticas en materia de seguridad a través de una lente diferente a la de la mayoría de los empleados.

Conclusión n.º 3: las organizaciones más grandes demuestran un mayor entusiasmo por la ciberseguridad

Nuestra encuesta descubrió muchas diferencias entre organizaciones más grandes y más pequeñas. Aquellas con más de 300 empleados eran más propensas a notar una mayor concienciación sobre la ciberseguridad, cambios en las prácticas de seguridad e incluso una mayor pasión por la ciberseguridad entre los empleados.

• El aumento de la concienciación de los empleados creció con el tamaño de la organización: el 82 % en empresas con 401-500 empleados y el 72 % en empresas con 51-100 empleados
• Las organizaciones más pequeñas (51-100 empleados) fueron las menos propensas a adoptar nuevas políticas de seguridad o a aumentar la formación en materia de ciberseguridad como consecuencia del aumento del teletrabajo
• Dentro de las organizaciones con más de 300 trabajadores, los empleados y los directivos eran más propensos a caracterizar a sus compañeros de trabajo como apasionados de la ciberseguridad

Algunas de estas diferencias pueden atribuirse a la menor proporción de trabajadores a distancia en las organizaciones más pequeñas. Sin embargo, las razones más importantes son probablemente la falta de recursos de ciberseguridad y la ilusión de que los ciberdelincuentes no atacan a las empresas más pequeñas. Sin embargo, los últimos años han demostrado que el tamaño no importa a los ciberdelincuentes: las empresas más pequeñas corren el mismo riesgo de sufrir ciberataques, puede que incluso más.

Conclusión n.º 4: el uso de un gestor de contraseñas es el cambio n.º 1 que implementan las organizaciones para reforzar la seguridad

El aumento del uso de gestores de contraseñas fue el principal cambio que llevaron a cabo las organizaciones como resultado del teletrabajo, con un 38 % de empleados y directivos identificando este cambio. El aumento de la formación en materia de ciberseguridad y la adopción de nuevas políticas no se quedaron atrás (37 % y 36 %, respectivamente).

Esto indica que las organizaciones entienden que las personas y las políticas son igualmente importantes para mantener una postura de seguridad sólida. Cambiar los comportamientos y mejorar la cultura de la seguridad también requiere una seguridad centrada en el ser humano, y estos resultados muestran que muchas organizaciones están en camino de adoptar esta mentalidad. También descubrimos que:

Conclusión n.º 5: los empleados quieren ahora un gestor de contraseñas, y los directivos están de acuerdo

Aunque los empleados y los directivos de nuestras dos encuestas tienen opiniones diferentes sobre distintos ámbitos de la ciberseguridad, están en la misma línea cuando se trata de la necesidad de una solución de gestión de contraseñas. Pero los directivos se sienten mucho más seguros de sí mismos.

Cerca de la mitad (52 %) de los empleados cree que su organización necesita un gestor de contraseñas; entre los directivos, un rotundo 97 % opina lo mismo. Esto nos indica que los empleados quieren herramientas de seguridad digital que les ayuden a practicar una mejor ciberseguridad para mantener la seguridad de su organización, y los directivos apoyan plenamente el deseo de los empleados de contar con mejores herramientas.

Muchos empleadores ya están avanzando en este sentido: el 41 % de las organizaciones representadas en nuestras encuestas requieren un gestor de contraseñas para todos, mientras que otro 18 % lo adopta para algunos y el 13 % lo ofrece como opción. La cohorte que más requiere esta herramienta de seguridad digital es la de los empresarios con 301–400 trabajadores (51 %), seguida de los que tienen 401–500 trabajadores (42 %).

En nuestras entrevistas a directivos adicionales, también descubrimos que los empleados quieren un recurso específico más allá de un gerente de oficina o un administrador de TI para gestionar el acceso a un gestor de contraseñas. Sienten que pueden manejarlo durante un tiempo, pero una vez que la empresa crece, demasiadas cosas pueden salir mal. La elección de un gestor de contraseñas que sea sencillo y cuente con excelentes características de incorporación puede ayudar a conseguirlo y, cuanto más sencilla resulte la herramienta, más probable será que los empleados la adopten.

El 52 % de los empleados en general cree que sus organizaciones necesitan una solución de gestión de contraseñas. Sin embargo, las opiniones varían según el sector.

Conclusión n.º 6: la mayoría de los empleados manejan al menos cinco contraseñas

La mayoría de nuestros participantes afirmaron que manejan más de cinco contraseñas para sus cuentas de trabajo con regularidad, siendo de 6 a 10 la cantidad más común (identificada por el 41 % de los encuestados). No es de extrañar que, dada su función, los directivos hagan muchos más malabares: el 72 % tiene más de cinco contraseñas, y el 53 % tiene entre 6 y 10. Los trabajadores del sector educativo, las finanzas y la sanidad son especialmente propensos a estar en la franja de 6 a 10 cuentas.

De todos los sectores, los empleados del sector bancario son los que más padecen la fatiga de la contraseña (con un 34 % de empleados que hacen malabares con 10 o más contraseñas), seguidos por los del sector educativo (25 %). El comercio y las finanzas empatan en el tercer puesto (23 %). La fatiga de la contraseña podría llevar a los empleados a buscar atajos, como la reutilización de contraseñas o recurrir a otras simples y fáciles de recordar. Estos atajos suponen un gran riesgo para las organizaciones, ya que los actores maliciosos suelen utilizar contraseñas comprometidas y débiles para entrar.

