Es tentador pensar que la ciberseguridad es algo para las grandes organizaciones, pero las pequeñas y medianas empresas (PYMES) deben tener cuidado de no caer en la trampa de pensar que son demasiado pequeñas para ser tenidas en cuenta por los hackers. El Informe de Preparación Cibernética 2019 de Hiscox reveló que el número de pequeñas y medianas empresas que reportan al menos un ataque ha seguido aumentando año tras año, alcanzando el 47% para las que tienen menos de 50 empleados y el 63% para las que tienen entre 50 y 250 empleados.
Octubre es el Mes de la Concienciación sobre Ciberseguridad, y nunca ha habido un mejor momento para educarse sobre la protección de las empresas y cómo mantenerse a salvo de brechas complejas.
¿Por qué las pequeñas empresas necesitan la ciberseguridad?
Es sabido que las pequeñas empresas suelen funcionar con recursos muy limitados. Esto puede significar que sienten que no hay tiempo o presupuesto disponible para priorizar las medidas de seguridad en el mismo grado que las operaciones diarias. Como resultado, se convierte en parte del papel de un individuo, en lugar de un puesto dedicado, la formación y los riesgos de software se vuelven obsoletos y, en última instancia, la seguridad de los datos se convierte en una idea de último momento.
Para resolver este problema, las pequeñas empresas deben asegurarse de que la seguridad cibernética o ciberseguridad sea tratada como una alta prioridad, de la misma manera que se considera la seguridad física del espacio de oficinas. Para ello, es fundamental que se definan las mejores prácticas y se actualicen periódicamente en un plan de ciberseguridad para las pequeñas empresas.
La mejora de la seguridad no implica necesariamente grandes gastos, pero sí requiere que la empresa se centre en evitar convertirse en la próxima víctima de un ciberataque. Con las mejores prácticas de ciberseguridad, las pequeñas y medianas empresas pueden mejorar tanto su protección como la cultura de la empresa en torno a la importancia y la aplicación de medidas de seguridad eficaces.
¿Cuáles son las mejores prácticas para la seguridad de las pequeñas empresas?
Crear documentos de política.
Para garantizar que las políticas de ciberseguridad pasen a formar parte de la cultura de su empresa, deben documentarse minuciosamente y apoyarse con calendarios y listas de verificación para asegurarse de que los nuevos procesos se apliquen y el personal sea consciente de sus responsabilidades. Hemos creado previamente una plantilla de política de ciberseguridad para que usted pueda empezar.
Revisar los permisos de acceso.
Una medida simple pero eficaz es restringir los permisos de acceso a los archivos compartidos y a las aplicaciones esenciales. Esto reduce al mínimo el número de posibles rutas a los datos sensibles. El acceso solo debe proporcionarse a quienes lo necesiten para su trabajo, y debe revocarse cuando ya no se necesite. Esto significa que nadie debería tener privilegios generales de administrador sólo por razones de antigüedad.
También se deberían establecer procesos para revocar el acceso en el momento en que un empleado se vaya o en que termine un contrato con un trabajador independiente u otro tercero.
Haga una copia de seguridad de sus datos.
El mantra de "usa una contraseña fuerte" es ahora tan común como "asegúrate de hacer una copia de seguridad de tus datos". Esto es especialmente cierto para las pequeñas empresas que desean evitar los ataques de rescate o ransomware, donde el hacker robará y cifrará los datos, amenazando con destruirlos si no se paga por su devolución. Sin garantía de que los datos sean devueltos en un estado utilizable, las pequeñas empresas se encuentran en un dilema en el que podrían terminar pagando tanto un rescate como un tiempo de inactividad que no pueden permitirse.
Esta situación puede evitarse simplemente manteniendo copias de seguridad completas para poder recuperar los datos, minimizando cualquier posible daño financiero y de reputación, y el estrés que sienten los empleados durante un ataque de ransomware.
Los servicios en la nube son una opción popular para las copias de seguridad. La nube no sólo permite que se pueda acceder a los documentos desde cualquier lugar, sino que es probable que la seguridad que ofrecen estos servicios sea mucho más sofisticada, lo que los convierte en una forma asequible de mejorar significativamente la seguridad de los datos.
