En un entorno empresarial cada vez más digitalizado, la ciberseguridad ha dejado de ser una preocupación exclusiva de las grandes corporaciones. Hoy, las pequeñas y medianas empresas (pymes) enfrentan riesgos similares, pero con menos recursos para hacerles frente. En este escenario, la gestión de identidades se posiciona como un elemento crítico para proteger la operación y garantizar la continuidad del negocio.
“Hoy las empresas, incluidas las pymes, manejan múltiples usuarios, aplicaciones y entornos digitales. Cada identidad, ya sea de empleados, clientes o sistemas, representa un posible punto de acceso para ciberataques”, explica Gabriel Lobitsky, General Manager LATAM de One Identity.
Este cambio de paradigma ha llevado a que la identidad se convierta en el nuevo perímetro de seguridad. De hecho, el uso indebido de credenciales continúa siendo una de las principales causas de incidentes. Un ejemplo reciente en Brasil evidencia el impacto: un banco sufrió un ataque a partir de una credencial válida, con pérdidas superiores a los USD 17 millones.
Riesgos crecientes en un entorno más complejo
Las pymes, aunque más pequeñas en tamaño, no son menos atractivas para los ciberdelincuentes. Por el contrario, suelen ser objetivos vulnerables debido a brechas en sus sistemas de seguridad.
“Las pymes suelen tener menos recursos para ciberseguridad, pero enfrentan amenazas similares a las grandes organizaciones”, señala Lobitsky. Entre los principales riesgos destacan los accesos no controlados a sistemas críticos, el robo o uso indebido de credenciales y la falta de visibilidad sobre quién accede a qué información.
A esto se suma un contexto marcado por el crecimiento del trabajo remoto y la adopción de servicios en la nube, lo que ha ampliado considerablemente la superficie de ataque. “Muchas veces las empresas ya no saben quién tiene acceso a qué”, advierte el ejecutivo.
Primeros pasos: control, visibilidad y automatización
Frente a este panorama, el primer paso para las pymes es claro: recuperar el control sobre sus accesos.
“Es fundamental garantizar que cada usuario tenga acceso únicamente a lo necesario para su rol, durante el tiempo adecuado”, afirma Lobitsky. Esto implica no solo definir permisos, sino también automatizar procesos clave como la creación y eliminación de usuarios.
Además, recomienda comenzar con una gestión adecuada del Directorio Activo, implementar modelos de acceso basados en roles (RBAC) y sumar autenticación multifactor (MFA) como una capa adicional de seguridad. “Son proyectos rápidos, sin costos altos y sin riesgo a la operación diaria del negocio”, agrega.
Soluciones integradas y errores comunes
Actualmente, el mercado ofrece plataformas que integran gobernanza de identidades, gestión de accesos y control de privilegios en un solo entorno, facilitando la adopción de estas prácticas.
Sin embargo, no todas las soluciones son adecuadas para todas las empresas. “Para pymes, implementar herramientas robustas de gobernanza de identidades (IGA) sin procesos previamente definidos puede llevar al fracaso”, advierte Lobitsky. “Vemos muchos proyectos que terminan siendo solo implementaciones técnicas, sin un impacto real en el negocio”.
Tendencias: identidad, experiencia e inteligencia artificial
De cara al futuro, la ciberseguridad para pymes estará marcada por modelos centrados en la identidad, donde el foco estará en quién accede a los sistemas y bajo qué condiciones.
En este contexto, tecnologías como el Single Sign-On (SSO) y el MFA jugarán un rol clave, no solo en la seguridad, sino también en la productividad. “El SSO permite a los usuarios acceder a múltiples aplicaciones sin tener que ingresar credenciales constantemente, mientras que el MFA agrega una segunda capa de protección, especialmente en sistemas sensibles”, explica.
Asimismo, se espera un mayor uso de inteligencia artificial para la detección de riesgos, así como el desarrollo de soluciones integradas que simplifiquen la gestión sin aumentar la complejidad operativa.
Más allá de la tecnología, el mensaje para los emprendedores es claro: la ciberseguridad debe ser vista como una inversión y no como un gasto.
“Si una empresa es atacada y deja de operar, el impacto no solo se refleja en los ingresos, sino también en indicadores clave como la satisfacción del cliente o la reputación”, concluye Lobitsky.
En un entorno digital cada vez más exigente, comenzar por una correcta gestión de identidades puede marcar la diferencia entre una operación segura y una vulnerable. Y, como destaca el ejecutivo, existen formas accesibles de iniciar este camino sin comprometer la operación ni el presupuesto.
