Ciberseguridad para pequeñas empresas: una guía completa
This post is also available in:
Escuchas mucho sobre filtraciones de datos y ataques de seguridad en las noticias. La mayoría de las veces, las que escucha son corporaciones masivas o agencias gubernamentales. No es frecuente escuchar que la peluquería local o la escuela primaria tengan una fuga de datos o un ataque de piratas informáticos. A pesar de la prevalencia de interés periodístico de las infracciones de seguridad cibernética a gran escala, las pequeñas empresas pueden convertirse en objetivos atractivos.
Las empresas más pequeñas están sujetas a las mismas amenazas de seguridad en línea que cualquier gran corporación. Sin embargo, la pequeña o mediana empresa se vuelve más vulnerable debido a las barreras adicionales para crear un entorno en línea seguro para sus datos.
Por qué las pequeñas empresas son objetivos atractivos
Es un pensamiento horrible, pero cuando se trata de pequeñas empresas con sistemas en línea, aparecen como una fruta madura y al alcance de la mano para cualquiera que esté dispuesto a aprovechar.
Cuando tienes una pequeña empresa, no sueles contar con los recursos para destinar un equipo especializado, ni siquiera una persona dedicada, al negocio de la ciberseguridad. Esto generalmente significa que las empresas más pequeñas tienen protocolos de seguridad menos estrictos y menos recursos para buscar filtraciones y amenazas. No es culpa de nadie, pero hace que las empresas más pequeñas sean más vulnerables.
Cuando alguien construye un negocio, lo hace por su pasión y experiencia en esa área. A menos que esté construyendo un negocio de ciberseguridad, su área de especialización no es la seguridad en línea, y nadie entra en el negocio para pasar horas fuera de su especialidad. Esto lleva a que las personas cometan errores, no tomen en serio sus medidas de seguridad, y todos saben que el error humano es una de las amenazas de seguridad más importantes para cualquier empresa .
Otro elemento que hace que las empresas más pequeñas sean más atractivas para las amenazas en línea es su conexión con empresas más grandes . Con sistemas menos robustos y amenazas significativas a los datos humanos, las empresas más pequeñas pueden representar un punto de acceso fácil para las empresas más grandes, con datos mucho más valiosos.
Otro elemento que hace que las empresas más pequeñas sean más atractivas para las amenazas en línea es su conexión con empresas más grandes . Con sistemas menos robustos y amenazas significativas a los datos humanos, las empresas más pequeñas pueden representar un punto de acceso fácil para las empresas más grandes, con datos mucho más valiosos.
Un factor sorprendente de por qué las pequeñas empresas son más susceptibles a los ciberataques es que muchas no se toman la ciberseguridad tan en serio como deberían. Existe la creencia generalizada y errónea de que las empresas más pequeñas no son tan atractivas como las empresas más grandes. En consecuencia, la administración no es tan rigurosa en la implementación de políticas y controles de ciberseguridad.
¿Qué está en riesgo en una brecha de ciberseguridad?
Guarda una gran cantidad de datos en la nube y en servidores basados en la web. Cuando sus protocolos de ciberseguridad no son sólidos, corre el riesgo de que todos o parte de los datos almacenados se arriesguen. Además, corre el riesgo de acceder a cualquier sistema interno vinculado a su almacenamiento web. El dinero, los datos, el equipo y su reputación corren un grave riesgo de infiltración y divulgación.
- información del cliente
- datos bancarios de la empresa
- detalles de pago del cliente
- diseños de productos
- planes de desarrollo
- procesos
- estructura de precios
Cualquiera de estos datos es un objetivo para las personas que desean vender la información o beneficiarse de su pérdida. No son solo los detalles y la estabilidad de su empresa los que están en riesgo si su empresa filtra estos datos debido a protocolos de ciberseguridad inadecuados. Sus clientes, socios e incluso sus proveedores podrían convertirse en objetivos a través de la fuga de datos de su empresa. No mencionemos que usted podría ser legalmente culpable si cualquier robo de datos de su empresa dañó fundamentalmente a otra parte.
