Las pequeñas empresas (PYMES) representan el 99,7% de todas las empresas de EE.UU., y están bajo ataques cada vez más frecuentes de hackers y software malicioso. Como tal, es más importante que nunca obtener la protección adecuada mediante una política de seguridad integral.

El propósito y los beneficios de una política de protección cibernética

El propósito de crear una política de protección cibernética para su pequeña empresa es esbozar los recursos y las acciones necesarias para asegurar la continuidad del negocio y proteger sus datos. Como resultado, su personal estará mejor informado y podrá tomar las medidas adecuadas para prevenir ataques. No sólo esto, sino que sus clientes se tranquilizarán al trabajar con una empresa que se toma en serio la protección de datos y las amenazas a la seguridad en línea.

Las amenazas más importantes para las pequeñas empresas van desde la suplantación de identidad (phishing), el software de rescate y los ataques de ingeniería social hasta las filtraciones de dispositivos IoT (Internet de las cosas) conectados. En 2017, los ataques de software y hardware representaron casi el 70% de las brechas de datos en todo el mundo:

  • El 62% implicó pirateo
  • más del 50% implicó malware

Avast fue responsable de bloquear más de 122 millones de ataques de WannaCry en 2017. Junto con los ataques de Petya y Bad Rabbit, el costo conjunto para los consumidores y las empresas ascendió a más de 5.000 millones de dólares.

El estudio de Ponemon Institute de 2017 registró una pérdida promedio de 3,6 millones de dólares en todo el mundo, y de 7,35 millones de dólares sólo en los Estados Unidos. Sin embargo, los ataques no sólo amenazan los ingresos, sino que también causan perturbaciones al tener un impacto masivo en la productividad: se pierden muchas horas de trabajo tratando de resolver los problemas. Y todo esto antes de considerar el daño a la reputación de un negocio.

La buena noticia es que proteger su red de ciberataques tan costosos no tiene por qué ser caro. Además, como la mayoría de los ciberataques tienden a explotar vulnerabilidades básicas en los sistemas, son fáciles de prevenir con software antivirus, actualización de parches y capacitación del personal.

Una política de protección cibernética significa que su personal estará mejor informado y podrá tomar las medidas adecuadas para prevenir ataques.

Seguridad en los endpoints: puestos, servidores...

Los ordenadores que se utilizan en su empresa también se conocen como "endpoints", y cada uno de ellos supone una amenaza para la seguridad de toda su red si no están debidamente protegidos: son una puerta abierta a los hackers y al código malicioso. Como tal, la seguridad de los endpoints es uno de los mejores puntos de partida a la hora de proteger su red, especialmente con el aumento del trabajo flexible, lo que significa que más empleados pueden acceder a los sistemas de forma remota desde casa o desde redes Wi-Fi abiertas. Es esencial que todos los endpoints sean seguros porque la red es tan fuerte como el enlace más débil.

La seguridad de los endpoints ofrece una red de seguridad para detener los ataques en su punto de entrada. Si consiguen poner un pie en la puerta, el software antivirus se asegurará de que otros equipos de la red no estén infectados.

Los equipos de TI valoran la detección avanzada de amenazas que estas soluciones de seguridad proporcionan, mientras que el sistema centralizado reduce simultáneamente la complejidad de proteger el negocio.

Qué incluir en tu política para endpoints

La empresa debe contar con una protección de endpoints actualizada que incluya:

  • Detección de malware: análisis automático de archivos y correo electrónico para garantizar que las amenazas potenciales nunca entren en la red empresarial.
  • Protección multicapa: no se basa en un único método de protección, sino en muchos otros como, por ejemplo, cortafuegos, cifrado, autenticación de estaciones de trabajo, filtros de spam, etc.
  • Notificaciones en tiempo real - es esencial que cualquier amenaza sea marcada tan pronto como sea detectada para que usted pueda tomar acción.
  • Administración remota de dispositivos: la capacidad de agregar un dispositivo a la red de forma segura sin necesidad de desplazarse por la oficina para iniciar sesión en el nuevo equipo.
  • Informes sencillos: análisis directo que no requiere que un experto en TI los descifre.

Trae tu propio dispositivo

El aumento de las amenazas móviles sigue a una fuerza laboral cada vez más móvil. Como tal, la necesidad de una política de seguridad global es primordial.

