Según el informe State of SMB Cybersecurity Survey , elaborado por CrowdStrike, apenas el 47% de las pymes con menos de 50 empleados cuenta con un plan formal de ciberseguridad. Más preocupante aún, cerca del 70% de estas organizaciones confían en terceros para tomar decisiones tecnológicas, pero lo hacen sin establecer lineamientos explícitos, sin exigir garantías mínimas de protección ni supervisar el cumplimiento de estándares, por lo que es ahí donde nace el problema. Contratar un servicio tecnológico sin establecer requisitos mínimos de seguridad es como construir una casa y dejar la puerta sin cerradura.
Ciberseguridad, una práctica que se construye, se mantiene y se adapta
Las herramientas tecnológicas no funcionan en el vacío. Su eficacia depende directamente del uso que se les dé y del entorno en el que operan. Es un error común asumir que invertir en software de protección —como firewalls, antivirus o Inteligencia Artificial— exime a la organización de responsabilidades adicionales. La ciberseguridad no es un producto que se compra; es una práctica que se construye, se mantiene y se adapta, lo cual comienza con preguntas básicas:
- ¿Quién tendrá acceso a los datos?
- ¿Qué datos pueden ser compartidos?
- ¿Qué protocolos rigen la conexión entre sistemas?
- ¿Quién responde en caso de una filtración?
Y es que diseñar un programa de concientización eficaz en seguridad digital va más allá de ofrecer cursos genéricos o enviar boletines con buenas prácticas. Requiere una lectura profunda de los procesos internos, una identificación clara de los flujos de información y un entendimiento detallado de qué áreas manejan qué datos.
En materia de seguridad, no todas las áreas dentro de una organización enfrentan los mismos riesgos. Recursos Humanos gestiona información personal altamente sensible. Finanzas administra cuentas, transacciones y contratos. Marketing puede tener acceso a datos de clientes que, si se exponen, comprometen no solo la reputación, sino la continuidad comercial. Por tanto, cada colaborador debe recibir formación específica, adaptada a sus herramientas, responsabilidades y nivel de exposición.
Principales retos de ciberseguridad para las pymes
Uno de los retos estratégicos más comunes para las pequeñas y medianas empresas es contar con el acompañamiento de una figura especializada — como un Jefe de Seguridad de la Información (CISO) o un asesor externo — que identifique las zonas críticas, traduzca riesgos tecnológicos al lenguaje del negocio y alinee la estrategia de ciberseguridad con los objetivos operativos de la organización.
De hecho, según el informe de CrowdStrike, más del 50% de las pymes se sienten abrumadas por la cantidad de herramientas y soluciones disponibles en el mercado, lo que evidencia una necesidad urgente de simplificar la toma de decisiones y priorizar la claridad estratégica.
Asimismo, la rápida adopción de plataformas basadas en Inteligencia Artificial ha abierto nuevos frentes de riesgo. Muchas organizaciones están incorporando asistentes virtuales, modelos de lenguaje o sistemas automatizados sin protocolos definidos de uso, anonimización de datos ni límites éticos. En el afán de no quedarse atrás en la transformación digital, se toman decisiones apresuradas que muchas veces omiten principios básicos de protección de datos.
En consecuencia, se subestima la protección de la identidad digital. Pero, en un entorno donde los atacantes buscan además de explotar sistemas, suplantar identidades, el control de accesos y autenticaciones se vuelve vital.