Conclusión n.º 7: el uso de gestores de contraseñas por parte de los empleados sigue siendo un reto

A pesar del batiburrillo de inicios de sesión, los empleados no confían en que sus compañeros de trabajo utilicen ampliamente los gestores de contraseñas. Aunque el 41 % de las organizaciones encuestadas requieren un gestor de contraseñas, solo una quinta parte de los empleados cree que la tasa de adopción entre sus compañeros de trabajo es del 95–100 %. Peor aún, cerca de un tercio (29 %) cree que la tasa de adopción es del 50 % o inferior.

También en este caso, los directivos tienen una visión diferente: los empleados son mucho más escépticos que los equipos de TI. Casi el 40 % de nuestros directivos de TI creen que la tasa de adopción en su organización es del 95–100 %, y solo el 20 % cree que la tasa es del 50 % o menos.

Dado que los directivos tienen una visión más cercana de las herramientas de seguridad de sus empresas que el resto de los empleados, es probable que su comprensión de las tasas de adopción refleje mejor la realidad. Aun así, está claro que las organizaciones luchan por la aceptación de los empleados.

Conclusión n.º 8: la falta de confianza y comprensión de las herramientas de seguridad son los principales obstáculos para su adopción

Incluso cuando las organizaciones invierten en herramientas de seguridad, los empleados pueden no utilizarlas si no confían en ellas o no aprenden a utilizarlas. Nuestra encuesta reveló que, tanto los empleados como los directivos, creen que la principal barrera para la adopción de un gestor de contraseñas es la falta de conocimiento de sus características.

Dado que muchos directivos de TI no entienden las características de su gestor de contraseñas, consideran que la herramienta es difícil de configurar o no creen que estén obteniendo un buen rendimiento de la inversión, lo que ayuda a explicar las bajas tasas de adopción de las que hablamos anteriormente. Sería un reto para los directivos predicar acerca del uso de la herramienta en su organización si no entienden cómo funciona el gestor de contraseñas y no creen que sea fácil de usar.

Para que la incorporación sea eficaz, los empleados deben saber no solo por qué necesitan un gestor de contraseñas, sino también qué características son relevantes para ellos y cómo éstas mejoran la seguridad. Aproveche los recursos que muchos proveedores ofrecen como parte de su incorporación.

• La falta de conocimiento de las características es un obstáculo mucho mayor para los directivos que para los empleados, ya que el 58 % de los primeros citan la “falta de conocimiento de las características” como el principal obstáculo, frente al 31 % de los segundos
• La falta de confianza en sus proveedores es la segunda razón por la que los empleados no utilizan un gestor de contraseñas (con un 30 % expresando esta opinión), seguida de la dificultad de configuración (25 %). Por otro lado, los directivos citan la dificultad de configuración como el segundo mayor obstáculo (51 %), seguido del retorno de la inversión (46 %)

Conclusión n.º 9: las organizaciones con un gestor de contraseñas se sienten menos expuestas a un ciberataque que las que no lo tienen

Para las organizaciones que han superado las barreras para la adopción, los resultados son positivos. Entre los participantes de nuestra encuesta, tanto los empleados como los directivos de los lugares de trabajo que requieren un gestor de contraseñas creen que su organización tiene un menor riesgo de ser hackeada o de sufrir una filtración de datos.

Los directivos están mucho más convencidos de que este es el caso: el 90 % expresó que su organización “no corre riesgo” o “no corre ningún riesgo” de ser hackeada o de sufrir una filtración de datos, en comparación con el 59 % de los empleados.

Las contraseñas filtradas abundan en el mundo de la delincuencia debido al gran número de filtraciones de datos. Con herramientas automatizadas, los ciberdelincuentes pueden comprobar la validez de estas contraseñas de manera rápida y a escala. Un gestor de contraseñas reduce el riesgo de contraseñas comprometidas y débiles, y nuestro estudio muestra que las organizaciones ven los resultados.

Conclusión n.º 10: las opiniones y las prácticas en materia de ciberseguridad difieren entre sectores

Los sectores de los seguros, las finanzas y la banca fueron los que más adoptaron las herramientas de seguridad, tal vez porque las normativas más estrictas conllevan mandatos más amplios para mejorar la seguridad.

Las mejores prácticas en materia de ciberseguridad pueden variar ligeramente de un sector a otro, pero muchas son fundamentales independientemente del sector. Comprender estas mejores prácticas y adoptar los principios básicos ayudará a las organizaciones de todos los tamaños a mejorar su preparación en materia de ciberseguridad.

• El sector de los seguros es, con diferencia, el que más necesita un gestor de contraseñas (80 %), frente al 41 % en general
• Los empleados del sector industrial son los más preocupados por las filtraciones de datos a gran escala, un increíble 96 %
• La educación es el sector que tiene el mayor número de respuestas con un gestor de contraseñas de uso opcional (26 %)
• Aunque los empleados de la administración pública están entre los menos convencidos de necesitar un gestor de contraseñas, los organismos públicos son uno de los sectores que más lo requieren

Nuestro último estudio reveló que el trabajo a distancia e híbrido se está generalizando: solo el 10 % de todos nuestros empleados y directivos encuestados informaron de que no había trabajadores a distancia en sus organizaciones. Con la generalización del teletrabajo, el ritmo de adopción de las herramientas en línea seguirá acelerándose, lo que significa que la ciberseguridad será una prioridad cada vez mayor para las pequeñas empresas.

La protección de los datos confidenciales en este nuevo entorno requiere un cambio de comportamiento a través de una cultura basada en una seguridad sólida y centrada en el ser humano.