8 minutos de lectura 29 sep. 2020
Businesswoman examining documents at desk at night

Los riesgos de seguridad cibernética que enfrentan las empresas y oficinas familiares durante COVID-19

Por Helena Robertsson

EY Global and EMEIA Family Enterprise Leader

Líder en ayudar a las empresas familiares a realizar sus ambiciones. Asesora fiscal de confianza. Emocionada y orgullosa de colaborar con profesionales de todo el mundo.

8 minutos de lectura 29 sep. 2020

El crimen cibernético se está acelerando rápidamente durante el brote de COVID-19. Las empresas y oficinas familiares necesitan reforzar su seguridad cibernética.

Los ataques cibernéticos se están acelerando a medida que los delincuentes y otros responsables de amenazas tratan de aprovecharse de la disrupción causada por la pandemia COVID-19. Las empresas se apresuran a implementar prácticas de trabajo a distancia e interacciones online con los empleados, clientes y proveedores, y estos cambios han venido acompañados de mayores riesgos de seguridad cibernética. Algunas Empresas Familiares (FE, por sus siglas en inglés) y Oficinas Familiares (FO, por sus siglas en inglés) están reconociendo el peligro y tomando medidas para aumentar la capacidad de seguridad cibernética, pero otras necesitan ponerse al día rápidamente.

Incluso antes de la pandemia, algunos se estaban quedando atrás en las prácticas de seguridad cibernética. Históricamente, la seguridad cibernética en estas empresas se ha centrado en las finanzas (por ejemplo, en asegurarse de que el dinero no se transfiera de forma errónea o fraudulenta). Pero a medida que la información se ha trasladado a la nube y a las redes sociales, las paredes de estos negocios se han expandido — abriendo muchas más oportunidades de ataque.

Amenazas desde todas las direcciones: phishing, robo de datos, trabajo a distancia

Según un reciente artículo de Kris Lovejoy, EY Global Advisory Cybersecurity Leader, la prisa por trabajar a distancia y la sensación general de pánico que ha desencadenado COVID-19 ha abierto la puerta a una amplia gama de riesgos adicionales de ciberseguridad que las empresas familiares deben atender urgentemente:

  • Aumento del trabajo a distancia: Los agentes de la amenaza están aprovechando los agujeros de seguridad cibernética causados por el teletrabajo generalizado, como el aumento de la presión sobre los equipos informáticos, el hecho de que los usuarios pasen por alto las prácticas más avanzadas de seguridad cibernética y la administración a distancia de información crítica.
  • Aumento del phishing y de los contenidos maliciosos: Los actores de la amenaza han aumentado significativamente el uso de phishing, sitios maliciosos y los intentos de comprometer el correo electrónico empresarial relacionados con la pandemia.
  • Aumento del robo de datos: Los agentes de la amenaza que llevan a cabo el robo de datos con fines de extorsión, ataques de rescate disruptivos o destructivos, y/o que tratan de dañar la marca de una empresa, se han dirigido a organizaciones que se consideran bajo una tensión relacionada con la pandemia.
COVID-19 ha hecho más urgente que nunca que las empresas familiares desarrollen estructuras de control que creen una postura protectora y estén preparadas para responder.
Paul McKibbin
EY Americas Family Office Advisory Managing Director

El principal riesgo

Las empresas y oficinas familiares añaden otro riesgo a esta lista: las propias familias. La persona a cargo de IT puede no tener control sobre las acciones de los principales y sus familiares. No hay un jefe de seguridad de la información con un control estricto sobre los dispositivos, el acceso y el uso, como en las grandes empresas. En su lugar, hay un pequeño personal que debe tratar de gestionar los controles de IT con gobernanza, educación frecuente e influencia personal.

Los miembros de la familia van desde los adolescentes expertos en tecnología hasta los octogenarios más reticencia a la tecnología y todos los que están en el medio. Pueden utilizar correos electrónicos personales o seguir prácticas de seguridad móvil deficientes, lo que los deja a ellos — y a las empresas de sus familias — expuestos a malware, ataques de phishing y fraudes por cable, todo ello en aumento durante la pandemia.

Por ejemplo, si un director se dedica a utilizar un teléfono android no compatible y descarga rutinariamente aplicaciones no compatibles de tiendas de aplicaciones no aprobadas, es muy probable que instale accidentalmente malware, dando acceso total a un atacante.

Ese atacante puede pasar meses vigilando la correspondencia de la víctima, sus movimientos y su estilo de comunicación para imitarlos eficazmente. Luego puede utilizar este conocimiento y acceso para dar instrucciones desastrosas a los empleados, como ordenar a un empleado que haga una transferencia de siete cifras, utilizando el propio dispositivo móvil y la cuenta de correo electrónico del director.

En el entorno de COVID-19, las prácticas de ciberseguridad poco rigurosas marcan a las empresas familiares más pequeñas y a sus directores como objetivos fáciles de atacar.

Gran parte del riesgo para la reputación está en su huella más amplia, afuera en el mundo, no dentro de un servidor. Esa huella de información está mucho menos controlada por ellos.
Haris Shawl
Cybersecurity Senior Manager, Ernst & Young LLP

La reputación y la privacidad deben ser protegidas

En su forma más severa, los ciberataques pueden ser devastadores para el legado de una empresa familiar. Un ataque podría amenazar la reputación asociando el nombre y la marca de la familia con una estafa o un producto poco fiable, o podría hacer caer los sistemas, provocando una grave disrupción del servicio al cliente o de la capacidad de trabajo de los empleados. En una investigación realizada para el último Barómetro de Confianza del Capital Global, el 24% de los 394 líderes de empresas familiares de tamaño medio nombraron el daño a la reputación como su mayor temor relacionado con la ciberseguridad.

Las amenazas cibernéticas ponen cada vez más en peligro la reputación de las empresas familiares, de manera que muchas de ellas aún no están suficientemente protegidas contra ellas.
Adam Wright
Cybersecurity Managing Director, Ernst & Young LLP

Para muchas Empresas familiares, la marca es sinónimo del nombre de la familia, y ese nombre conlleva un tremendo capital social. Cuando el nombre de la familia se empaña, también lo hace la marca. Un apellido muy conocido ha sido usado sin el consentimiento de la familia para vender productos financieros dudosos a través de las redes sociales. La familia ha pasado años cuidando cuidadosamente su nombre y su marca, asegurándose de que se asocie sólo con los productos, servicios y causas en los que creen. Ahora la marca está en riesgo sin que ellos tengan la culpa.

Riesgo para la reputación

24%

de los líderes de empresas familiares en empresas del mercado medio nombraron el daño a la reputación como su mayor temor relacionado con la ciberseguridad.

Las Oficinas familiares también entrañan riesgos para la privacidad de los datos, y cuando se roba o se filtra información y correspondencia privada de la familia, se pueden crear graves daños para la reputación y riesgos de litigio. Con sólo un puñado de empleados, las empresas familiares tienen herramientas y talento limitados para supervisar y asegurar la privacidad de los datos de los directores. Incluso cuando invierten en tecnología de ciberseguridad de primera clase, con demasiada frecuencia adoptan una postura de "configúralo y olvídalo". Los sistemas están haciendo lo que se supone que deben hacer, pero carecen de los conocimientos técnicos internos necesarios para vigilar y actuar en función de lo que los sistemas les dicen.

Una oficina familiar a veces se ubica dentro de la empresa familiar para poder aprovechar los recursos de la organización más grande. Sin embargo, ese modelo coloca la información privada de la familia en los mismos sistemas que la información empresarial de la empresa familiar, donde está sujeta a amenazas adicionales de dentro y fuera de la empresa familiar.

Medidas de ciberseguridad para las empresas y oficinas familiares a corto y largo plazo

La buena noticia es que hay medidas que las FE y las FO pueden tomar para proteger a sus empresas y familias con el fin de reducir estos riesgos. "Las organizaciones que realmente presionan para que se impliquen de forma proactiva en la ciberseguridad van a ver beneficios empresariales muy significativos tanto a corto como a largo plazo", dice Dave Burg, EY Americas Cybersecurity Leader. Esto requerirá tanto medidas inmediatas como un cambio de enfoque a largo plazo.

A corto plazo, para evitar el aumento de los ataques cibernéticos debido a la pandemia, las empresas familiares deberían:

  • Hacer y mantener un inventario de todos los routers y dispositivos, y de los datos sensibles sobre ellos, incluyendo los utilizados en los hogares de los miembros de la familia
  • Mantener estos dispositivos con software de antivirus y firewall actualizados; mantener todo el softwareactualizado y evaluar la vulnerabilidad al menos una vez al año
  • Usar herramientas de encriptación de correo electrónico para cualquier mensaje confidencial y pedir a los clientes que validen cualquier nueva apertura de cuenta, solicitudes de crédito y actividades similares
  • Supervisar (o utilizar una empresa externa para supervisar) todas las redes las 24 horas del día en busca de señales de una intrusión y cerrarlas si hay un ataque
  • Almacenar las copias de seguridad fuera del sitio o en un depósito seguro en la nube
  • Realizar verificaciones de los antecedentes financieros y penales del personal y los proveedores nuevos, y anualmente a partir de entonces
  • Crear una política de seguridad cibernética que incluya dispositivos conectados, contraseñas, autenticación multifactorial, redes sociales y pasos de autorización de pagos

A largo plazo, las empresas y oficinas familiares necesitan cambiar la forma en que ven la ciberseguridad. Reconocer que se producirán infracciones y amenazas en redes sociales, y el trabajo de las empresas y oficinas familiares es responder eficazmente y minimizar los daños.

Trabajar de cerca con los directores, sus familias y empleados para:

  1. Identificar los escenarios que les impactarían más, sus tolerancias de riesgo y sus puntos de dificultad
  2. Analizar los escenarios más probables y calificar el nivel de riesgo para cada uno de ellos
  3. Adaptar a la organización un buen marco de controles, como el Marco de seguridad cibernética del Instituto Nacional de Normas y Tecnología (NIST), para medir y mitigar el riesgo a un nivel aceptable
  4. Explorar, crear y — lo más importante — probar regularmente la continuidad de los negocios y los planes de respuesta a incidentes
  5. Educar continuamente a todos los directores, miembros de la familia y sus hogares sobre la importancia de adherirse a estos controles y los riesgos que enfrentan si no lo hacen.

Proteger el legado

Las empresas familiares deben proteger sus nombres, sus marcas y las organizaciones que han construido a lo largo de generaciones. No hacerlo puede ser catastrófico, pero con el enfoque adecuado, las tecnologías de seguridad y las estructuras de control pueden ayudarles a proteger sus legados en los años venideros.

Resumen

Los ataques cibernéticos y el fraude cibernético están aumentando rápidamente durante la pandemia COVID-19. Estos pueden ser devastadores para la reputación y el legado de una empresa familiar. Algunas empresas familiares están tomando medidas para aumentar las capacidades de seguridad cibernética, pero otras se están quedando atrás. Las empresas familiares pueden proteger su legado si actúan con rapidez y decisión.

Acerca de este artículo

Por Helena Robertsson

EY Global and EMEIA Family Enterprise Leader

Líder en ayudar a las empresas familiares a realizar sus ambiciones. Asesora fiscal de confianza. Emocionada y orgullosa de colaborar con profesionales de todo el mundo.