Considere el BYOD y los riesgos del trabajo a distancia.
Añadir puntos de entrada a una red aumenta el riesgo potencial de una brecha, simplemente porque hay más ángulos para que los ciberdelincuentes los exploten. Teniendo esto en cuenta, las tendencias hacia el trabajo de oficina no tradicional podrían ser vistas como una preocupación - aunque es importante señalar que el trabajo a distancia ha estado aumentando durante muchos años.
El Informe sobre la Fuerza Laboral Móvil de Avast Business 2018 demostró que el personal sentía que trabajar desde casa aumentaba la productividad y reducía el estrés hasta el punto de que el 52% del personal de las pequeñas empresas dijo que preferiría aceptar un recorte salarial que verse restringido a una oficina.
Este problema se ha hecho más inmediato con el repentino aumento del trabajo a distancia debido a la COVID-19. Dado que la mayoría de los trabajadores de oficina trabajan desde casa, los dispositivos personales y el WiFi son ahora parte integral del entorno de trabajo moderno, permitiendo al personal realizar tareas que van más allá de los límites de un día de trabajo tradicional.
Entonces, ¿cómo se puede encontrar este equilibrio entre el aumento del riesgo y la prevalencia de los dispositivos personales y el trabajo a distancia? La respuesta sencilla es establecer una orientación clara sobre el uso de los dispositivos personales. Una política de "Traiga su propio dispositivo" (BYOD) debería incluirse en sus mejores prácticas de seguridad de datos, asegurando que todos sus empleados estén obligados a mantener un alto nivel de seguridad en cualquier dispositivo que acceda a los documentos y la red de la empresa - desde la instalación de software de seguridad hasta la aplicación de parches tan pronto como estén disponibles.
Formación y educación.
Incluir orientación en la documentación es una cosa, pero para que se arraigue como parte del día a día, la capacitación y la educación son vitales. En una pequeña empresa, las responsabilidades suelen ser compartidas, y lo mismo tiene que ocurrir con la seguridad si se quiere que siga siendo eficaz. Toda persona que tenga una cuenta o un dispositivo conectado a la red debe recibir una formación que le permita familiarizarse con las políticas de seguridad y con la forma de aplicar las mejores prácticas.
La formación del personal.
Los empleados tendrán diferentes antecedentes y niveles de habilidad en lo que se refiere a la tecnología. Para evitar la creación de vulnerabilidades de seguridad, todos los miembros del personal deben saber cómo actualizar sus dispositivos, reconocer los intentos de suplantación de identidad (phishing) y conocer los procedimientos para señalar preocupaciones.
Los empleados también deben comprometerse a cumplir las políticas y, a cambio, los empleadores deben garantizar que la capacitación se actualice periódicamente para reflejar la evolución de la ciberseguridad. Estas políticas deben explicarse con claridad y transparencia, especialmente si se refieren al uso de dispositivos personales.
Protección por contraseña.
A nadie le gusta cambiar las contraseñas. Pero las contraseñas fuertes y únicas son cruciales para mejorar la seguridad. Aunque hay muchos consejos importantes sobre cómo crear contraseñas fuertes, una regla fundamental es no reutilizar las contraseñas bajo ninguna circunstancia. Para equilibrar la comodidad y la seguridad, se puede utilizar una herramienta de gestión de contraseñas para recordar contraseñas complejas y actualizarlas a intervalos regulares, lo que significa que el usuario sólo tiene que recordar una contraseña a la vez, y se mejora la seguridad de la empresa.
2FA.
Cada vez más común en los bancos, tiendas online y medios sociales es la autenticación de dos factores (2FA). Esta capa extra de seguridad requiere que el usuario conozca una contraseña y proporcione un código único, que a menudo se envía por texto o correo electrónico, para verificar que el intento de acceso es legítimo. Se debe alentar al personal a que lo habilite en todos los servicios que lo proporcionen.
Sin costo alguno, es una forma muy simple de aumentar la seguridad. La capacitación y la implementación también serán rápidas, ya que es probable que muchos empleados estén familiarizados con esta característica en sus cuentas personales.
Software y herramientas.