Está muy bien saber qué datos están en riesgo si no se mantiene al tanto de sus protocolos de ciberseguridad internos y externos. Aún así, es trabajo identificar lo que está en juego si su empresa es víctima de un ataque cibernético debido a una preparación deficiente.
- Pérdida financiera (a través de varias vías)
- a través de datos bancarios comprometidos
- interrupción del negocio
- reclamos de responsabilidad en su contra
- Daño reputacional
- Pérdida de clientes debido a la filtración de sus datos.
- Malas críticas
- Repercusión legal
- violar la confidencialidad del cliente
- incumplimiento de las leyes de seguridad y privacidad de datos (GDPR, HIPAA, etc.)
La mayoría de las pequeñas empresas no pudieron recuperarse de estas pérdidas. Además, las pequeñas y medianas empresas que han sufrido un ciberataque tienen más probabilidades de ser atacadas nuevamente. Según un estudio realizado en 2012 por la Alianza Nacional de Seguridad Cibernética, el 60% de las pequeñas empresas cierran dentro de los seis meses posteriores a una violación de datos.
Las amenazas más comunes para las pequeñas empresas
Existen varios métodos comunes que utilizan los piratas informáticos y los ciberdelincuentes para obtener acceso a los sistemas. Pueden causar más daño a las pequeñas empresas que a una entidad masiva como Facebook o Amazon. Desafortunadamente, casi siempre apuntan al elemento humano en lugar de intentar piratear el software de seguridad directamente.
Suplantación de identidad
Los ataques de phishing ocurren cuando el remitente se hace pasar por un contacto de confianza, un colega interno o, más a menudo, alguien de la gerencia. Los maestros de la estafa de phishing hacen su investigación. Estos actores en línea se aseguran de que sus correos electrónicos se vean y suenen como un correo electrónico enviado por la persona que fingen ser, posiblemente hasta tener una diferencia de un solo carácter en la dirección de correo electrónico. La firma es la misma, al igual que el tono, pero te pedirán que descargues algo, envíes información sensible o envíes dinero.
Los correos electrónicos de phishing han sido comunes durante mucho tiempo y muchas personas han aprendido a ignorarlos y denunciarlos. Sin embargo, todavía prevalecen significativamente porque sus técnicas y entrega se han vuelto mucho más sofisticadas.
Malware
Malware es un término general que se utiliza para describir varios tipos de códigos maliciosos que pueden infectar sus sistemas. Los virus o troyanos están diseñados para acceder a máquinas y redes o robar y destruir datos. El malware puede llegar a su infraestructura de TI mediante descargas de sitios web maliciosos, correos electrónicos no deseados o de phishing, o mediante la conexión a otros dispositivos afectados.
El malware puede ser particularmente peligroso para las empresas más pequeñas porque puede dañar el hardware, así como robar datos y tomar el control de las redes. La mayoría de las pequeñas empresas no pueden permitirse gastar miles de dólares en reemplazar el hardware dañado de un sistema infectado.
Ingeniería social
Si bien la ingeniería social no siempre conduce a una infección de malware, muchas estafas de phishing y malware tienen un elemento de ingeniería social en su ejecución. Aquí es donde entra en juego la investigación.
Los ciberdelincuentes que dominan el arte de los timos de la ingeniería social saben cómo jugar con la dualidad del compromiso emocional y el riesgo.
El miedo, la curiosidad, la codicia, la urgencia y la utilidad son aspectos de la trama de la ingeniería social.
Los ingenieros sociales utilizan tus respuestas emocionales a sus ventanas emergentes maliciosas, correos electrónicos y sitios web infectados para captar tu miedo al riesgo. No importa si ese es el riesgo de ser inútil, perderse una «gran oferta» o las consecuencias negativas de no descargar su «software esencial» en este momento.
