Ciberseguridad para pequeñas empresas: una guía completa

This post is also available in:

Escuchas mucho sobre filtraciones de datos y ataques de seguridad en las noticias. La mayoría de las veces, las que escucha son corporaciones masivas o agencias gubernamentales. No es frecuente escuchar que la peluquería local o la escuela primaria tengan una fuga de datos o un ataque de piratas informáticos. A pesar de la prevalencia de interés periodístico de las infracciones de seguridad cibernética a gran escala, las pequeñas empresas pueden convertirse en objetivos atractivos.

Las empresas más pequeñas están sujetas a las mismas amenazas de seguridad en línea que cualquier gran corporación. Sin embargo, la pequeña o mediana empresa se vuelve más vulnerable debido a las barreras adicionales para crear un entorno en línea seguro para sus datos.

Por qué las pequeñas empresas son objetivos atractivos

Es un pensamiento horrible, pero cuando se trata de pequeñas empresas con sistemas en línea, aparecen como una fruta madura y al alcance de la mano para cualquiera que esté dispuesto a aprovechar.

Cuando tienes una pequeña empresa, no sueles contar con los recursos para destinar un equipo especializado, ni siquiera una persona dedicada, al negocio de la ciberseguridad. Esto generalmente significa que las empresas más pequeñas tienen protocolos de seguridad menos estrictos y menos recursos para buscar filtraciones y amenazas. No es culpa de nadie, pero hace que las empresas más pequeñas sean más vulnerables.

Cuando alguien construye un negocio, lo hace por su pasión y experiencia en esa área. A menos que esté construyendo un negocio de ciberseguridad, su área de especialización no es la seguridad en línea, y nadie entra en el negocio para pasar horas fuera de su especialidad. Esto lleva a que las personas cometan errores, no tomen en serio sus medidas de seguridad, y todos saben que el error humano es una de las amenazas de seguridad más importantes para cualquier empresa .

Otro elemento que hace que las empresas más pequeñas sean más atractivas para las amenazas en línea es su conexión con empresas más grandes . Con sistemas menos robustos y amenazas significativas a los datos humanos, las empresas más pequeñas pueden representar un punto de acceso fácil para las empresas más grandes, con datos mucho más valiosos.

Otro elemento que hace que las empresas más pequeñas sean más atractivas para las amenazas en línea es su conexión con empresas más grandes . Con sistemas menos robustos y amenazas significativas a los datos humanos, las empresas más pequeñas pueden representar un punto de acceso fácil para las empresas más grandes, con datos mucho más valiosos.

Un factor sorprendente de por qué las pequeñas empresas son más susceptibles a los ciberataques es que muchas no se toman la ciberseguridad tan en serio como deberían. Existe la creencia generalizada y errónea de que las empresas más pequeñas no son tan atractivas como las empresas más grandes. En consecuencia, la administración no es tan rigurosa en la implementación de políticas y controles de ciberseguridad.

¿Qué está en riesgo en una brecha de ciberseguridad?

Guarda una gran cantidad de datos en la nube y en servidores basados en la web. Cuando sus protocolos de ciberseguridad no son sólidos, corre el riesgo de que todos o parte de los datos almacenados se arriesguen. Además, corre el riesgo de acceder a cualquier sistema interno vinculado a su almacenamiento web. El dinero, los datos, el equipo y su reputación corren un grave riesgo de infiltración y divulgación.

• información del cliente
• datos bancarios de la empresa
• detalles de pago del cliente
• diseños de productos
• planes de desarrollo
• procesos
• estructura de precios

Cualquiera de estos datos es un objetivo para las personas que desean vender la información o beneficiarse de su pérdida. No son solo los detalles y la estabilidad de su empresa los que están en riesgo si su empresa filtra estos datos debido a protocolos de ciberseguridad inadecuados. Sus clientes, socios e incluso sus proveedores podrían convertirse en objetivos a través de la fuga de datos de su empresa. No mencionemos que usted podría ser legalmente culpable si cualquier robo de datos de su empresa dañó fundamentalmente a otra parte.

