Las pequeñas empresas generalmente no priorizan la ciberseguridad, pensando que los piratas informáticos solo se dirigen a empresas grandes y establecidas. Es por esta noción errónea de que la mayoría de las pequeñas y medianas empresas (PYME) están generalmente desprotegidas. La renuencia a invertir fondos de inicio en protección cibernética y privacidad de datos también conduce a una laxitud en los protocolos de seguridad. Los hackers lo saben y aprovechan esta vulnerabilidad para inyectar malware y robar datos en sistemas desprotegidos utilizados por pequeñas empresas. Tiene que parar. Si amas tu negocio, lo primero que debes hacer es protegerlo en todos los frentes, y eso incluye digitalmente.
Las pequeñas empresas suelen utilizar una cantidad moderada de datos con una seguridad mínima. Los hackers pueden usar la información robada para robar dinero, detalles de empleados, datos de clientes, información de proveedores e incluso detalles confidenciales de los clientes. No hay nada que pueda dañar tu reputación tan rápido como este último. Las violaciones de datos han costado millones perdidos en compañías de todo el mundo, grandes y pequeñas por igual.
Un informe reciente de Ponemon mostró que solo el 30% de las pequeñas empresas están preparadas para ataques cibernéticos y violaciones de datos. Es la falta de personal (77%), la falta de presupuesto (55%) y la falta de conocimientos (45%) lo que mantiene vulnerable al resto de las pequeñas empresas.
Para 2020, el costo promedio de una violación de seguridad de datos habría terminado $ 150 millones para un negocio importante Cuanto mayor sea el nivel de digitalización o conectividad, mayor será el costo para asegurarlo y protegerlo.
Para garantizar una protección adecuada, debe hacer de la seguridad cibernética de su pequeña empresa su principal prioridad para evitar cualquier pérdida. Es imprescindible cuando construye la ciberseguridad de su pequeña empresa. Estos son algunos consejos sobre cómo mejorar la seguridad cibernética de su pequeña empresa:
Asegure sus redes wifi
Conectarse a una red no segura permite a los piratas informáticos robar su información. Solo use redes Wi-Fi seguras y encriptadas para evitar que se transmita el Identificador de conjunto de servicios (SSID). Puede configurar el Wi-Fi de una manera que evite que los empleados conozcan la contraseña. También puede configurar una red separada para invitados si desea abrir Wi-Fi para que lo usen los clientes. Los invitados no deben tener el mismo acceso a Wi-Fi que los empleados para evitar que personas no deseadas se unan a la red Wi-Fi privada de su empresa.
Fortalezca su encriptación Wi-Fi para mantener a los intrusos fuera de su sistema. Los tipos de sistemas de protección Wi-Fi utilizados con frecuencia son los siguientes:
- WEP o Wired Equivalent Privac y es un protocolo de seguridad en el estándar IEEE Wireless Fidelity o Wi-Fi, 802.11b. Proporciona WLAN (Red de área local inalámbrica) con el mismo nivel de seguridad y privacidad que una LAN con cable.
- WPA o Wi-Fi Protected Access es un protocolo de seguridad como WEP pero mejor en términos de cómo maneja las claves de seguridad y sus procedimientos de autorización de usuario para sistemas o redes. WPA utiliza el TKIP (Protocolo de integridad de clave temporal) que modifica rutinariamente los sistemas críticos, lo que evita que los atacantes creen claves de cifrado duplicadas para piratear su sistema.
- WPA2 o Wi-Fi Protected Access 2 es un método de seguridad agregado además del WPA que aumenta la protección de datos y el acceso a la red. Basado en el estándar IEEE 802.11i, WPA2 proporciona seguridad estándar del gobierno. Solo los usuarios autorizados pueden acceder a las redes inalámbricas. Viene como WPA2-Personal o WPA2-Enterprise.
- Algunas empresas utilizan enrutadores Wi-Fi que tienen WPS (Wireless Protect SetupS) y dispositivos de enlace a través de WPA (Acceso protegido Wi-Fi). Se necesita un servidor RADIUS para usar WPA en modo empresarial o corporativo porque se requiere almacenamiento físico para toda la información de inicio de sesión.
