El hack de SolarWinds que afectó tanto a las agencias gubernamentales como a las empresas privadas es asombrosamente extenso, pero como propietario de un negocio, debería pensarlo dos veces antes de que se hiciera tan grande. El conocimiento ya adquirido de este evento debería resultar instructivo y ayudar a prevenir ideas futuras.
Como pequeña empresa con recursos limitados, es probable que busque estándares en su industria o líderes de mercado para encontrar las mejores prácticas, incluida la elección de tecnologías que ayudarán a mantener su negocio seguro. Al comprar soHeaven32ware para proteger su pequeña empresa, es posible que se sienta impresionado con una lista de clientes que incluye empresas grandes, conocidas y exitosas. Y quien podria culparte Las grandes empresas tienen departamentos completos configurados para evaluar un producto o servicio. Así es como SolarWinds, grandes y pequeñas empresas, se involucraron en el reciente ataque, que se considera posiblemente el ciberataque más importante de la historia moderna.
Puede pensar que ninguno de estos se aplica a usted, pero estaría equivocado. En nuestro mundo digital cada vez más interdependiente, los piratas informáticos a menudo no pierden el tiempo rompiendo una empresa global fortificada cuando hay vulnerabilidades fácilmente pirateadas en su cadena de suministro. Y eso puede suceder en cualquier lugar, ya sea Target, que ha sido violado por su proveedor de HVAC, una compañía petrolera o por malware tomado del menú de un restaurante chino descargado por su departamento de TI para llevar por la noche, o por lesionó a un proveedor de soHeaven32ware de TI como SolarWinds con el fin de obtener acceso a la infraestructura digital y el funcionamiento de nuestra nación, todos ejemplos de la práctica.
Si las empresas grandes y sofisticadas con grandes presupuestos y grandes departamentos de TI están luchando por mantener seguras sus operaciones globales, ¿cómo pueden las pequeñas empresas mantener sus operaciones seguras? Aquí hay cuatro cosas que puede hacer:
1. Evaluar y actuar.
Priorice sus activos y determine cómo puede proteger sus datos. No puede proteger todos los activos por igual. Cuando los prioriza, sabe dónde invertir los recursos. Además, debes saber qué funciones son económicamente viables y por motivos de seguridad, qué se debe almacenar o construir internamente y qué funciones se deben subcontratar. Un paso común en la seguridad de las pequeñas empresas suele ser mover el almacenamiento de datos a la nube. Al decidir qué subcontratar, es importante t ener en cuenta que subcontratar una función no subcontrata su responsabilidad.
2. Maneje su riesgo.
Debe tener una lista de requisitos basada en su propio perfil de gestión de riesgos y seguridad que necesita de todos sus proveedores y terceros. Por ejemplo, debe preguntar cómo protege sus datos y qué protocolo sigue para protegerlos. Tu Datos. La idea básica de la ciberseguridad es la gestión de riesgos. Como pequeña empresa, debe determinar qué riesgos puede y qué no puede tolerar.
3. Centrarse en los empleados.
Con recursos limitados, las pequeñas empresas deben centrarse en los recursos que tienen, especialmente los empleados. La base de una buena ciberseguridad es el comportamiento humano, no solo la tecnología. Las personas, tus empleados, pueden ser tu mayor vulnerabilidad o pueden ser un multiplicador de fuerzas para la seguridad de tu empresa. Una fuerza laboral capacitada, capacitada e informada puede ser un activo fuerte y resistente en cualquier empresa. Primero, informe a cada empleado sobre su responsabilidad y responsabilidad por la seguridad en su empresa. En particular, capacite a sus empleados en autenticación sólida. La autenticación sólida utiliza una frase de contraseña de al menos 15 caracteres para iniciar sesión en su red y asegurarse de que utiliza diferentes frases de contraseña para uso personal y comercial. Casi todas las infracciones cibernéticas importantes se producen a través de una contraseña comprometida. Uno de los puntos de acceso a SolarWinds tenía la contraseña Vientos solares 123– increíblemente simple y extremadamente fácil de piratear. Además de las contraseñas seguras, asegúrese de que sus empleados utilicen la autenticación multifactor siempre que sea posible.
4. Guarde sus datos.
Durante la pandemia, vimos un aumento espectacular del ransomware. El ransomware retiene sus datos críticos como rehenes a cambio de un rescate. Una vez que el ransomware ha entrado en su sistema, puede ser extremadamente difícil remediarlo rápida y eficazmente. Pagar un rescate puede ser costoso y no se le garantiza que recupere sus datos si paga. El primer paso que debe tomar para evitar el ransomware es garantizar una autenticación sólida en todas sus redes para que los piratas no puedan acceder. El segundo paso importante que cualquier empresa, grande o pequeña, debe tomar para prevenir el ransomware es mantener sus datos críticos seguros en una red separada. Luego, pruebe esta copia de seguridad con regularidad para que sepa que está actualizada y que funciona.
Ninguno de estos pasos es una solución milagrosa para combatir las amenazas cibernéticas. Juntos, sin embargo, mejoran su ciberseguridad, fortalecen su negocio a través de la resiliencia y dificultan el acceso de posibles piratas informáticos a sus redes. Siempre que invertimos significativamente en recursos o empleados, nos orientamos en estándares y recomendaciones. Sin embargo, debemos usar estas referencias y estándares como pautas y no como guiones de acción. Recuerde, usted es responsable de la seguridad de su organización. Se le hará responsable de todas las decisiones que tome. Después del ataque de SolarWinds, todas las empresas deben evaluar sus prioridades y su apetito por la gestión de riesgos y tomar medidas fundamentales para establecer una base y una cultura de seguridad para su empresa, grande o pequeña.