Algunas empresas facilitan dispositivos móviles, mientras que otras permiten que los empleados traigan sus propios dispositivos (BYOD). Aunque esto último es más barato para las empresas, significa que las PYMES tienen menos control sobre el dispositivo: qué software y aplicaciones se descargan, qué información se comparte y qué Wi-Fi potencialmente inseguro se utiliza.

Todo esto puede poner en riesgo su negocio. Por ejemplo, si un empleado envía un correo electrónico con datos confidenciales desde su teléfono y utiliza una conexión Wi-Fi no segura, esos datos pueden ser vistos o robados si hay ciberdelincuentes que desean interceptar comunicaciones no seguras. Si descargan una aplicación insegura o hacen clic en un enlace malicioso, es posible que esté dando a estos delincuentes cibernéticos acceso a todo lo que el empleado tiene acceso, incluida la posibilidad de que los datos corporativos se transmitan e incluso se almacenen en el dispositivo personal de un individuo.

Los problemas potenciales van desde la pérdida de datos a través de una fuga o pérdida del propio dispositivo, hasta el daño que los dispositivos comprometidos causan cuando se introducen en un sistema centralizado. Cuando los miembros del personal traen sus propios dispositivos móviles, a su vez están introduciendo puntos de ataque que pueden dar lugar a problemas de seguridad.

Esto no significa que, de repente, tenga que desembolsar costosos dispositivos suministrados por la empresa para todos sus empleados. Pero hay algunas pautas básicas de BYOD que usted y su personal deben seguir.

Qué incluir en tu política para BYOD.

Todos los dispositivos deben tener autenticación de acceso:

  • Las contraseñas deben ser complejas - ¡indescifrable! La mejor manera de asegurar que su personal se adhiera a esto es proporcionar o recomendar un administrador de contraseñas que genere contraseñas seguras y las almacene. Esto es preferible a que el personal escriba contraseñas en notas post-it, que pueden perderse o robarse fácilmente.
  • Siempre que sea posible, el personal debe utilizar la autenticación de dos factores para acceder a sus dispositivos. (Por ejemplo, utilizando los datos de inicio de sesión en un escritorio y confirmando quién eres a través de una aplicación en tu teléfono).

Sólo deben conectarse a la red los dispositivos utilizados con fines de trabajo. Puede considerar la posibilidad de configurar una red de 'invitados' independiente para asegurarse de que ningún dispositivo que se utilice por motivos personales amenace la red de la empresa. Si esto no es posible, pídale al personal que usa la red que cambie a datos antes de usar su dispositivo por razones personales.

Formación del personal

Una medida preventiva vital para proteger su empresa de las filtraciones de datos y los ciberataques es asegurarse de que su equipo completa la formación en ciberseguridad. Al comprender los tipos de ataques, como el phishing, el malware y el ransomware, estarán mejor equipados para detectar cualquier actividad sospechosa y denunciarla inmediatamente.

La formación de sus empleados para que detecten un correo electrónico, enlace o archivo adjunto malicioso, por ejemplo, es crucial para evitar filtraciones de datos causadas por errores humanos o por personas que caen en trampas de ciberdelincuentes y ponen en peligro a la empresa. Alentar a los empleados a mantener sus aplicaciones y programas actualizados reforzará aún más sus defensas a medida que los nuevos parches mejoren continuamente la seguridad del software y aborden las debilidades.

Qué incluir en tu política de formación de empleados.

La concienciación sobre la ciberseguridad debería formar parte del proceso de iniciación del nuevo personal. Idealmente, esto debería cubrir:

  • Lo que está más en riesgo. Normalmente se trata de dinero o acceso a fondos, cualquier cosa que incluya identificadores personales (base de datos de clientes o personal), información de pago, propiedad intelectual y cualquier cosa que pueda comprometer la reputación de la marca.
  • Quién puede acceder a qué. Si un empleado necesita acceder a una cierta base de datos o información sensible, debe solicitarlo a un miembro del personal superior. Si ya no requieren acceso, deben asegurarse de que se revoque su acceso. Cuanto menos personal acceda a la información en riesgo, más segura será la información.
  • Qué hay que tener en cuenta. Los dispositivos lentos, las dificultades para iniciar sesión, los problemas de conectividad a Internet y los redireccionamientos de sitios web pueden ser signos de un posible ciberataque o violación de datos. Los empleados también deben estar atentos a la hora de abrir mensajes de correo electrónico: eliminarlos de las cuentas de aspecto sospechoso y sólo hacer clic en los vínculos o abrir archivos adjuntos de personas que conozcan. Y reportar estos artículos a su persona de TI.

