Por: Krisia Chacón Jiménez.   8 agosto
Todas las pymes deben desarrollar una política de ciberseguridad para tener claridad de qué deben hacer ante una vulnerabilidad informática. Foto: Shutterstock.
Todas las pymes deben desarrollar una política de ciberseguridad para tener claridad de qué deben hacer ante una vulnerabilidad informática. Foto: Shutterstock.

¿Su pyme ha sufrido de algún ataque informático? Aún si su respuesta es negativa, existen probabilidades que haya sufrido algún tipo de vulneración, pero no se dio cuenta.

En su computadora tiene información de clientes, números de cuenta registrados, y demás datos sensibles que son atractivos para los ciberdelincuentes.

Hoy el activo más valioso de una empresa es su información. Los ataques no son exclusivos para las grandes organizaciones. Por estas dos razones el peor pecado es pensar “eso no me va a ocurrir”.

Los pequeños comercios son los más vulnerables a sufrir ataques en sus sistemas, de acuerdo con estudios efectuados por Visa; precisamente porque los hackers saben que usualmente no toman las medidas necesarias de protección.

La buena noticia es que no se requieren millonarias inversiones, ni tampoco tiene que construir grandes centros de datos para proteger su información. Actualmente con los avances en tecnología, existen múltiples opciones para robustecer la seguridad de su pyme.

A continuación le presentamos una guía de los pasos que debe seguir para implementar una estrategia de ciberseguridad en su empresa:

1. Análisis de riesgo

El primer paso es realizar un análisis de riesgo para determinar cómo está la pyme, qué tipo de información maneja y categorizarla en niveles de importancia según su criticidad.

Es necesario cuestionarse ¿cuál es la información más sensible? ¿Cuál es la posibilidad que ocurra una vulnerabilidad? ¿Cuáles podrían ser los vectores de ataque?

“Lo que vemos muchas veces es que las empresas comienzan a adquirir herramientas de seguridad y las implementan mal, o protegen información que no debía proteger, mientras que lo realmente crítico queda a la libre”, afirmó Denise Giusto, investigadora de ciberseguridad de ESET.

2. Crear una política de seguridad.

Una vez que se tenga el análisis de posibles riesgos, el paso siguiente es diseñar una política de seguridad que permita generar un plan de acción ante un posible incidente.

En este documento es necesario contestar las preguntas: ¿cómo se debe responder ante una vulnerabilidad? ¿Cuáles serán las medidas de protección? Y definir un protocolo de seguridad para cada tipo de dispositivo desde el cual se accede a la información de la pyme.

3. Determinar las herramientas necesarias.

Con base en la política se tendrá más claro cuáles herramientas de ciberseguridad necesita la compañía.

No importa si se trata de una pyme o una gran empresa, hoy, contar con con una sola herramienta de seguridad no es suficiente para considerar que la información está debidamente resguardada.

Las tres opciones de seguridad indispensables para una pyme son: tener un backup o respaldo de la información, un antimalware y algún tipo de protección de red.

Una vez instaladas estas herramientas, la pyme debe estudiar los resultados del análisis de riesgo y con base en eso incorporar otras opciones de seguridad sobre los datos más relevantes para la firma.

Una buena acción es incorporar el cifrado de información sobre las categorías de alto riesgo. También está el doble factor de autenticación —medida de seguridad extra que requiere de un código que se genera a partir de una aplicación, o un mensaje SMS, además de una contraseña para acceder al servicio— e incluso tecnologías biométricas como el uso de huella dactilar.

Todo esto dependerá del nivel de seguridad que requiera cada tipo de información.

4. Capacitación

Los planes de capacitación tienen que ser segmentados.

“No todos los usuarios tienen los mismos conocimientos o habilidades informáticas y por tanto, cada uno de los empleados deben recibir capacitaciones diferentes y acorde con sus funciones dentro de la empresa”, acotó Giusto.

Una de cada cuatro empresas en Costa Rica no tiene ningún tipo de capacitación para los usuarios, de acuerdo con el ESET Security Report 2019.

“Lo verdaderamente costoso es sufrir un incidente de seguridad y no tener las medidas de protección. Hoy en día el activo más importante de una compañía es su información”, Denise Giusto, investigadora de ciberseguridad de ESET.

No tener las herramientas de seguridad puede salirle más caro que efectuar la inversión en ella.

5. Habilite un presupuesto.

Las recomendaciones para elaborar un presupuesto en ciberserguridad es basarse nuevamente en los resultados del análisis de riesgo.

Si una pyme tiene total claridad de cuáles son los datos que urge resguardar, lo primero es dedicar la mayor parte de los recursos económicos a estos datos que resultan vitales para el funcionamiento de la empresa.

Quizá se puede dejar otro tipo de información con menos barreras, cuando la compañía determine que se podría prescindir de ella porque no es tan crítica.

En el mercado existen diferentes promociones y combinaciones de herramientas que pueden solucionar los problemas inmediatos de la pyme.

Otro consejo es contar con un experto que haga la instalación de las soluciones de forma adecuada, ya que una mala configuración podría dejar huecos de seguridad en los sistemas de las empresas.

Según el Foro Económico Mundial, los ciberataques representarán en los próximos años un importante riesgo para la humanidad. Para que tenga una idea de la gravedad, en esta lista se encuentran problemáticas como el cambio climático y las tensiones geopolíticas.

Los incidentes de seguridad en Internet obstaculizan el progreso económico al reducir la confianza de los consumidores, en las instituciones y empresas. Por esta razón, invertir en la estructura digital es una de las soluciones para reducir este riesgo y que su compañía muestre que tiene altos niveles de confianza.

Una buena estrategia de seguridad es a su vez una excelente carta de presentación ante su público.

Entonces, pensar que “esto no me va a suceder”, ya no se trata de una cuestión de suerte, porque es probable es que sí vaya a ocurrir, la diferencia la marca en la respuesta que usted le vaya a dar al incidente.

Protección en las estaciones de trabajo

Acción Consejos
Utilizar buenas claves en las computadoras. Una buena clave es aquella fácil de recordar pero difícil de adivinar. Es necesario siempre bloquear el dispositivo cuando la persona se ausente de su estación de trabajo.
Actualizar el sistema operativo. Mantener los sistemas operativos actualizados permiten mayor protección ante baches de seguridad.
Usar el antivirus incorporado en Windows. Estos antivirus sirven para proteger la computadora de programas maliciosos.
Utilizar Chrome o Firefox. Existe mayor seguridad en la web al utilizar un navegador con medidas de seguridad incorporadas y con actualizaciones automáticas.
Implemente en la pyme una cultura para descubrir correos sospechosos. Es necesario reconocer los correos maliciosos que traen consigo adjuntos infectados y que pueden vulnerar la información de la empresa.
Usar la extensión “Password Alert” para Chrome. Esta extensión impide que se ingrese la clave de Google en sitios fraudulentos.
Cifrar la información en dispositivos Windows y Mac. La firma puede mantener sus datos seguros con el cifrado BitLocker para Windows, o con FileVault para Mac.
Habilitar los firewalls. Con el firewall Glasswire se detienen los programas que envían los datos de las computadoras a terceros sin autorización. Para Apple está la opción MacOS.
Fuente: Cibserseguridad Humana