Si bien la mayoría de las estaciones de noticias informan solo sobre los ataques y violaciones de datos de grandes organizaciones, su pequeña empresa corre el mismo riesgo, si no más.
En 2017, el 61 por ciento de las pequeñas y medianas empresas experimentaron al menos un ataque y el 54 por ciento experimentaron una violación de datos, según un informe de Keeper Security .
Su empresa puede ser pequeña, pero eso es lo que la hace más vulnerable. Para un atacante, eso significa que es menos probable que tenga una estrategia de seguridad sólida en su lugar, y menos probable que tenga un equipo de seguridad cibernética que monitoree sus activos digitales.
Solo porque su negocio sea pequeño no significa que tenga que aceptar esta posible amenaza a la seguridad. Es importante estar protegido y conocer las vulnerabilidades.
1. Identificar activos vulnerables
Solo el 37 por ciento de las pequeñas empresas se sienten muy confiadas sobre la seguridad de su almacenamiento de activos digitales. En una cultura tan remota y colaborativa, los activos deben estar fácilmente disponibles para una gran cantidad de empleados, si no la mayoría o la totalidad de ellos. Esto hace que mantenerlos sea un desafío seguro.
La buena noticia es que no todos los activos deben ser motivo de preocupación. Un viejo comunicado de prensa o fotos de productos recientes probablemente no sean un objetivo para hackear o violar.
Sin embargo, los siguientes activos son vulnerables a los ataques y deben protegerse como tales, según Leonardo Cooper , CEO de VaultOne:
Registrador de nombres de dominio: es posible que ni siquiera considere su nombre de dominio como un activo, pero lo es, y es uno de los más vulnerables. «La administración debe poner acceso a las credenciales del nombre de dominio en una bóveda o lugar seguro, y nunca discutir contraseñas o nombres de usuario por correo electrónico con colegas. El acceso debe limitarse a unos pocos miembros selectos del equipo cuya función establece que necesitan acceso al DNS, y las contraseñas deben cambiarse frecuentemente siguiendo las reglas básicas de seguridad de contraseñas «, sugiere Cooper.
Sistemas de respaldo: el almacenamiento en la nube es extremadamente vulnerable, y algunas de las corporaciones más grandes del mundo experimentan infracciones a los datos almacenados aquí. Su mejor método de protección para esto es doble: haga un hábito regular de respaldar todos los activos en la nube en un disco duro externo y cree un plan de emergencia, en caso de que ocurra lo peor.
Servicios de pago de terceros: si bien puede parecer más seguro utilizar un procesador de pagos de terceros, es difícil estar seguros de cuáles son realmente sus prácticas de seguridad. No permita que sus datos, o los de sus clientes, caigan en manos equivocadas mediante el uso de una técnica simple: autenticación de dos factores (2FA). Esto agrega una capa adicional de seguridad al requerir otra contraseña, un código específico o el uso de una aplicación como Google Authenticator, lo que dificulta la piratería.
2. Refuerce su defensa cibernética
Existen muchas formas de garantizar una defensa sólida para proteger su empresa en caso de un ataque. Aquí hay dos formas simples de reforzar sus medidas de seguridad actuales.
Responsabilidad Cibernética: Asegura su negocio para evitar problemas legales costosos con empleados o clientes, pero ¿tiene seguro también para ciberdelincuencia? Actualice su plan de seguro actual para proteger sus activos digitales:
«Algunas políticas generales de propietarios de empresas incluirán disposiciones específicas que protegen a una empresa en el caso de un ciberataque. Dependiendo de su política específica y su negocio, es posible que necesite un seguro de errores y omisiones, que proteja a su empresa de las responsabilidades derivadas de errores cometidos por usted o sus empleados, o incluso políticas de ciberseguridad específicas «, explica la guía Responsabilidad cibernética: cómo proteger Su negocio
Es probable que esta protección adicional se incluya con su política actual, lo que facilita la actualización rápida.
Mejor protección: si no tiene un equipo de seguridad, su siguiente mejor opción es trabajar con un proveedor de servicios que pueda monitorear su dominio y activos en busca de brechas o vulnerabilidades. Elegir un proveedor de servicios puede ser confuso. Steve Bassi, CEO de PolySwarm , comparte algunas sugerencias para examinar productos y equipos:
«Las empresas no deberían mirar ninguna herramienta, sino cómo el proveedor de servicios las protege con defensa y respuesta en profundidad. Dicho de otra manera, ¿cómo planifica el proveedor de servicios colocar las defensas y manejarlas con personal técnico experimentado?
No se olvide de hacer las preguntas correctas, haciendo referencia a detalles como el monitoreo automatizado y la detección de amenazas. Bassi continúa: «Un buen proveedor aquí proporcionará herramientas que automatizan la detección de atacantes en las máquinas de los empleados y en los servidores. Buenos ejemplos de esto son herramientas como Carbon black, que hace algo muy simple: si ve una aplicación ejecutada que nunca se había visto antes en la empresa, la informa. Esa es una capa de defensa, pero un buen proveedor de servicios debería analizar todas las aplicaciones extranjeras y ver si se ven maliciosas «.
3. Aborde su mayor amenaza: empleados
Su mayor amenaza de ciberseguridad no son los atacantes externos, sino las personas que trabajan para usted o sus ex empleados. Si bien en algunos casos su intención no es dañar a la empresa, los empleados tienen acceso a una amplia gama de activos que pueden ser violados o atacados debido a la falta de contraseñas seguras o a una mala administración compartida y de seguridad. En muchos casos, incluso los ex empleados aún pueden tener acceso a estos activos.
De hecho, el Informe Anual Global de Fraude y Riesgo 2017/18 de Kroll encontró que el 71 por ciento de las empresas que informaron un incidente de seguridad citaron a los iniciados como autores. Más importante aún, descubrieron que el 39 por ciento de esos perpetradores eran empleados menores y el 37 por ciento eran ex empleados.
Hay dos formas de combatir esto en su empresa:
Cree una cultura de seguridad, donde todos los empleados estén facultados para estar seguros en sus interacciones, y se cumplan requisitos como 2FA para todos los inicios de sesión de los empleados.
Siga un procedimiento específico cuando los empleados son despedidos o renuncien. Incluso cuando se marcha en buenos términos, sus activos son vulnerables si ese empleado aún puede acceder a ellos.
En general, es sensato crear una cultura de seguridad dentro de su pequeña empresa, que aliente a los empleados a apropiarse de su seguridad y la del negocio. TechBeacon comparte seis excelentes consejos para que esto suceda con su equipo:
- Recuerde a los empleados: la seguridad le pertenece a todos.
- Centrarse en la concientización.
- Crear un ciclo de vida de desarrollo seguro.
- Recompense a los empleados que hacen lo correcto por seguridad.
- Crea una comunidad de seguridad.
- Haga que la seguridad sea divertida e interesante.
Ponte serio acerca de la seguridad de activos digitales
La ciberseguridad no es una broma para las pequeñas empresas. Con tantos activos digitales creados, usados y compartidos, esta es una vulnerabilidad importante de abordar. Afortunadamente, hay varias formas de proteger su empresa contra incumplimientos o ataques, lo que incluye trabajar con un asesor de seguridad, crear una cultura de seguridad e identificar y proteger los activos que son más vulnerables.
Obtenga más información sobre cómo proteger su sitio web para pequeñas empresas con nuestra Lista de verificación de seguridad del sitio web gratuita.