Seguridad en la nube.

Muchas pequeñas empresas trabajan en la nube, almacenando sus datos a través de servicios de Internet en lugar de hacerlo en un dispositivo o servidor de la oficina. Google Drive, por ejemplo, puede ser una perspectiva mucho más atractiva para una PYME con problemas de liquidez que pagar por un costoso sistema de gestión. Sin embargo, poder acceder a los archivos de su empresa desde cualquier lugar y en cualquier momento conlleva riesgos.

La seguridad en la nube añade una capa adicional de protección a medida que se filtra el tráfico antes de que llegue al servidor central. Enrutar el tráfico a través de la nube permite que sea monitoreado, verificando si hay amenazas fuera de su sistema, lo que le permite a su software antivirus decidir si el tráfico es confiable o no, antes de que tenga acceso a sus sistemas y red. Esto significa que el tráfico malicioso puede bloquearse para que no llegue a su(s) servidor(es) y se ejecuta desde una consola de gestión centralizada.

A pesar de que la seguridad en la nube puede detectar y resolver problemas, existen procesos que deberían existir para garantizar la protección de su negocio. Se plantean problemas de accesibilidad cuando el acceso a la red se concede con demasiada libertad. Un buen ejemplo de esto es cuando los miembros del personal dejan la compañía, pero mantienen el acceso a los sistemas de la empresa. Tomar precauciones como actualizar regularmente contraseñas seguras y limitar el número de personas que tienen acceso a datos confidenciales puede aumentar drásticamente la seguridad.

Qué incluir en tu política para la nube.

Mantenga un registro de qué acceso se concede a qué personal. Cuando un miembro del personal se vaya, revise esta base de datos, revocando el acceso cuando sea necesario, incluso si usted está desactivando su cuenta de correo electrónico del personal. Para mayor seguridad, haga que sea una práctica estándar actualizar todas las contraseñas después de que cualquier miembro del personal se vaya.

Conformidad de los datos.

Dependiendo de dónde opere su empresa y en qué sector, habrá planes de cumplimiento respaldados por el gobierno que deberá seguir. Por ejemplo, en los EE.UU., las compañías de seguro médico y de atención de salud deben adherirse a la HIPAA, la Ley de Portabilidad y Responsabilidad del Seguro Médico. En Europa, la información debe ahora almacenarse y accederse de acuerdo con el Reglamento General de Protección de Datos (RGPD).

La suposición es que la conformidad de los datos trata de proteger la información personal, asegurando a sus clientes que sus datos se guardan de forma segura y no se comparten sin su consentimiento. Sin embargo, más que esto, la conformidad de los datos es una oportunidad para que usted proteja su negocio de los ataques cibernéticos, ya que el acceso a los datos seguros es más difícil para los ciberdelincuentes.

Qué incluir en tu política para la conformidad de los datos.

Enumere cualquier normativa de cumplimiento de datos relevante que su empresa deba seguir y asegúrese de que el personal tiene acceso a los documentos relevantes.

Puede haber mucha legislación que descifrar, así que considere la posibilidad de nombrar a una persona dentro de la organización como referencia para el cumplimiento de los datos. Esta persona debe tener formación adicional y ser conocida por todo el personal como el empleado de contacto para cuestiones de protección de datos.

Realizar auditorías internas. Esto no tiene por qué ser una tarea ardua o intimidante. Es simplemente una manera de mantener a todos en su pequeña empresa pensando en la seguridad de los datos.

Conclusión.

Con más de 4.000 ataques cibernéticos al día, nunca ha sido más importante mantener sus datos, clientes y empleados a salvo con un sistema de seguridad que protege eficazmente su negocio. Pero como se ha demostrado en este artículo, la protección de endpoints no es suficiente por sí sola: la formación del personal y las mejores prácticas de gestión de datos deben formar parte de la combinación. Al utilizar nuestra guía como la base de su póliza, usted puede tener un buen comienzo para asegurar la reputación y el éxito financiero de su pequeña empresa.

Descargue su plantilla de política de ciberseguridad gratuita haciendo clic aquí.