Ciberseguridad: 7 estrategias para proteger los datos de tu pyme o emprendimiento

El avance de la tecnología nos obliga a estar más atentos que nunca. Qué medidas tomar con las contraseñas y el acceso a la información.

Las empresas más pequeñas manejan datos personales de clientes o proveedores que son de interés para un cibercriminal

Es posible que muchas pymes y emprendimientos todavía no hayan tenido problemas con los ciberataques, pese a no contar con la adecuada protección, ni con un departamento informático capaz accionar y adoptar las medidas necesarias.

Sin embargo, que todavía no haya sucedido no significa que un día no pueda ocurrir; por ejemplo, si ven que la web de la empresa empieza a tener éxito en tráfico, a alguien puede interesarle controlarla.

Los riesgos resultantes del crimen cibernético, como el robo de información personal que luego se vende en el mercado negro, son difíciles de manejar. Incluso las empresas más pequeñas manejan datos personales de clientes o proveedores que pueden ser de interés para un cibercriminal.Es importante definir quién tiene acceso a qué datos dentro de la organización y qué están autorizados a hacer con ellos. Foto: Archivo

Es importante definir quién tiene acceso a qué datos dentro de la organización y qué están autorizados a hacer con ellos. Foto: Archivo

«Esto implica que, por más que una empresa sea pequeña, debe adoptar un enfoque sistemático para proteger los datos que se le confían”, comentó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

En ese sentido, alertó que por lo que se viene registrando en el último tiempo, «la ola de delitos informáticos no va a parar en el futuro cercano, de modo que se debe hacer un esfuerzo continuo de buena fe para proteger los datos y los sistemas, que son el alma de las pequeñas empresas de hoy».

7 estrategias para proteger a las pymes de ciberataques

1. Analizar activos, riesgos y recursos: realizar una lista con todos los sistemas y servicios informáticos que se utilizan. Asegurarse de incluir los dispositivos móviles que pueden llegar a usar para acceder a información corporativa o de los clientes. Luego, analizar los riesgos relacionados con cada elemento y los recursos disponibles para resolver los problemas de seguridad IT.

2. Crear políticas: se debe informar al equipo que se tomará en serio la seguridad informática y que la empresa se compromete a proteger la privacidad y la seguridad de todos los datos que maneja. Además, habrá que detallar las políticas que desea aplicar, por ejemplo, que no se permite el acceso no autorizado a los sistemas y datos corporativos, y que los colaboradores no deben desactivar la configuración de seguridad en sus dispositivos móviles.

También habrá que definir quién tiene acceso a qué datos dentro de la organización, con qué fin y qué están autorizados a hacer con ellos. Además es importante contar con políticas para el acceso remoto, el uso de dispositivos propios para trabajar y el software autorizado.Además de conocer las políticas y procedimientos de seguridad de la empresa, el equipo debe entender por qué son necesarias. Foto: Archivo

Además de conocer las políticas y procedimientos de seguridad de la empresa, el equipo debe entender por qué son necesarias. Foto: Archivo

3. Elegir controles: utilizar controles para hacer cumplir las políticas. Por ejemplo, si se desea aplicar una política para impedir el acceso no autorizado a los sistemas y datos corporativos, se puede optar por controlar todo el acceso a los sistemas de la empresa mediante la solicitud de un nombre de usuario y contraseña, y un segundo factor de autenticación (2FA).

Para controlar qué programas tienen permiso de ejecutarse en los equipos de la empresa, se puede decidir no dar a todos los derechos de administrador.

Para evitar las filtraciones causadas por dispositivos móviles perdidos o robados, podría exigirse a los empleados que informen sobre estos incidentes en el mismo día, y bloquear el dispositivo afectado para borrar su contenido de inmediato en forma remota.

Se deberían utilizar las siguientes tecnologías de seguridad:

  • Protección para endpoints para evitar que se descarguen códigos maliciosos en los dispositivos
  • Cifrado para proteger los datos de los dispositivos robados (también sugerido en el reglamento GDPR)
  • 2FA para requerir algo más que un nombre de usuario y una contraseña al acceder a los sistemas y datos
  • Solución VPN para una protección adicional.

4. Implementar controles: y es necesario asegurarse de que funcionan correctamente. Por ejemplo, se debería tener una política que prohíba el uso de software no autorizado en los sistemas de la empresa. Entonces, uno de los controles será el software antimalware que busca códigos maliciosos.

No solo se debe instalar y probar que no interfiera con las operaciones comerciales normales, sino que también se tienen que documentar los procedimientos que los empleados deberán seguir en caso de que el software detectemalware.Es necesario capacitar a empleados y directivos sobre seguridad informática. Foto: Shutterstock.

Es necesario capacitar a empleados y directivos sobre seguridad informática. Foto: Shutterstock.

5. Capacitar empleados, directivos y vendedores: además de conocer las políticas y procedimientos de seguridad de la empresa, el equipo debe entender por qué son necesarias. Esto implica invertir en capacitación y concientización sobre seguridad, la medida más importante y efectiva que una empresa puede implementar. Por ejemplo, al trabajar con los empleados, generar conciencia sobre temas como los correos electrónicos de phishing.

Preparar capacitaciones periódicas, hacer que la concientización sobre seguridad cibernética sea parte del proceso de incorporación de nuevos empleados y proporcionar consejos de seguridad en una página de intranet. Asegurarse de capacitar a quienes usen los sistemas, incluyendo directivos, vendedores y partners.

6. Seguir evaluando y probando: la seguridad IT es un proceso continuo, no un proyecto que se ejecuta una sola vez. Es necesario actualizar las políticas de seguridad y sus controles dependiendo de los cambios en la empresa, como las relaciones con nuevos vendedores, nuevos proyectos, incorporaciones de empleados o empleados que dejan la empresa. 

7. Hacer la denuncia, para prever nuevos ciberataques: cualquier eventualidad que comprometa los sistemas tecnológicos de la empresa es un incidente que interfiere en la actividad normal del negocio. Por ello hay que dejar claro qué hacer y qué no hacer en el caso de que ocurra y si hay duda, disponer de un agente externo que ayude a la pyme a resolver adecuadamente la situación.

En tanto, ​todo ataque informático hay que denunciarlo. Es necesario reunir todo tipo de datos posibles sobre el atacante.

Fuente: CLARIN