Los mejores prácticas de Ciberseguridad para su empresa
Es fácil pensar que debido a que tiene una pequeña empresa, los cibercriminales pasarán por alto atacando a su empresa. La mentalidad de «no hay mucho que robar» es común entre los propietarios de pequeñas empresas con respecto a la seguridad cibernética, pero también es completamente incorrecta y no está sincronizada con las mejores prácticas actuales de seguridad cibernética tales como copias de seguridad en la nube para mantener los datos seguros.
Pero, ¿por qué las pequeñas empresas son atacadas con más frecuencia que las grandes? Casi todos los ciberataques son para obtener datos personales para usar en tarjetas de crédito o para identificar robos. Si bien las empresas más grandes generalmente tienen más datos para robar, las pequeñas empresas tienen redes menos seguras, lo que facilita la violación de la red. El artículo de CSO.com de IDG, » Por qué los delincuentes critican a las pequeñas empresas «, dice que al usar ataques automáticos, los ciberdelincuentes pueden violar a miles o más pequeñas empresas, lo que hace que el tamaño sea un problema menor que la seguridad de la red, por ese motivo es mejor contratar un servicio de back up para empresas.
El artículo de CSO.com dice que la falta de tiempo, presupuesto y experiencia para una seguridad adecuada es una de las principales razones de la alta tasa de ataques a las PYMES. Otras razones incluyen no tener un especialista en seguridad de TI, no ser consciente del riesgo, falta de capacitación de los empleados, no actualizar los programas de seguridad, externalizar la seguridad y no asegurar los puntos finales.
¿Cómo puede su empresa evitar ser víctima de un ciberataque? Aquí hay las mejores prácticas de seguridad cibernética para empresas que puede comenzar a implementar hoy.
1. Use un firewall
Una de las primeras líneas de defensa en un ciberataque es un firewall. La Comisión Federal de Comunicaciones (FCC) recomienda que todas las PYMES establezcan un firewall para proporcionar una barrera entre sus datos y los ciberdelincuentes. Además del firewall externo estándar, muchas compañías están comenzando a instalar firewalls internos para brindar protección adicional. También es importante que los empleados que trabajan desde casa instalen también un firewall en su red doméstica. Considere proporcionar software de firewall y soporte para redes domésticas para garantizar el cumplimiento.
2. Documente sus políticas de ciberseguridad
Si bien las pequeñas empresas a menudo operan de boca en boca y con conocimiento intuitivo, la seguridad cibernética es un área donde es esencial documentar sus protocolos. El portal de Ciberseguridad de la Administración de Pequeñas Empresas (SBA) proporciona capacitación en línea, listas de verificación e información específica para proteger a las empresas en línea. El Cyberplanner 2.0 de la FCC proporciona un punto de partida para su documento de seguridad. Considere también participar en el Programa voluntario C3 para pequeñas empresas, que contiene un kit de herramientas detallado para determinar y documentar las mejores prácticas de seguridad cibernética y las políticas de seguridad cibernética.
3. Plan para dispositivos móviles
Con el 59 por ciento de las empresas que actualmente permiten BYOD, de acuerdo con Tech Pro Research 2016 BYOD, Wearables e IoT: Estrategias de Seguridad y Satisfacción, es esencial que las empresas tengan una política BYOD documentada que se centre en las precauciones de seguridad. Con la creciente popularidad de los dispositivos portátiles, como los relojes inteligentes y los rastreadores de ejercicios con capacidad inalámbrica, es esencial incluir estos dispositivos en una política. Norton by Symantec también recomienda que las pequeñas empresas exijan a los empleados que configuren actualizaciones de seguridad automáticas y que la política de contraseñas de la empresa se aplique a todos los dispositivos móviles que acceden a la red.
4. Educar a todos los empleados
Los empleados a menudo usan muchos sombreros en las pymes, por lo que es esencial que todos los empleados que acceden a la red reciban capacitación sobre las mejores prácticas y políticas de seguridad de la red de su empresa.
