11 consejos de ciberseguridad para pequeñas empresas

23 de Marzo de 2020

Aunque son las brechas de datos a gran escala las que ocupan los titulares, las pequeñas empresas también son vulnerables a los ataques. Los ciberdelincuentes que se dirigen a estas pequeñas empresas buscan números de tarjetas de crédito, números de seguridad social y cualquier otra información de identificación personal que pueda venderse en la Dark Web con fines de lucro. Para hacer las cosas más difíciles, las pequeñas empresas tienen menos recursos para comprometerse con la seguridad de los datos y la red que las organizaciones empresariales, pero con algunos niveles básicos de seguridad y seguridad cibernética, las pequeñas empresas pueden reducir significativamente su riesgo de ataque.  

Como siempre, es importante leer sobre las tendencias de seguridad cibernética , pero no omita lo básico. Aquí, hemos reunido una lista de las 11 cosas principales que una pequeña empresa puede hacer hoy para reducir su riesgo cibernético. 

Con el tiempo, "Contraseña" se ha convertido en un nombre inapropiado. Esto realmente debería considerarse como una "frase de contraseña". En lugar de una palabra singular, construya su contraseña como una frase o frase corta, como "OneSpanprotectstheworldfr0mdigitalfraud!" es una contraseña mucho más segura y sigue siendo fácil de memorizar. 

Además, recuerde a sus empleados que esta debería ser una contraseña única que no se utiliza en ningún otro sitio. Una de las mayores vulnerabilidades en las contraseñas es la tendencia de las personas a reutilizar sus contraseñas en todas las cuentas que tienen. Eso significa que si incluso una compañía en la que el usuario tiene una cuenta se viola, los recursos de la compañía ahora son vulnerables. 

Con el tiempo, "Contraseña" se ha convertido en un nombre inapropiado. Esto realmente debería considerarse como una "frase de contraseña". En lugar de una palabra singular, construya su contraseña como una frase o frase corta, como "OneSpanprotectstheworldfr0mdigitalfraud!" es una contraseña mucho más segura y sigue siendo fácil de memorizar.

  1. Aplicar cifrado de dispositivo 

    Al acceder a los recursos de la red de forma remota, además de usar seguridad de aplicaciones móviles , es muy importante utilizar una red privada virtual (VPN) mientras lo hace. Una VPN encripta los datos mientras está en tránsito desde la red al dispositivo, lo que significa que si un ciberdelincuente interceptara los datos mientras está en ruta hacia el dispositivo, solo habrá adquirido datos encriptados. Será ilegible a menos que tengan la clave de cifrado también. Además, debe garantizar canales de comunicación seguros entre el lado del cliente y el servidor. 
  2. Tenga cuidado con la información de pago y transacción 

    Como individuo o como empresa, es importante garantizar la seguridad de sus sistemas de pago antes de enviar cualquier información de tarjeta de crédito. Trabaje con sus bancos o procesadores para garantizar que se utilicen soluciones sofisticadas contra el fraude. 

  3. Mantenga máquinas limpias 

    Por limpio, nos referimos a actualizar sus navegadores web, sistemas operativos y software de seguridad. Configure su programa antivirus para escanear el sistema después de cada actualización y asegúrese de que el sistema se mantenga lo más actualizado posible. 

    Las actualizaciones periódicas lanzadas por estos desarrolladores incluyen correcciones de código para asegurar vulnerabilidades conocidas en el sistema. Estas vulnerabilidades a veces no se descubren hasta que se explotan, por lo que es importante que sus dispositivos se actualicen para cerrar estas vulnerabilidades rápidamente. 

  4. Tener un plan de acción para dispositivos móviles 

    Los dispositivos móviles han puesto a los equipos de seguridad de TI en una posición difícil. Los dispositivos móviles son esenciales en el mundo empresarial actual, pero pueden representar un riesgo de seguridad significativo. Pueden ser robados, pirateados, el usuario puede descargar aplicaciones comprometidas, etc. Para mitigar estos riesgos, establezca un plan de acción para dispositivos móviles. Estos planes incluyen el desarrollo de una lista de las soluciones y políticas de seguridad requeridas aplicadas al dispositivo antes de que el empleado pueda usarlo. 

    Luego, desarrolle un procedimiento de reporte, de modo que los usuarios puedan reportar cualquier equipo perdido o robado. Esto ayudará a su equipo de seguridad de TI a responder a los riesgos a medida que lleguen. 

    Además, considere promulgar estas políticas: 

    • No permita dispositivos con jailbreak o rooteados 

    • Garantizar el cifrado del dispositivo 

    • Solo permita que las aplicaciones se descarguen de los mercados oficiales de aplicaciones 

    • Solicite a los usuarios que firmen una Política de uso aceptable que detallará las formas en que los empleados pueden usar un dispositivo de la empresa. 

  5. Limite el acceso a los sistemas de datos 

    Aplique permisos a diferentes usuarios según sus necesidades. Por ejemplo, el CFO necesitará acceso a toda la información financiera en la red corporativa para cumplir su función en la empresa, pero la recepcionista no. Al garantizar que solo usuarios seleccionados tengan acceso a recursos seleccionados, se limita el daño potencial en caso de que un atacante cibernético secuestre una de las cuentas del usuario. Si ese usuario no puede acceder a información confidencial, tampoco lo hará el atacante. 

  6. Mantener un software antivirus fuerte 

    El software antivirus, junto con un firewall, es un componente fundamental de una estrategia de seguridad cibernética. El software antivirus escanea la base de datos interna en busca de archivos potencialmente hostiles en el sistema. Sin dicho sistema, sería muy difícil detectar una violación después de que haya ocurrido. 

  7. Proteja y realice copias de seguridad de datos confidenciales 

    Una de las formas más prominentes de ciberataques se llama ataque de ransomware. Después de que un atacante se infiltra en la red corporativa, instala un código que encripta toda la base de datos. Luego, extorsionan a la compañía para que les pague una suma de dinero a cambio de la clave para descifrar sus datos. Por lo general, estas ofertas tienen un límite de tiempo. Una vez que caducan, borran toda la base de datos. Peor aún, a veces el ataque se negará a proporcionar la clave de descifrado después de recibir el pago. 

    La mejor defensa contra este tipo de ataques es una estrategia de respaldo fuerte y confiable. Ya sea que use cinta, disco o almacenamiento de respaldo en la nube, es esencial contar con algún respaldo de sus sistemas. 

    Finalmente, asegúrese de que haya diferentes credenciales para acceder a su entorno de respaldo. Esto evitará que un ciberataque se infiltre también en la copia de seguridad. 

  8. Proporcionar autenticación multifactor 

    Autenticación multifactor requiere que un usuario complete dos o más datos de autenticación para acceder a los recursos corporativos. Estos factores de autenticación pueden tomar la forma de algo que usted sabe (como una contraseña), algo que tiene (como una contraseña de un solo uso o un dispositivo confiable) y algo que es (como una huella digital o un escaneo facial).  

    Al aprovechar la autenticación multifactor, puede mejorar significativamente la seguridad de su organización. Es posible replicar una única forma de autenticación, pero al solicitar múltiples y variadas formas, la probabilidad de fraude se reduce considerablemente. 

  9. Establecer contraseñas seguras 

    Relativamente hablando, las contraseñas son la forma menos segura de autenticación. Si las contraseñas son su único método de seguridad, le recomendamos encarecidamente que considere la autenticación de dos factores, las soluciones de autenticación de múltiples factores o usar autenticadores de hardware . Dicho esto, una contraseña bien construida seguirá siendo mucho más efectiva que una contraseña débil. Siga estas pautas cuando construya una contraseña: 

    • 10+ personajes

    • 1+ carta Uppcercase 

    • 1+ letra minúscula 

    • 1+ Número 

    • 1+ Carácter especial (!, @, #, $ Etc.) 

    Con el tiempo, "Contraseña" se ha convertido en un nombre inapropiado. Esto realmente debería considerarse como una "frase de contraseña". En lugar de una palabra singular, construya su contraseña como una frase o frase corta, como "OneSpanprotectstheworldfr0mdigitalfraud!" es una contraseña mucho más segura y sigue siendo fácil de memorizar.

    Además, recuerde a sus empleados que esta debería ser una contraseña única que no se utiliza en ningún otro sitio. Una de las mayores vulnerabilidades en las contraseñas es la tendencia de las personas a reutilizar sus contraseñas en todas las cuentas que tienen. Eso significa que si incluso una compañía en la que el usuario tiene una cuenta se viola, los recursos de la compañía ahora son vulnerables.

  10. Capacitar a los empleados en ciberseguridad 

    El eslabón más débil en un sistema de seguridad es el humano. Los ciberdelincuentes han desarrollado sofisticados esquemas de phishing y de ingeniería social para engañar a los usuarios para que renuncien a información confidencial de la cuenta que conduzca a una violación. Es importante capacitar y recordar habitualmente a los empleados que estén atentos a signos reveladores de intentos de phishing. Otros temas de capacitación en seguridad deben incluir: 

    • Crear contraseñas seguras

    • Detectar correos electrónicos de phishing 

    • Prácticas seguras de navegación 

    • Protegiendo información corporativa sensible 

    • Rechazar descargas sospechosas 

    Pero los recordatorios y el entrenamiento regular aún no son suficientes. Además, debe implementar pruebas aleatorias y no anunciadas. Envíe correos electrónicos falsos de phishing a sus empleados siguiendo los elementos tradicionales de un correo electrónico de phishing. Luego identifique a aquellos que hicieron clic en su correo electrónico falso y ofrezca cursos de capacitación. Esto lo ayudará a difundir la información de capacitación a aquellos empleados que más la necesitan.

  11. Usar firewalls de red 

    Un firewall es un grupo de programas de seguridad que evitan que los usuarios externos accedan a los datos corporativos mientras están en la red corporativa. Este es un componente fundamental de la seguridad de Internet y una herramienta imprescindible para cualquier entorno de TI. Sin embargo, el firewall no es un sistema de seguridad hasta sí mismo. Debe complementar el firewall con las otras prácticas de seguridad enumeradas aquí. 

Leer más sobre seguridad cibernética

Siempre hay algo nuevo para leer en la industria de la seguridad cibernética. La carrera armamentista en curso entre profesionales de la seguridad y ciberdelincuentes está en constante aumento. Suscríbase a la Blog de OneSpan para estar al tanto de las actualizaciones de la industria y las nuevas tendencias.