A veces puede ser tan simple como enviar una publicación divertida en las redes sociales diseñada para recopilar datos personales. Probablemente hayas visto algo como esto en tu feed.
Secuestro de datos
Ransomeware hace exactamente lo que dice. Toma los datos de su empresa y de sus clientes y los retiene para pedir un rescate, mientras los encripta para que no pueda verlos incluso si tiene acceso. Esta amenaza es significativamente más dañina para las pequeñas empresas porque es menos probable que tengan copias de seguridad de datos rigurosas y frecuentes. En consecuencia, es más probable que estas empresas más pequeñas paguen el rescate para recuperar el acceso a sus valiosos datos.
Al mismo tiempo, el ransomware es particularmente dañino para la profesión médica, donde el acceso inmediato a los registros de pacientes y sistemas informáticos es esencial e incluso puede ser un caso de vida o muerte.
Amenazas internas
Ya sea intencionalmente o debido a la laxitud de la seguridad, sus empleados internos y ex miembros del personal son la mayor amenaza para la seguridad cibernética de su empresa.
«Las personas afectan los resultados de seguridad más que la tecnología, las políticas o los procesos».
Cuadrante Mágico de Gartner para la formación informática basada en la concienciación sobre la seguridad, Joanna Huisman, 18 de julio de 2019
Es cierto; Las personas son tu mayor amenaza.
Mejores prácticas de ciberseguridad para pequeñas empresas
Usa un cortafuegos
Un firewall es la primera línea de defensa contra el cibercrimen. Si bien muchas empresas usan un firewall externo para mantener sus datos seguros, otras han comenzado a usar un firewall interno para obtener una capa adicional de protección contra los ataques cibernéticos.
Políticas de documentos
No permita que la política pase desapercibida. Documente las políticas que necesita implementar para mantener la ciberseguridad. El descuido intencional de la seguridad de los empleados podría ser motivo de despido si su personal no cumple con los procedimientos que implementa.
No se trata solo de garantizar que su personal cumpla con las reglas, sino que también significa que puede obtener una lista de verificación de las acciones necesarias para mantener sus datos seguros.
Cuenta para dispositivos externos
Muchas pequeñas empresas permiten o incluso alientan a sus empleados a usar sus propios dispositivos, como teléfonos móviles y tabletas. Esto reduce los costos para la empresa y el empleado es responsable de mantenerlo. Sin embargo, los dispositivos externos pueden ser un punto de entrada común para que el software malicioso ingrese a un sistema sin siquiera darse cuenta.
Asegúrese de tener una política BYOD (traiga su propio dispositivo) que dicte las medidas necesarias requeridas para usar sus propios dispositivos. Algunos ejemplos son: El dispositivo debe bloquearse dentro de x minutos de estar inactivo. El dispositivo debe bloquearse con una contraseña que solo usted conozca.
Educación para el personal
No se limite a entregar el documento de seguridad en línea y esperar lo mejor. Es vital que su personal comprenda la importancia de sus medidas de ciberseguridad y por qué todos son responsables. Invierta algo de tiempo en capacitar a su personal sobre sus protocolos de seguridad y asegúrese de mantenerlos actualizados al menos una vez al año.
Utilice tecnologías de nube certificadas
El cortafuegos protege tu infraestructura, pero no parte de tu negocio se ejecutará en sistemas internos. Desde los albores de «como servicio», puede utilizar un sistema de programación basado en la web (SaaS) o los servicios web de Amazon (IaaS). Cada servicio basado en la web que utilice debe tener certificaciones y políticas que respalden su ciberseguridad. Algunos ejemplos son el cumplimiento de GDPR, SSL (TLS), HIPAA, certificación ISO , entre muchos otros. También puedes optar por emplear herramientas de supervisión de la nube para gestionar tu flujo de trabajo en la nube, así como una plataforma de observabilidad de código abierto para medir el estado actual del sistema.