Está muy bien saber qué datos están en riesgo si no se mantiene al tanto de sus protocolos de ciberseguridad internos y externos. Aún así, es trabajo identificar lo que está en juego si su empresa es víctima de un ataque cibernético debido a una preparación deficiente.

• Pérdida financiera (a través de varias vías)
  • a través de datos bancarios comprometidos
  • interrupción del negocio
  • reclamos de responsabilidad en su contra
• Daño reputacional
  • Pérdida de clientes debido a la filtración de sus datos.
  • Malas críticas
• Repercusión legal
  • violar la confidencialidad del cliente
  • incumplimiento de las leyes de seguridad y privacidad de datos (GDPR, HIPAA, etc.)

La mayoría de las pequeñas empresas no pudieron recuperarse de estas pérdidas. Además, las pequeñas y medianas empresas que han sufrido un ciberataque tienen más probabilidades de ser atacadas nuevamente. Según un estudio realizado en 2012 por la Alianza Nacional de Seguridad Cibernética, el 60% de las pequeñas empresas cierran dentro de los seis meses posteriores a una violación de datos.

Las amenazas más comunes para las pequeñas empresas

Existen varios métodos comunes que utilizan los piratas informáticos y los ciberdelincuentes para obtener acceso a los sistemas. Pueden causar más daño a las pequeñas empresas que a una entidad masiva como Facebook o Amazon. Desafortunadamente, casi siempre apuntan al elemento humano en lugar de intentar piratear el software de seguridad directamente.

Suplantación de identidad

Los ataques de phishing ocurren cuando el remitente se hace pasar por un contacto de confianza, un colega interno o, más a menudo, alguien de la gerencia. Los maestros de la estafa de phishing hacen su investigación. Estos actores en línea se aseguran de que sus correos electrónicos se vean y suenen como un correo electrónico enviado por la persona que fingen ser, posiblemente hasta tener una diferencia de un solo carácter en la dirección de correo electrónico. La firma es la misma, al igual que el tono, pero te pedirán que descargues algo, envíes información sensible o envíes dinero.

Los correos electrónicos de phishing han sido comunes durante mucho tiempo y muchas personas han aprendido a ignorarlos y denunciarlos. Sin embargo, todavía prevalecen significativamente porque sus técnicas y entrega se han vuelto mucho más sofisticadas.

Malware

Malware es un término general que se utiliza para describir varios tipos de códigos maliciosos que pueden infectar sus sistemas. Los virus o troyanos están diseñados para acceder a máquinas y redes o robar y destruir datos. El malware puede llegar a su infraestructura de TI mediante descargas de sitios web maliciosos, correos electrónicos no deseados o de phishing, o mediante la conexión a otros dispositivos afectados.

El malware puede ser particularmente peligroso para las empresas más pequeñas porque puede dañar el hardware, así como robar datos y tomar el control de las redes. La mayoría de las pequeñas empresas no pueden permitirse gastar miles de dólares en reemplazar el hardware dañado de un sistema infectado.

Ingeniería social

Si bien la ingeniería social no siempre conduce a una infección de malware, muchas estafas de phishing y malware tienen un elemento de ingeniería social en su ejecución. Aquí es donde entra en juego la investigación.
Los ciberdelincuentes que han dominado el arte de la ingeniería social saben cómo jugar con la dualidad del compromiso emocional y el riesgo.
El miedo, la curiosidad, la avaricia, la urgencia y la amabilidad son aspectos de la trama de ingeniería social.
Los ingenieros sociales utilizan sus respuestas emocionales a sus ventanas emergentes, correos electrónicos y sitios web infectados maliciosos para aumentar su miedo al riesgo. No importa si ese es el riesgo de ser inútil, perderse una «gran oferta» o las consecuencias negativas de no descargar su «software esencial» en este momento.

A veces puede ser tan simple como enviar una publicación divertida en las redes sociales diseñada para recopilar datos personales. Probablemente hayas visto algo como esto en tu feed.