Con una amplia variedad de herramientas de seguridad disponibles, puede ser difícil identificar cuáles son esenciales y dignas de inversión, y cuáles no. Así que, aparte de los administradores de contraseñas y los respaldos en la nube mencionados anteriormente, ¿qué otras herramientas pueden marcar una gran diferencia para su pequeña o mediana empresa?
VPN.
Las redes privadas virtuales (VPN) son una medida de seguridad cada vez más común para los usuarios domésticos. Crean un "túnel" cifrado a través del cual los datos y la actividad en línea pueden viajar sin ser vistos por terceros, o ser rastreados hasta la dirección IP del usuario. Una vez instalada, una VPN suele ser tan simple de activar como pulsar un interruptor, lo que la hace ideal para los trabajadores remotos que acceden a datos sensibles.
Firewall / Cortafuegos.
Un cortafuegos es una primera línea de defensa vital. Como su nombre lo indica, un cortafuegos proporciona una barrera entre su red y los ciberataques. Pueden ser usados en múltiples configuraciones, tanto internas como externas, y deben ser un requisito de BYOD o políticas de trabajo remoto para cualquier dispositivo que se conecte a la red de la empresa.
Software anti-malware.
Debido a su notoriedad, mucha gente asume que los correos electrónicos de phishing son fáciles de identificar. En realidad, los ataques de phishing siguen siendo comunes y se están volviendo más sofisticados. Por lo tanto, junto con la capacitación del personal, el software antimalware a nivel de red y de dispositivos sigue siendo esencial para minimizar el impacto del error humano.
Instalar actualizaciones.
El software sólo puede ser más eficaz si se actualiza regularmente para tener en cuenta las nuevas vulnerabilidades o tipos de ataque. Garantizar que cada dispositivo -desde las impresoras y los ordenadores portátiles hasta los teléfonos inteligentes- tenga aplicados los últimos parches y actualizaciones podría ser una tarea desalentadora para una gran empresa, pero es muy factible en una pequeña o mediana empresa.
Los dispositivos comunes, como los servidores, deben ser actualizados por el personal que gestiona la seguridad de la TI como parte de su función, mientras que otros empleados deben ser responsables de sus propios dispositivos. Hacer cumplir esta responsabilidad mediante la formación y la política de seguridad de la empresa puede garantizar que las vulnerabilidades de software conocidas no den lugar a una infracción prevenible.
Construir una estructura de seguridad holística.
Una vez que se implementan estas mejores prácticas de seguridad en su negocio, el trabajo no ha hecho más que empezar. Garantizar la participación de todos los empleados hará que la conciencia de la seguridad se tenga en cuenta a diario y se convierta en parte de la cultura de la empresa, lo que es crucial para mejorar la seguridad y darle la máxima tranquilidad.
Los ciberataques evolucionan continuamente, lo que significa que las soluciones de seguridad deben seguir el ritmo para seguir siendo eficaces. El conocimiento de los últimos ataques y las medidas de seguridad resultantes es vital para la comprensión y la seguridad de su equipo, pero con poco tiempo libre, los propietarios de las empresas rara vez están en condiciones de convertirse en expertos en ciberseguridad por derecho propio. Esto hace que la elección del software correcto sea aún más importante. Aunque las herramientas de seguridad gratuitas pueden realizar escaneos rudimentarios, no dispondrán de los recursos necesarios para vigilar continuamente la aparición de nuevas amenazas y vulnerabilidades. En su lugar, considere los servicios de pago como una forma asequible de garantizar que la seguridad de su red esté siempre actualizada.
La combinación de nuevos procesos, formación regular y actualizaciones de software para las últimas amenazas requerirá trabajo, pero la estrategia holística resultante puede aportar mejoras significativas a la seguridad de su empresa.
Consiga la protección de Avast Business para su lugar de trabajo.
Avast Business ofrece una seguridad en línea completa: anti-malware, antivirus, firewall, anti-spam, vpn, gestión de parches, acceso remoto... de última generación para las pequeñas empresas que desean mantener sus dispositivos y datos protegidos contra las últimas ciberamenazas. Proporciona una protección robusta y en tiempo real, fácil de instalar, rentable y fiable, para que usted pueda concentrarse en dirigir su empresa con confianza y tranquilidad.