Ayuda de ciberseguridad para pequeñas y medianas empresas

Apenas han pasado dos meses de 2014 y hemos visto una gran cantidad de problemas relacionados con la privacidad y la gestión de violaciones de datos. En una reunión de Online Trust Alliance (OTA) a la que asistí recientemente, se hizo el comentario de que "no se trata desise verá afectado por una infracción, se trata decuándo".

Este es un comentario aleccionador para cualquier empresa que tenga un modelo de negocio electrónico, que, en estos días, somos básicamente todos nosotros. Ser relativamente pequeño o anónimo no garantiza que los ciberdelincuentes no lo noten. Entonces, ¿dónde acudir en busca de ayuda y orientación si es una organización pequeña sin mucho dinero o recursos?

Una guía para pequeñas empresas sobre cuestiones de ciberseguridad

El Estado de California ha publicado un excelente recurso para las empresas: "Ciberseguridad en el Estado Dorado: cómo las empresas de California pueden protegerse y responder al malware, las filtraciones de datos y otros incidentes cibernéticos". La información de este documento es aplicable a todas las empresas en todas partes, no solo en California, y ofrece ayuda de seguridad cibernética para las PYMES. Le recomiendo encarecidamente que lo lea para familiarizarse con los conceptos y todos los posibles problemas de amenazas que podrían tener un efecto perjudicial en su marca, su reputación y su capacidad para realizar comercio en línea legítimo. Puede ser difícil y costoso recuperarse de una violación de la privacidad; la prevención es el mejor camino. Como señala el estudio:

“Según el Estudio del Costo del Cibercrimen de 2014, realizado por Ponemon Institute,... los costos para las empresas que son víctimas de ataques basados ​​en Internet han aumentado un 78 % por año, en promedio, durante los últimos cuatro años”.

10 verdades de ciberseguridad

Aquí hay una versión editada del resumen ejecutivo del informe:

Las inversiones relativamente pequeñas en preparación para la seguridad cibernética pueden generar reducciones de riesgo significativas. La Guía contiene más recomendaciones sobre cómo preparar un plan eficaz de respuesta a incidentes de ciberseguridad, pero estos son los principales problemas:

1. Suponga que es un objetivo

Cualquier empresa, grande o pequeña, puede ser víctima de un ciberdelito. Así como se ha convertido en una segunda naturaleza para la mayoría de nosotros cerrar con llave nuestras puertas de entrada cuando salimos de la casa, asuma que usted es un objetivo potencial y tome precauciones básicas para protegerse a usted y a su empresa.

2. Liderar con el ejemplo

La ciberseguridad no es dominio exclusivo de TI; la gerencia ejecutiva tiene que involucrarse. Los propietarios de pequeñas empresas están en la mejor posición para comprender la red de su empresa y todos los dispositivos que se conectan a ella. Esto requiere dedicar el tiempo y los recursos necesarios para garantizar la seguridad de sus activos de información.

3. Mapea tus datos

Para proteger sus datos de manera efectiva, el informe sugiere que primero debe conocer los tipos de datos que tiene y la ubicación de esos datos. Revise exhaustivamente los datos que ha almacenado en sus sistemas de TI, tanto en el sitio como fuera, y con terceros (incluya almacenamiento de respaldo y soluciones de computación en la nube en su proyecto de mapeo de datos). Una vez que sepa qué datos tiene y dónde están, analice detenidamente y deshágase de lo que realmente no necesita.

4. Cifre sus datos

Cifre los datos que necesita conservar. En términos básicos, el cifrado de datos, ya sean correos electrónicos, fotografías, memorandos o cualquier otro tipo de información almacenada electrónicamente, los codifica para que quienes no tengan las claves de cifrado no puedan leerlos. La tecnología de encriptación sólida ahora está comúnmente disponible de forma gratuita y es fácil de usar. La gran ventaja de cifrar sus datos es que los hace mucho menos susceptibles a la piratería. Tenga en cuenta que las máquinas que manejan información confidencial como nómina o funciones de punto de venta (POS) idealmente deberían estar en redes o sistemas separados de las máquinas involucradas con servicios de rutina, como actualizar Facebook y consultar el correo electrónico.

5. Realice operaciones bancarias de forma segura

El informe de California incluye consejos específicos y prácticos para la banca en línea, que incluyen:

• Ponga la seguridad primero. Realice operaciones bancarias en línea usando solo una conexión de navegador segura (indicada por "https" y/o un candado visible en la barra de direcciones o en la esquina inferior derecha de la ventana de su navegador web). Las sesiones de banca en línea deben llevarse a cabo en el modo privado de su navegador web, y luego debe borrar el caché de su navegador web, los archivos temporales de Internet, las cookies y el historial para que, si su sistema se ve comprometido, esa información no sea accesible para los ciberdelincuentes.