Secuestro de datos

Ransomeware hace exactamente lo que dice. Toma los datos de su empresa y de sus clientes y los retiene para pedir un rescate, mientras los encripta para que no pueda verlos incluso si tiene acceso. Esta amenaza es significativamente más dañina para las pequeñas empresas porque es menos probable que tengan copias de seguridad de datos rigurosas y frecuentes. En consecuencia, es más probable que estas empresas más pequeñas paguen el rescate para recuperar el acceso a sus valiosos datos.

Al mismo tiempo, el ransomware es particularmente dañino para la profesión médica, donde el acceso inmediato a los registros de pacientes y sistemas informáticos es esencial e incluso puede ser un caso de vida o muerte.

Amenazas internas

Ya sea intencionalmente o debido a la laxitud de la seguridad, sus empleados internos y ex miembros del personal son la mayor amenaza para la seguridad cibernética de su empresa.

«Las personas afectan los resultados de seguridad más que la tecnología, las políticas o los procesos».

Cuadrante Mágico de Gartner para la formación informática basada en la concienciación sobre la seguridad, Joanna Huisman, 18 de julio de 2019

Es cierto; Las personas son tu mayor amenaza.

Mejores prácticas de ciberseguridad para pequeñas empresas

Usa un cortafuegos

Un firewall es la primera línea de defensa contra el cibercrimen. Si bien muchas empresas usan un firewall externo para mantener sus datos seguros, otras han comenzado a usar un firewall interno para obtener una capa adicional de protección contra los ataques cibernéticos.

Políticas de documentos

No permita que la política pase desapercibida. Documente las políticas que necesita implementar para mantener la ciberseguridad. El descuido intencional de la seguridad de los empleados podría ser motivo de despido si su personal no cumple con los procedimientos que implementa.

No se trata solo de garantizar que su personal cumpla con las reglas, sino que también significa que puede obtener una lista de verificación de las acciones necesarias para mantener sus datos seguros.

Cuenta para dispositivos externos

Muchas pequeñas empresas permiten o incluso alientan a sus empleados a usar sus propios dispositivos, como teléfonos móviles y tabletas. Esto reduce los costos para la empresa y el empleado es responsable de mantenerlo. Sin embargo, los dispositivos externos pueden ser un punto de entrada común para que el software malicioso ingrese a un sistema sin siquiera darse cuenta.

Asegúrese de tener una política BYOD (traiga su propio dispositivo) que dicte las medidas necesarias requeridas para usar sus propios dispositivos. Algunos ejemplos son: El dispositivo debe bloquearse dentro de x minutos de estar inactivo. El dispositivo debe bloquearse con una contraseña que solo usted conozca.

Educación para el personal

No se limite a entregar el documento de seguridad en línea y esperar lo mejor. Es vital que su personal comprenda la importancia de sus medidas de ciberseguridad y por qué todos son responsables. Invierta algo de tiempo en capacitar a su personal sobre sus protocolos de seguridad y asegúrese de mantenerlos actualizados al menos una vez al año.

Utilice tecnologías de nube certificadas

El firewall protege su infraestructura, pero no la de su empresa se estará ejecutando en sistemas internos. Desde los albores de «como servicio», puede utilizar un sistema de programación basado en la web (SaaS) o los servicios web de Amazon (IaaS). Cada servicio basado en la web que utilice debe tener certificaciones y políticas que respalden su ciberseguridad. Algunos ejemplos son el cumplimiento de GDPR, SSL (TLS), HIPAA, certificación ISO , entre muchos otros.

Políticas de contraseñas seguras

Crear una contraseña compleja para mantener alejados a los piratas informáticos de fuerza bruta y que también sea fácil de recordar es difícil (al menos para algunos). Sin embargo, al final vale la pena. Como parte de sus políticas de ciberseguridad, puede implementar requisitos de complejidad de contraseña en la mayoría de los sistemas donde tiene el control final.

