Fallos y vulnerabilidades en la protección de datos de pymes
Independientemente de si es parte de una corporación internacional o de una PYME, la protección de datos de pymes debe considerarse una parte integral no solo de TI, sino también crítica para la estrategia de gestión y todo lo demás. operaciones en marcha.
Lo primero que hay que mencionar es que un enfoque eficaz de la seguridad de la información no tiene por qué ser abrumador para las PYME ni para ninguna organización y, a la larga, ahorrará tiempo, dinero e incluso la reputación de su empresa.
Hemos elaborado una guía útil que contiene consejos de seguridad de la información para ayudar a cualquier PYME que desee comenzar o mejorar su seguridad de la información, con seis consejos de capacitación simples que puede ayudar a proteger su PYME contra un amplio espectro de ataques de seguridad de la información.
Seguridad de contraseña
Comenzando con lo básico, nuestro primer consejo de seguridad de la información se refiere a las contraseñas. La seguridad de las contraseñas es a menudo un elemento muy pasado por alto de la práctica adecuada de seguridad de la información.
Desde contraseñas de una sola palabra hasta la reutilización en varias cuentas, la seguridad de contraseñas débil e ineficaz constituye una parte importante de los compromisos de cuentas, las filtraciones de datos y los ataques a la seguridad de la información, una buena opción es implementar un sistema de seguridad como el de Panda Security.
Las contraseñas deben ser novedosas y, como mejor práctica, deben seguir el formato de cuatro palabras aleatorias. Al combinar cuatro palabras aleatorias para generar una contraseña, se genera suficiente entropía como para que cualquier posible hacker espere décadas antes de descifrar su código.
Para cuentas importantes, también se debe considerar la autenticación de dos factores, así como pensar en el posible uso de administradores de contraseñas para los miembros del personal que se ocupan de una gran cantidad de cuentas regulares. También se debe enfatizar desde el principio que estas contraseñas deben mantenerse completamente confidenciales: se sorprenderá de lo confiables que pueden ser los empleados y de la facilidad con la que las personas brindan sus datos.
Haga una copia de seguridad de sus datos
Cada PYME debe primero considerar qué información es crítica para sus operaciones continuas. Lo más probable es que, si trabaja en una PYME, tendrá una gran cantidad de información de clientes, pedidos, detalles de pago y posiblemente (dependiendo de su negocio) datos personales.
Toda esta información debe respaldarse regularmente en formatos y ubicaciones que puedan ser accesibles en caso de robo, inundación, incendio o, cada vez más, un ataque de ransomware. Los profesionales de TI ahora confían comúnmente en el almacenamiento en la nube, lo que permite que los datos se almacenen fuera de la ubicación, además de proporcionar una disponibilidad de acceso rápido.
Si está almacenando datos localmente, esta información debe mantenerse en un estado confidencial, seguro y disponible. Asimismo, en todo tratamiento de datos, los profesionales también deben tener en cuenta las clasificaciones de los datos que controlan y tratan, y cumplir con las normas específicas relativas a las distintas categorías; protegiendo no solo a los interesados, sino también a la integridad de la organización. En resumen, la copia de seguridad debe ser una parte cotidiana de sus operaciones comerciales.
Concientización sobre phishing
Los ataques de phishing son ahora un hecho innegable de la vida. Casi todas las organizaciones del mundo enfrentarán en algún momento ataques de phishing entrantes y, aunque variarán en sofisticación, existen algunas precauciones básicas que se pueden tomar para ayudar a minimizar las posibilidades de ser víctima de la estafa más común de Internet.
Ya sea que el objetivo de un correo electrónico de phishing sea dirigirlo a una página web no segura, robar credenciales de inicio de sesión, solicitar una transferencia no autorizada o introducir malware en una red, esta forma de ataque rara vez está libre de fallas y con solo unos pocos métodos simples. , los usuarios pueden protegerse a sí mismos y a sus organizaciones.
Idealmente, la capacitación del personal debería incluir la sugerencia de que los usuarios verifiquen primero la ortografía y la gramática, así como la dirección de donde proviene el correo electrónico. Los enlaces se pueden inspeccionar antes de seguirlos, ciertos tipos de archivos se pueden evitar o tratar con especial sospecha, y cualquier forma de transacción se puede verificar a través de diferentes medios de comunicación, es decir, por teléfono.
Protección de malware
Esta forma maliciosa de software puede presentarse de muchas formas, desde virus que se propagan por su sistema y borran datos sin razón aparente, hasta ataques de ransomware altamente dirigidos que hacen que sus datos locales sean inaccesibles mientras los atacantes exigen pagos en criptomonedas a cambio de claves de cifrado.
Aunque la copia de seguridad lo ayudará a protegerse contra la interrupción causada por el malware, la prevención siempre será una parte integral de su estrategia de defensa de la información.
Encontrar el software antivirus adecuado para su organización es primordial, aunque no es la única necesidad. Los profesionales de seguridad dentro de una PYME también deberían considerar el uso de firewalls, controles de acceso y segmentación de datos. Además de esto, garantizar que todo el software y el equipo estén actualizados y con los parches adecuados también debe incluirse en cualquier lista de verificación.
Al considerar la protección contra malware, el phishing no es la única fuente de infección y las prácticas de seguridad física deben ser una cuestión de política entendida por todos los miembros del personal. Solo considere el daño que podría causar un compañero de trabajo descuidado que siente curiosidad por el contenido de una unidad USB encontrada.
Dispositivos
Dado que las organizaciones dependen con frecuencia del trabajo fuera de la oficina y los dispositivos móviles suelen contener información confidencial, se debe prestar la debida atención a las vulnerabilidades inherentes a las tabletas, los teléfonos e incluso los relojes inteligentes.
En primer lugar, aunque suene básico, la protección con contraseña y el cifrado deben estar habilitados en cualquier dispositivo que contenga información confidencial. Además, como con cualquier software relacionado con la seguridad, los sistemas operativos de los dispositivos móviles y las aplicaciones deben mantenerse actualizados para minimizar las vulnerabilidades de su PYME.
También se recomienda encarecidamente el seguimiento y la eliminación remotos, ya que en el caso de que el dispositivo se pierda o sea robado, esto permite que los datos queden inaccesibles. Finalmente, los miembros del personal también deben recibir información sobre los peligros de conectarse a puntos de acceso Wi-Fi desconocidos y los peligros relacionados con el monitoreo del tráfico y los ataques de intermediarios.
Crear una cultura segura
Esperamos que estos consejos de seguridad de la información resulten útiles; sin embargo, no existe una solución fácil y rápida para todos sus problemas de seguridad de la información. Lograr un cambio positivo, sostenido y medible en el comportamiento del personal se trata de implementar y avanzar hacia una mentalidad de cultura segura.
Al realizar una capacitación integral en seguridad de la información, cualquier PYME no solo invierte en la educación de su personal, sino que también fortalece su viabilidad y confiabilidad. Al integrar la seguridad de la información como parte de la cultura de una organización, se protegen mejor contra una gran cantidad de amenazas potenciales, incluidos ataques de phishing, filtraciones de datos e incluso amenazas internas.