Dado que las políticas están evolucionando a medida que los ciberdelincuentes se vuelven más inteligentes, es esencial tener actualizaciones periódicas sobre nuevos protocolos. Para responsabilizar a los empleados, haga que cada empleado firme un documento que indique que han sido informados de las políticas y que comprenda que se pueden tomar medidas si no siguen las políticas de seguridad.
5. Aplicar prácticas seguras de contraseña
Sí, a los empleados les resulta difícil cambiar las contraseñas. Sin embargo, el Informe de investigaciones de violación de datos de Verizon 2016 encontró que el 63 por ciento de las violaciones de datos ocurrieron debido a contraseñas perdidas, robadas o débiles. Según el informe de Keeper Security and Ponemon Institute, el 65 por ciento de las pymes con políticas de contraseña no lo hacen cumplir. En el mundo actual de BYOD, es esencial que todos los dispositivos de los empleados que acceden a la red de la empresa estén protegidos con contraseña.
En el artículo del Business Daily » Ciberseguridad: una guía para pequeñas empresas», Bill Carey, vicepresidente de marketing y desarrollo comercial de Siber Systems, recomendó que los empleados deben usar contraseñas con letras mayúsculas y minúsculas, números y símbolos. Él dice que las PYMES deben requerir que todas las contraseñas se cambien cada 60 a 90 días.
6. Realice regularmente una copia de seguridad de todos los datos
Si bien es importante evitar tantos ataques como sea posible, aún es posible que se infrinja independientemente de sus precauciones. La SBA recomienda realizar copias de seguridad de documentos de procesamiento de texto, hojas de cálculo electrónicas, bases de datos, archivos financieros, archivos de recursos humanos y archivos de cuentas por cobrar / pagar. Asegúrese de hacer una copia de seguridad de todos los datos almacenados en la nube. Asegúrese de que las copias de seguridad se almacenen en una ubicación separada en caso de incendio o inundación. Para asegurarse de que tendrá la última copia de seguridad si alguna vez la necesita, verifique su copia de seguridad regularmente para asegurarse de que funciona correctamente.
7. Instalar software anti-malware
Es fácil suponer que sus empleados saben que nunca deben abrir correos electrónicos de phishing. Sin embargo, el Informe de investigaciones de violación de datos de Verizon 2016 encontró que el 30 por ciento de los empleados abrieron correos electrónicos de phishing, un aumento del 7 por ciento desde 2015. Dado que los ataques de phishing implican la instalación de malware en la computadora del empleado cuando se hace clic en el enlace, es esencial tener un software antimalware instalado en todos los dispositivos y la red. Dado que los ataques de phishing a menudo se dirigen a roles específicos de empleados de PYMES, use las tácticas específicas de posición descritas en el artículo de Entreprenuer.com » 5 tipos de empleados a menudo dirigidos por ataques de phishing » como parte de su capacitación.
8. Utilice la identificación multifactorial
Independientemente de su preparación, es probable que un empleado cometa un error de seguridad que pueda comprometer sus datos. En el artículo de PC Week » 10 pasos de ciberseguridad que su pequeña empresa debería tomar ahora «, Matt Littleton, director regional de seguridad cibernética y servicios de infraestructura de Azure de East en Microsoft, dice que usar la configuración de identificación multifactor en la mayoría de los principales productos de red y correo electrónico es simple de hacer y proporciona una capa adicional de protección. Recomienda usar los números de celular de los empleados como una segunda forma, ya que es poco probable que un ladrón tenga el PIN y la contraseña.
La seguridad es un objetivo en movimiento. Los ciberdelincuentes avanzan cada día más. Para proteger sus datos tanto como sea posible, es esencial que cada empleado haga de la seguridad cibernética una prioridad principal. Y lo más importante, que se mantenga al tanto de las últimas tendencias en ataques y la más nueva tecnología de prevención. Tu negocio depende de ello.