Copias de seguridad periódicas y frecuentes

Es un gasto adicional, pero es crucial asegurarse de que los datos de su empresa y de sus clientes tengan copias de seguridad periódicas y externas. No solo para evitar la congelación completa de su negocio si alguien lo ataca con ransomware, sino también en caso de otros desastres que puedan ocurrir.
Es más económico que tener que detener su negocio o pagar un rescate para recuperar sus datos.

Protección de software

En la protección de su sistema de hardware contra malware, es mejor adoptar un enfoque proactivo. Aunque ningún paquete antimalware o antiespía es perfecto (porque los hackers evolucionan tan rápido como los programadores protectores), utilizarlos es otra capa de protección contra la infiltración de software malicioso.

La mayoría de las veces, el software de seguridad identificará la fuente del código malicioso, lo que le permitirá identificar y bloquear esa fuente para que no pueda acceder a su sistema en el futuro.

Identificación y autorización multifactorial

A pesar de los avances en las medidas de protección, el acceso con contraseña única a sistemas seguros no es una buena idea. La forma más fácil de garantizar el acceso seguro con contraseña es agregar un factor adicional al proceso de inicio de sesión. La forma más fácil y gratuita de hacerlo es usar la autenticación de dos factores de Google Authenticator, que enviará un código a un dispositivo externo para mayor seguridad de inicio de sesión.

Hay métodos alternativos disponibles para crear capas de seguridad adicionales. Algunos requieren entrada biométrica, como huellas dactilares o reconocimiento facial, mientras que otros son llaveros externos, como un Yubikey.

Recursos gratuitos para la ciberseguridad en su región

Podría pensar que los protocolos de ciberseguridad serían más o menos los mismos en todo el mundo; Internet está en todas partes. Sin embargo, varias agencias pueden ayudarlo a diseñar e implementar un sistema práctico y funcional para los controles de seguridad cibernética para su pequeña empresa. Si son específicos de su región o país, será más fácil trabajar con ellos dentro de las pautas y leyes regionales.

• países de la unión europea
  • Iniciativas de ciberseguridad de la UE
  • Agencia de la Unión Europea para la Ciberseguridad
• EE.UU
  • la FCC
  • Agencia de Seguridad de Infraestructura y Ciberseguridad
  • Instituto Nacional de Normas y Tecnología
• Australia
  • Gobierno de Australia
  • Centro Australiano de Seguridad Cibernética
• Reino Unido
  • Gobernanza de TI
  • El Centro Nacional de Seguridad Cibernética

Ciberseguridad para pequeñas empresas: en resumen

Cuando dirige una pequeña o mediana empresa, enfrenta obstáculos para el mantenimiento de su ciberseguridad que las grandes corporaciones no tienen. No tiene todos los equipos de seguridad dedicados a garantizar la seguridad de sus datos.

No tienes tiempo para dedicar horas a trámites y procesos de ciberseguridad. Estas son barreras importantes para crear un entorno seguro para los datos comerciales y de los clientes.

Hay recursos disponibles de las agencias gubernamentales locales para ayudar a las pequeñas empresas a mantener sus datos seguros porque una gran proporción de los ataques cibernéticos están dirigidos a las pequeñas empresas. Dado que las pequeñas empresas constituyen una gran proporción del aporte económico, lo mejor para el gobierno es mantenerlas seguras.

No tiene que ser costoso implementar las mejores prácticas, pero no será gratis. No hay forma de garantizar la protección más sólida sin ninguna inversión financiera; sin embargo, la mayoría de las mejores prácticas no cuestan más que tiempo y esfuerzo.

La mejor protección es capacitar a su personal sobre los peligros de los ataques cibernéticos y cómo evitarlos. Las personas son la amenaza más importante porque tienen todas las emociones y reacciones erráticas que son impredecibles. Capacitarlos para identificar sus factores desencadenantes y detectar correos electrónicos falsos y otras estafas será la acción más potente para mitigar los riesgos de ciberseguridad.