• Aprovecha las opciones de seguridad que te ofrece tu entidad financiera. Los ejemplos incluyen el uso de autenticación de dos factores para acceder a su cuenta, requerir que dos personas autorizadas firmen cada transferencia de fondos y configurar notificaciones de cuenta por correo electrónico o mensaje de texto cuando ocurran ciertas actividades de mayor riesgo en su cuenta.

• Establezca límites en las transferencias electrónicas. Las organizaciones criminales transnacionales sofisticadas ahora piratean de manera rutinaria las computadoras de las empresas y transfieren grandes sumas al extranjero donde no se pueden recuperar. Para evitar esto, establezca límites en la cantidad que se puede transferir desde sus cuentas y (según las necesidades de su negocio) considere pedirle a su banco que requiera dos firmas del equipo ejecutivo antes de enviar transferencias electrónicas al extranjero.

6. Defiéndete

Al elegir soluciones de seguridad, protéjase de los puntos únicos de falla en cualquier tecnología o método de protección específicos. Esto debe incluir la implementación de firewalls, antivirus y otras soluciones de seguridad de Internet actualizadas regularmente que abarquen todos los dispositivos digitales, desde computadoras de escritorio hasta teléfonos inteligentes y tabletas.

Los dispositivos conectados a su red deben estar protegidos por múltiples capas de tecnologías defensivas que incluyen, entre otras, tecnología antivirus. Busque soluciones de seguridad integrales que aborden la seguridad desde múltiples perspectivas para que pueda administrar el riesgo del espectro completo de amenazas que puede encontrar. Las capacidades útiles incluyen la capacidad de localizar o borrar de forma remota un dispositivo que se ha perdido y la capacidad de identificar y bloquear ataques nunca antes vistos utilizando tecnologías que analizan el comportamiento y/o emplean herramientas de virtualización.

7. Educar a los empleados

Aumente la conciencia de los empleados sobre los riesgos de las amenazas cibernéticas, los mecanismos para mitigar el riesgo y el valor de la propiedad intelectual y los datos de sus negocios. Sus empleados son la primera línea de defensa, y una buena capacitación y procedimientos de seguridad pueden reducir el riesgo de pérdida accidental de datos y otros riesgos internos.

8. Tenga cuidado con las contraseñas

Cambie cualquier nombre de usuario o contraseña predeterminados para computadoras, impresoras, enrutadores, teléfonos inteligentes u otros dispositivos. CUALQUIER COSA es mejor que el valor predeterminado. Específicamente, debe usar contraseñas seguras y no permitir que su navegador de Internet recuerde sus contraseñas.

9. Opere con seguridad

Mantenga sus sistemas seguros mediante el uso de defensas de seguridad en capas y manteniendo actualizados todos los sistemas operativos y el software. No instale software que no haya buscado específicamente y no descargue software de fuentes no confiables o desconocidas. Recuerde eliminar o desinstalar el software que ya no utilice.

10. Planifica para lo peor

El informe señala que todas las pequeñas empresas deben elaborar un plan de recuperación ante desastres para que, cuando ocurra un incidente cibernético, sus recursos se utilicen de manera inteligente y eficiente. Elija un equipo de respuesta a incidentes y asigne un líder. Asegúrese de que el equipo incluya un miembro de la dirección ejecutiva. Defina roles y responsabilidades para que todos tengan claro quién es responsable de qué en caso de que surja un incidente. Comunique a todos en su empresa a quién contactar si sospechan que ha ocurrido (o está ocurriendo) un incidente cibernético. Reúna y distribuya la información de contacto fuera del horario laboral para su equipo de respuesta a incidentes. A continuación, describa los pasos básicos de su plan de respuesta a incidentes mediante el establecimiento de listas de verificación y elementos de acción claros.

El informe del estado de California analiza las estafas de ingeniería social, las infracciones de red, las infracciones físicas y las infracciones móviles, e incluye más detalles sobre las operaciones seguras y la respuesta a incidentes. Vale la pena su tiempo; solo vamos a ver más problemas que afectan a los negocios legítimos en nuestro mercado digital. Así que tome una silla cómoda y un café caliente y estudie esta útil, valiosa y legible guía de ciberseguridad para pequeñas y medianas empresas.

Act-On está comprometida con su privacidad y protección de datos. Eche un vistazo a nuestros esfuerzos proactivos y certificaciones de la industria aquí .

Imagen de portada: “Privacidad” por g4114is. Usado con permiso, bajo una licencia Creative Commons 2.0.