Políticas de contraseñas seguras
Crear una contraseña compleja para mantener alejados a los piratas informáticos de fuerza bruta y que también sea fácil de recordar es difícil (al menos para algunos). Sin embargo, al final vale la pena. Como parte de sus políticas de ciberseguridad, puede implementar requisitos de complejidad de contraseña en la mayoría de los sistemas donde tiene el control final.
Copias de seguridad periódicas y frecuentes
Es un gasto adicional, pero es crucial asegurarse de que los datos de su empresa y de sus clientes tengan copias de seguridad periódicas y externas. No sólo para evitar la paralización completa de tu negocio si alguien te ataca con un ransomware, sino también en caso de otros desastres que puedan ocurrir.
Es más barato que tener que paralizar tu negocio o pagar un rescate para recuperar tus datos.
Protección de software
En la protección de su sistema de hardware contra malware, es mejor adoptar un enfoque proactivo. Aunque ningún paquete anti-malware o anti-spyware es perfecto (porque los hackers se desarrollan tan rápido como los programadores protectores), utilizarlos es otra capa de protección contra la infiltración de software malicioso.
La mayoría de las veces, el software de seguridad identificará la fuente del código malicioso, lo que le permitirá identificar y bloquear esa fuente para que no pueda acceder a su sistema en el futuro.
Identificación y autorización multifactorial
A pesar de los avances en las medidas de protección, el acceso con contraseña única a sistemas seguros no es una buena idea. La forma más fácil de garantizar el acceso seguro con contraseña es agregar un factor adicional al proceso de inicio de sesión. La forma más fácil y gratuita de hacerlo es usar la autenticación de dos factores de Google Authenticator, que enviará un código a un dispositivo externo para mayor seguridad de inicio de sesión.
Hay métodos alternativos disponibles para crear capas de seguridad adicionales. Algunos requieren entrada biométrica, como huellas dactilares o reconocimiento facial, mientras que otros son llaveros externos, como un Yubikey.
Recursos gratuitos para la ciberseguridad en su región
Podría pensar que los protocolos de ciberseguridad serían más o menos los mismos en todo el mundo; Internet está en todas partes. Sin embargo, varias agencias pueden ayudarlo a diseñar e implementar un sistema práctico y funcional para los controles de seguridad cibernética para su pequeña empresa. Si son específicos de su región o país, será más fácil trabajar con ellos dentro de las pautas y leyes regionales.
- países de la unión europea
- EE.UU
- Australia
- Reino Unido
Ciberseguridad para pequeñas empresas: en resumen
Cuando dirige una pequeña o mediana empresa, enfrenta obstáculos para el mantenimiento de su ciberseguridad que las grandes corporaciones no tienen. No tiene todos los equipos de seguridad dedicados a garantizar la seguridad de sus datos.
No tienes tiempo para dedicar horas a trámites y procesos de ciberseguridad. Estas son barreras importantes para crear un entorno seguro para los datos comerciales y de los clientes.
Hay recursos disponibles de las agencias gubernamentales locales para ayudar a las pequeñas empresas a mantener sus datos seguros porque una gran proporción de los ataques cibernéticos están dirigidos a las pequeñas empresas. Dado que las pequeñas empresas constituyen una gran proporción del aporte económico, lo mejor para el gobierno es mantenerlas seguras.
No tiene que ser costoso implementar las mejores prácticas, pero no será gratis. No hay forma de garantizar la protección más sólida sin ninguna inversión financiera; sin embargo, la mayoría de las mejores prácticas no cuestan más que tiempo y esfuerzo.
La mejor protección es capacitar a su personal sobre los peligros de los ataques cibernéticos y cómo evitarlos. Las personas son la amenaza más importante porque tienen todas las emociones y reacciones erráticas que son impredecibles. Capacitarlos para identificar sus factores desencadenantes y detectar correos electrónicos falsos y otras estafas será la acción más potente para mitigar los riesgos de ciberseguridad.
Comments
0 commentsNo comments yet