En el marco del Día Mundial del Emprendimiento, que se celebra este sábado, se compartió una guía básica de seguridad IT para que las pequeñas y medianas empresas puedan protegerse ante las amenazas del crimen cibernético.
“Si bien las computadoras e Internet ofrecen muchos beneficios a las pequeñas empresas, estas tecnologías no están exentas de riesgos. Algunos de ellos, como el robo físico de equipos y los desastres naturales, se pueden reducir o controlar con conductas sensatas y precauciones de sentido común”, indicó el jefe del Laboratorio de Investigación de ESET Latinoamérica, Camilo Gutiérrez Amaya.
Sin embargo, según advirtió, los riesgos resultantes del crimen cibernético -como el robo de información personal que luego se vende en el mercado negro- son más difíciles de manejar. “Incluso las empresas más pequeñas manejan datos personales de clientes o proveedores que pueden ser de interés para un cibercriminal -apuntó Gutiérrez Amaya-. Esto implica que, por más que una empresa sea pequeña, debe adoptar un enfoque sistemático para proteger los datos que se le confían”.
A continuación, una por una, las seis claves que difundió ESET -la firma líder en detección proactiva de amenazas- para proteger a las pymes frente a las amenazas de los cibercriminales.
1- Analizar activos, riesgos y recursos
Hacer una lista con todos los sistemas y servicios informáticos que se usan, y asegurarse de incluir los dispositivos móviles que pueden llegar a ser utilizados para acceder a información corporativa o de los clientes. Después analizar los riesgos vinculados con cada elemento y los recursos disponibles para resolver los problemas de seguridad IT.
2- Crear políticas
Hay que informar al equipo que se toma en serio la seguridad y que la compañía se compromete a proteger la privacidad y la seguridad de todos los datos que maneja. Asimismo, se deben detallar las políticas que desean aplicar. Además, es fundamental definir quién tiene acceso a qué datos dentro de la organización, con qué fin y qué tiene permitido hacer con ellos. También es relevante contar con políticas para el acceso remoto, el uso de dispositivos propios para trabajar (BYOD) y el software autorizado.
3- Elegir controles
Utilizar controles para hacer cumplir las políticas. Por ejemplo, si se busca aplicar una política destinada a impedir el acceso no autorizado a los sistemas y datos corporativos, se puede elegir controlar todo el acceso a los sistemas de la compañía a través de la solicitud de un nombre de usuario y clave, y un segundo factor de autenticación (2FA).
Con el propósito de controlar los programas que tienen permiso de ejecutarse en los equipos de la empresa, se puede optar por no otorgarles a todos los derechos de administrador. A su vez, para evitar las filtraciones provocadas por dispositivos móviles perdidos o robados, se les podría exigir a los empleados que informen sobre estos incidentes el mismo día y bloqueen el dispositivo afectado para borrar su contenido de forma inmediata y remota.
De acuerdo con ESET, se deberían utilizar las siguientes tecnologías de seguridad:
- Protección para endpoints para evitar que se descarguen códigos maliciosos en los dispositivos.
- Cifrado para proteger los datos de los dispositivos robados (también sugerido en el reglamento GDPR).
- 2FA para requerir algo más que un nombre de usuario y una clave al acceder a los sistemas y datos.
- Solución VPN para una protección adicional.
4- Implementar controles
Al llevar adelante controles, es necesario garantizar que funcionen correctamente. Por ejemplo, habría que contar con una política que prohíba el uso de software no autorizado en los sistemas de la empresa. Entonces, uno de los controles será el software antimalware que busca códigos maliciosos. No solo hay que instalar y probar que no interfiera con las operaciones comerciales normales, sino que además se tienen que documentar los procedimientos que los empleados deberán realizar en caso de que el software detecte malware.
5- Capacitar empleados, directivos y vendedores
Además de conocer las políticas y procedimientos de seguridad de la firma, el equipo debe comprender porqué son necesarias. La medida más importante y efectiva que una empresa puede implementar es invertir en capacitación y concientización sobre seguridad cibernética.
Por ejemplo, al trabajar con los empleados es esencial generar conciencia sobre cuestiones como los correos electrónicos de phishing; hacer que la concientización sobre seguridad cibernética sea parte del proceso de incorporación de nuevos empleados y brindar consejos de seguridad en una página de intranet.
6- Seguir evaluando, auditando y probando
La seguridad IT es un proceso continuo. En ese sentido, es necesario actualizar las políticas de seguridad y sus controles según los cambios que haya en la firma, las relaciones con nuevos vendedores, nuevos proyectos, incorporaciones de empleados o -por el contrario- empleados que dejan la compañía.
A fin de detectar los puntos débiles y poder abordarlos, hay que considerar la opción de contratar a un consultor externo para realizar una auditoría de seguridad.
Otras recomendaciones
Frente al aumento de la actividad de ciberdelincuentes enfocados en robar datos de los usuarios, el Banco Central de la República Argentina (BCRA) también brindó consejos para evitar ser víctimas:
- No compartir datos personales (usuarios, claves, contraseñas, pin, Clave de la Seguridad Social, Clave Token, DNI original o fotocopia, foto, ni ningún tipo de dato), por teléfono, correo electrónico, redes sociales, WhatsApp o mensaje de texto.
- Utilizar contraseñas combinando mayúsculas, minúsculas y números; y tener distintas claves para las aplicaciones, cuentas, plataformas o sitios. Activar la autenticidad de dos factores en las cuentas personales de redes sociales, WhatsApp o las plataformas digitales que se utilicen.
“Incluso las empresas más pequeñas manejan datos personales de clientes o proveedores que pueden ser de interés para un cibercriminal” (Gutiérrez)
- No escribir datos sensibles en sitios mediante enlaces que llegan a través del correo electrónico, ya que podrían ser fraudulentos. Asegurarse siempre de estar en la página legítima antes de ingresar información de inicio de sesión.
- Tener actualizado el navegador, el sistema operativo de los equipos y las apps . Y tomarse un minuto antes de actuar, ya que quienes realizan este tipo de estafas apelan a las emociones, descuidos y urgencias.
Por su parte, desde la empresa multinacional enfocada en la prevención de fraude y protección de la identidad VU Security también compartieron tips para que los usuarios puedan prevenir caer en ciberestafas.
- Corroborar que la página esté bien escrita y si llegan mensajes promocionales con links o archivos adjuntos, preferiblemente no hacer click ni abrir ningún link. Buscar señales de seguridad. Todos los sitios cuentan con protocolos de seguridad propios. El primero y el más común es “https” al inicio de la dirección del sitio web, que suele ir acompañado por el icono de un candado o escudo.
- Operar mediante conexiones seguras y evitar los lugares públicos. Es importante proteger la red Wifi del hogar con una clave robusta y, en lo posible, no compartirla.
- Habilitar factores de autenticación adicionales. Son varios los bancos y las plataformas de compra online que permiten habilitar la opción de un segundo factor de autenticación. Tanto para compradores como para empresas o instituciones financieras, resulta fundamental aumentar los niveles de seguridad de accesos.
“Por lo que podemos ver, la ola de delitos informáticos no va a parar en el futuro cercano, de modo que se debe hacer un esfuerzo continuo de buena fe para proteger los datos y los sistemas, que son el alma de las pequeñas empresas de hoy”, finalizó Gutiérrez Amaya.
SEGUIR LEYENDO: