Estamos en un viaje para destacar los riesgos de seguridad específicos de la industria y los consejos y mejores prácticas para un entorno de seguridad más fuerte. Desde el sector salud, la fabricación y la educación hasta los servicios financieros, el sector público y la energía y los servicios públicos, analizaremos los riesgos y cómo mitigarlos en esta serie de blogs. Hoy nos ocuparemos de los riesgos de seguridad y de los consejos para las pequeñas y medianas empresas.
¿Son las pequeñas empresas demasiado pequeñas para ser objeto de ciberataques? Eso es como preguntar si la información de su empresa es demasiado irrelevante para atraer a los hackers. Y la respuesta es: No, definitivamente no. De hecho, las pequeñas empresas suelen ser las más lucrativas porque son el camino de menor resistencia.
La suposición común de las PYMES de que son demasiado pequeñas para ser interesantes es peligrosa. En marzo de 2021, Vodafone publicó una investigación que sugiere que más de un millón de pequeñas empresas se irían a la quiebra si fueran objetivo de los hackers.
Las organizaciones pequeñas no siempre pueden permitirse pagar los rescates, pero tampoco tienen suficientes reservas para sobrevivir a una interrupción continua del servicio.
La triste realidad es que las pequeñas y medianas empresas son frecuentemente objeto de ataques y con relativo éxito, ya sea por inyecciones de malware, violaciones de datos o intentos de acceso por fuerza bruta.
5 principales riesgos de seguridad para las PYMES
En primer lugar, exploremos la pregunta- de por qué las pequeñas y medianas empresas se ven más afectadas que sus homólogas de mayor tamaño.
1. A menudo no hay recursos de seguridad dedicados
Es menos probable que las pequeñas empresas tengan un recurso dedicado a la seguridad de la información, por ejemplo, un Director de Información (CIO) o un Director de Seguridad de la Información (CISO). La seguridad suele quedar al final de la lista de prioridades y a veces incluso se olvida por completo. Sin recursos, es más probable que una violación de datos pase desapercibida durante un largo periodo de tiempo.
2. Trabajan con presupuestos (mucho) más pequeños
Las empresas más pequeñas tienen menos probabilidades de contar con grandes presupuestos, por lo que pueden intentar ahorrar costos en materia de seguridad. Hasta que no se produzca un ataque o una pérdida de datos, puede no parecer obvio por qué las inversiones en seguridad merecen la pena. Cuando hay que tomar decisiones difíciles sobre dónde deben invertir sus fondos los líderes de la empresa, seleccionan otras prioridades que pueden producir un retorno inmediato más visible.
3. La empresa se ha creado sin pensar en la seguridad<
Las empresas más pequeñas a menudo han sido creadas y establecidas por alguien que es un experto en su campo respectivo, por lo que la configuración no refleja necesariamente las mejores prácticas de seguridad. La seguridad puede verse afectada por otras necesidades y por la eficiencia del flujo de trabajo.
4. Tienen poco -o ningún- fondo de emergencia
Una filtración de datos afectará más a los negocios más pequeños que a las empresas, que pueden tener acceso a mayores fondos para el pago de rescates de datos o pueden sobrevivir a períodos más largos de pérdida de ingresos.
5. Los efectos limitantes de una filtración de datos pueden ser devastadores
Cuando se produce una filtración de datos, se pueden detener todos los procesos de trabajo, lo que hace que la empresa no pueda realizar ninguna actividad. Al tratarse de una empresa pequeña, a menudo no es posible trasladarse a otra división, servidor o base del país para garantizar la continuidad del negocio.
Hay muchas más razones y, por supuesto, no son aplicables a todas las pymes. Es importante señalar que hay algunas empresas pequeñas que destacan en materia de seguridad (¡bien hecho!).
Sin embargo, cuando una pequeña empresa no está preparada para un ciberataque, las consecuencias son graves. Un ataque no sólo puede perjudicar más a una pequeña empresa que a una grande, sino que además suele ser un objetivo más frecuente con relativo éxito. Puede que sean pequeñas, pero si el esfuerzo para vulnerarlas vale la pena, no dudes de que los actores maliciosos probarán suerte.
Los mejores consejos y prácticas de seguridad para las PYMES
Entonces, ¿qué pueden hacer las empresas para establecer un entorno seguro? Como siempre, se reduce a una combinación de medidas, y una sola no es suficiente.
Documentación
Muchas veces, una pequeña o mediana empresa nombra a una persona como responsable de la configuración de la seguridad de la información. ¿Y si esta persona se va? Las cosas se desmoronan. Es crucial documentar los procesos y establecer protocolos para que un cambio de personal no suponga una amenaza para la seguridad.
Contraseñas seguras/Autenticación multifactorial (MFA)
123456 no es una contraseña segura. Tampoco lo es Password123. Las recomendaciones son que una contraseña debe consistir en una combinación de un mínimo de 12 letras, números y caracteres especiales. Así que fiI3d%j")40M podría ser una buena opción. Es igualmente importante mantener esas contraseñas seguras, ya sea memorizándolas o utilizando un gestor de contraseñas. Un enfoque de autenticación multifactorial (por ejemplo, utilizando una combinación de un nombre de usuario, una contraseña, una huella digital y/o un código de mensaje de texto de un solo uso) hace que las credenciales de inicio de sesión sean aún más seguras.
Formación de los empleados
Sus empleados son su última barrera, pero también pueden ser su punto débil. Después de todo, es normal que los humanos cometan errores. Haga de la formación en seguridad una prioridad. Equipados con conocimientos y estrategias, los empleados se pararán a pensar cuando un malware o un ataque de spear phishing llegue a sus bandejas de entrada.
También es importante dar directrices sobre BYOD (Bring Your Own Device). ¿Están los empleados autorizados a instalar sistemas de la empresa en sus propios dispositivos, pueden acceder a su red y a su WiFi? ¿Podrán retirarlos en caso de que abandonen la empresa?
Enfoque de seguridad de varios niveles
La seguridad nunca es una solución única, ni una sola táctica le protegerá. Invierta en software antivirus y antispyware. Configure la protección del firewall. Gestione el acceso con una autenticación multifactorial. Cifre sus datos en reposo y en tránsito. Firme sus documentos y correos electrónicos. Todos estos elementos le ayudarán a construir su línea de defensa. Una vez que todo esté configurado, asegúrese de mantener todo actualizado con regularidad.
Copias de seguridad
En lo que respecta a las copias de seguridad de los datos, recuerde dos cosas: a) mantenerlas actualizadas con regularidad y b) hacer copias de seguridad más de una vez en diferentes fuentes.
Los grandes ataques son los que tienen más prensa: pensemos en las recientes vulnerabilidades de Exchange Server, el gran hackeo de Twitter o cuando el proveedor de servicios sanitarios Magallan fue atacado. Pero el hecho de que se hable más de ellos no significa que las empresas más pequeñas no sean atacadas.
GlobalSign puede ayudar a su pequeña o mediana (¡y también a la grande!) empresa a desarrollar un entorno de seguridad sólido. Póngase en contacto para hablar con uno de nuestros expertos sobre sus necesidades.