Cree una política de contraseña y cámbiela a menudo
Una contraseña segura debe contener letras minúsculas, mayúsculas, un carácter único y un número, y debe tener un mínimo de 20 dígitos para ser considerada realmente segura. Puede usar aplicaciones generadoras de contraseñas para producir contraseñas únicas y fuertes que se cambian de manera rutinaria, por lo que incluso si un empleado filtra la contraseña a personas no autorizadas. Minimizará los riesgos porque cambia regularmente las contraseñas.
Mejor aún, limite el acceso con contraseña al personal o equipo de TI de su empresa. Permítales ingresar las contraseñas directamente en los dispositivos autorizados para su uso en su negocio, en lugar de entregar las contraseñas al personal. Evite dar acceso Wi-Fi a los dispositivos personales de los empleados. Puede parecer egoísta para aquellos que desean acceso gratuito a Wi-Fi, pero hay un par de buenas razones para hacerlo.
En primer lugar, si los empleados usan sus dispositivos personales para trabajar e iniciar sesión en la red empresarial, eso significa que van a ser responsables ante el departamento de TI, enviar sus dispositivos para su verificación y otros protocolos de seguridad. Si está en contra de la política de la compañía descargar software no original, también se aplica en sus dispositivos. Si no se permite el acceso a sitios maliciosos y no seguros, esto se produce cuando utilizan su propio dispositivo en horario de la empresa. Si el uso de Facebook y otras plataformas de redes sociales no está permitido en la red de su empresa, tampoco está permitido en sus dispositivos, incluso si son de su propiedad.
En resumen, deben renunciar a cierta autoridad sobre su dispositivo para seguir los protocolos de la compañía sobre seguridad y privacidad de datos, lo que a veces puede complicarse. Es mejor no permitir dispositivos personales en la red de la empresa o limitar este privilegio a los empleados de confianza.
En segundo lugar, un sistema BYOD (Trae tu propio dispositivo) también es una vulnerabilidad porque abres más puertas de enlace de las necesarias para que los hackers puedan acceder. Los piratas informáticos se están volviendo cada vez más ingeniosos, y solo se necesita una instancia descuidada con un empleado desprevenido para abrir las puertas a los ataques cibernéticos.
Estos pasos adicionales pueden ser engorrosos, pero seguro hacen que su protección de seguridad sea más robusta. Enseñe a los miembros de su personal también a emplear las mejores prácticas en sus propios dispositivos. Desarrolle una cultura de seguridad cibernética en su empresa que también pueda influir en los demás. La seguridad cibernética es una prioridad y mantener sus datos seguros es importante.
Limitar el acceso a datos
Las personas no autorizadas, incluso las de confianza, no deberían tener acceso a las computadoras y cuentas de la empresa. Debe incluir esto en sus protocolos de seguridad, tenerlo en blanco y negro, para que su equipo de TI no tenga dificultades para implementar medidas "estrictas". El monitoreo de las interacciones cibernéticas de cada empleado puede ser agotador y llevar mucho tiempo. Debe establecer políticas sobre cómo los empleados deben proteger la información identificable y otros datos confidenciales, para evitar el problema de verificar continuamente las interacciones cibernéticas realizadas a través de la red de la empresa.
El acceso a los datos debe clasificarse y cuantificarse, según el empleado y el alcance de su responsabilidad. Agregue capas de seguridad, como requerir nuevas contraseñas, cifrado, preguntas de seguridad y similares. Es mejor dar a cada empleado su inicio de sesión para que el equipo de TI pueda monitorear el uso de la red y el punto de acceso de los piratas informáticos en caso de un ataque. Limitar los privilegios de sus empleados es realmente lo mejor para ellos porque protege mejor su negocio, lo que también los protege a ellos.
Crear copias de seguridad
Crear copias de seguridad de sus archivos e información ni siquiera debería ser una pregunta. Exija copias de seguridad de rutina de todos los miembros del equipo, facilitados por su personal de TI, como precaución si ocurren ataques o violaciones de datos. También es mejor usar el almacenamiento en la nube. De esta manera, no importa lo que pase con sus dispositivos físicos, sus datos permanecen seguros en la nube. Invierta en obtener un amplio almacenamiento en la nube para su negocio. En caso de desastre o ataque de ransomware, debe poder recuperar todos los datos críticos.
Puede que no veas esto como necesario ahora, pero lo es. Si la información es robada o se pierde y solo almacenó todo en dispositivos físicos como un servidor y similares, la recuperación de todo lo que pierde nunca está garantizada. Prevenir es mejor que curar, y hacer todo lo posible en términos de software de seguridad y privacidad de datos es una inversión digna. No espere a que ocurra un ataque antes de garantizar una protección rígida para su negocio, algo que, lamentablemente, algunas empresas hacen.
También puede usar la estrategia del enfoque 3-2-1, que se traduce en tres copias de la copia de seguridad, en dos medios diferentes, y una copia almacenada de forma segura fuera del sitio o en la nube.
Protección antivirus y antimalware
Debe tener un software de seguridad profesional y actual en todos los sistemas y redes. Todas las aplicaciones y software deben actualizarse periódicamente. Instale los últimos sistemas operativos (SO) y software en todos sus dispositivos. El software y el sistema operativo actualizados tendrán las últimas correcciones de errores o parches instalados.
Los hackers continúan produciendo formas de ataque, y el software de seguridad continúa proporcionando parches y correcciones de errores. Evitar actualizaciones pone sus dispositivos y sistemas en alto riesgo. Hay muchas formas en que puede ser pirateado, pero hay formas no solo de prevenir estos ataques, sino también luchar contra los ciberataques al inicio.
Capacite a sus empleados para reconocer las amenazas comunes de ciberseguridad
Brinde capacitación periódica de concientización de seguridad a sus empleados para garantizar la seguridad de su negocio. Cree una política de ciberseguridad comprensible para todos y fácil de implementar. Debe contener las mejores prácticas de ciberseguridad que espera que los empleados sigan.
Incluso si tiene el mejor personal de soporte técnico, los empleados a veces pueden causar infracciones por error si no están capacitados adecuadamente. También debe capacitar a sus empleados para conocer los ataques cibernéticos comunes y cómo prevenirlos, como identificar ataques de phishing y spear phishing. El phishing y el spear-phishing es la forma más efectiva para que los hackers ataquen a un objetivo en particular. Los empleados habituales y sin vigilancia de una empresa son los objetivos habituales.
Utilice siempre la autenticación multifactor en cuentas comerciales
La autenticación multifactor en las cuentas comerciales debe configurarse incluso, tanto en cuentas personales como corporativas. Agrega una capa adicional de seguridad que dificulta que los ciberatacantes ingresen a sus cuentas, no a su negocio ni a sus empleados. La autenticación multifactorial puede incluir un número de teléfono, dirección de correo electrónico o una pregunta de seguridad.
Las aplicaciones de seguridad, incluso sus navegadores, le enviarán notificaciones de inicios de sesión de fuentes desconocidas. No ignore estos mensajes y, si reconoce que algo no está bien, informe a su equipo de TI de inmediato. El primer paso es cambiar todas las contraseñas de inmediato, y en caso de sospecha de ataques maliciosos, el equipo de TI debe ponerse a trabajar de inmediato para escanear y proteger el sistema.
Conclusión
La ciberseguridad es vital para cualquier pequeña empresa, incluso cuando no existe necesariamente el presupuesto para respaldar una iniciativa de TI significativa.
Introducir e implementar un programa completo de ciberseguridad lleva más de una hora. No estará completamente a salvo de los ataques haciendo algunos cambios rápidos, pero puede avanzar drásticamente en 60 minutos o menos.
No importa cuán grande o pequeño sea, la naturaleza de su negocio puede atraer más de lo que negocia; ¡no trabajas tan duro como lo haces para que tu negocio sea víctima de ataques cibernéticos! La ciberseguridad es más que tener un firewall o un programa antivirus. Con las precauciones adecuadas, la seguridad informática adecuada no está fuera del alcance.
Bio del autor
John Ocampos es un cantante de ópera de profesión y miembro de la Tenores filipinos. Desde que el marketing digital siempre ha sido su fuerte. Es el fundador de SEO-Guruy el Director Gerente de Hacker tecnológico. John también es gerente estratégico de SEO y marketing de influencia de Softvire Australia: el empresa líder de comercio electrónico de software en Australia y Softvire Nueva Zelanda.