fbpx
Cargando…

LISTO PARA APRENDER?

"La educación es lo que permanece cuando uno ha olvidado lo que aprendió en la escuela"
Albert Einstein.
explorar

10 Errores de Seguridad Que Todas las Pequeñas Empresas deben Evitar

 

Cada vez que una brecha de datos golpea a una gran organización, como lo que hemos visto con Equifax [1], estos incidentes animan a las empresas a tomar en serio la seguridad de los datos e invertir sus recursos y mantener su seguridad actualizada, incluso después de poner tanto esfuerzo, cuando las grandes organizaciones están en riesgo, imagine lo fácil que es para los atacantes cibernéticos eludir los protocolos de seguridad de una empresa pequeña o mediana. Muchas organizaciones pequeñas no le dan importancia a la seguridad cibernética o la seguridad de la información y, a menudo, terminan cerrando negocios debido a su ineficiencia para evitar, contener o manejar el ataque.

 

“El 60% de las pequeñas empresas cierran su negocio dentro de los seis meses de ser víctimas de una violación de datos o un ciberataque”. Cybersecurity Ventures

 

Quizás la parte más sorprendente de tal incumplimiento es que la mayoría de ellos pueden evitarse. Muchas empresas son víctimas de tales ataques cibernéticos planeados, pero la mayoría de las veces son delitos de oportunidad, dadas solo a través de algunos errores simples en las que pequeñas empresas caen e incitan a los problemas. Por eso aquí se muestran 10 errores de seguridad que todas las pequeñas empresas deben evitar:

 

1.  Ausencia de una política de seguridad.

 

Cuando tiene un equipo pequeño, trata con ellos personalmente y confía en que cada uno de ellos espera que se desempeñen según su conocimiento y abrumado por la interacción personal, no considera tener una política de seguridad formal definida para su organización. Sin embargo, la pérdida de un teléfono inteligente o una computadora portátil puede provocar una violación importante de la seguridad y puede poner en riesgo la información de sus clientes, por lo que se recomienda tener una política de seguridad que defina los puntos y las prohibiciones de la infraestructura de TI de la empresa.

 

2.  Falta de formación de conciencia del personal.

 

Ya sea que tenga un pequeño grupo de personas trabajando en su organización o un gran equipo, cada miembro debe conocer la política de seguridad, las infracciones de la ciberseguridad y los riesgos asociados con la negligencia. Por falta de educación básica sobre seguridad cibernética entre los empleados, es posible que sus empleados no estén al tanto de los nuevos virus que se están infiltrando a través de fuentes en línea, por lo que invertir recursos y tiempo en la capacitación del personal puede salvarlo de una brecha
importante.

 

3.   Evita las copias de seguridad

 

A raíz de tantos ataques de ransomware, es una mera negligencia no hacer una copia de seguridad de sus datos, ya que cuando un ransomware lo golpea, es posible que no pueda pagar el rescate solicitado y tampoco podrá recuperar sus datos, por lo que se debe hacer una copia de seguridad de los datos en ambos lugares: en línea y fuera de línea.

 

4.   Acceso desatendido a la infraestructura.

 

¿Sabes quiénes tienen acceso a tus datos? ¿Recuerda el momento en que permitió que un cliente aleatorio accediera a su sistema para descargar un documento utilizando un pen drive? ¿Cuántas veces ha dejado su computadora portátil desatendida sin bloquear antes de tomar un descanso? Hay muchas situaciones en la oficina todos los días en las que puede haber permitido voluntariamente el acceso a su sistema a un forastero o dejarlo sin supervisión con un compañero de trabajo en la empresa, por lo que de cualquier manera, sus datos están en riesgo. Asuma la responsabilidad total de la seguridad de su infraestructura y establezca la estrategia de seguridad.

 

5.   No estar asegurando la nube.

 

La computación en la nube beneficia a las pequeñas y medianas empresas, ya que les permite ser productivas y menos preocupadas por sus datos, el problema surge cuando los servicios en la nube contratados no son confiables o no son competentes para proteger los datos. Por ejemplo, sus empleados podrían estar almacenando datos en unidades en la nube proporcionadas por los proveedores de cuentas de correo electrónico, los datos almacenados en estas unidades no están completamente encriptados y no cumplen con los mandatos federales. Por lo anterior debe asegurarse que los datos en  almacenamiento y en tránsito deben manejarse con prioridad.

 

6.   No realizar actualizaciones.

 

Las actualizaciones generalmente se ignoran porque son “inconvenientes”, pero son vitales para la seguridad de los datos de su negocio, por eso, ignorar las actualizaciones por falta de tiempo o por temor a perder la funcionalidad puede ponerlo en mayor riesgo debido a que los intrusos buscan constantemente vulnerabilidades en el software o el sistema operativo para ejecutar una infracción. Considerando que los desarrolladores se esfuerzan continuamente para parchar agujeros donde sea necesario lanzando parches o actualizaciones para asegurar su software, su política de seguridad también debe verificarse periódicamente y actualizarse en función de los últimos ataques cibernéticos.

 

7.   Financiación insuficiente para asegurar los datos.

 

La seguridad de los datos es costosa y, mientras se elabora un presupuesto en organizaciones pequeñas y medianas, la financiación de la seguridad debe tener la máxima prioridad, por lo que  invertir en infraestructura de seguridad debe ser el primer paso para olvidar el riesgo de los graves ataques cibernéticos a los que es propenso su negocio. Para evitar caer en esta trampa, calcule sus gastos de seguridad y luego compárelos con la cantidad de pérdida en la que su empresa puede incurrir en el caso de un incidente.

 

8.   Contraseñas mal manejadas

 

Uno de cada cinco empleados comparte sus contraseñas de correo electrónico con compañeros de trabajo [2]. Al considerar la seguridad de los datos, es importante que la contraseña no sea mal manejada y compartida por compañeros de trabajo confiables, también debe abstenerse de usar contraseñas débiles o predeterminadas, por lo que la administración de contraseñas también debe ser parte de su política de seguridad.

 

9.   No hay procedimiento de terminación de personal.

 

La mayoría de las organizaciones de pequeñas y medianas empresas no siguen un procedimiento integral para la terminación de personal. Cuando los empleados son despedidos, sus cuentas de correo electrónico continúan existiendo, y las mismas credenciales se conservan para los datos también. Se debe evitar esto ya que existe la posibilidad que dichos empleados intenten hacer un mal uso de los datos o entrometerse en el software por sus propios medios de forma maliciosos.

 

10.   Confiando en productos de grado de consumo

 

Si bien es conveniente no tener que depender de la oficina para los dispositivos, es importante verificar primero si la computadora que se está utilizando es segura, incluso debido a la falta de fondos suficientes, puede verse obligado a confiar en productos de grado de consumo, comprometiendo así la seguridad, lo que más tarde puede llevar a daños mayores. En lugar de enfrentar un incidente imprevisto, contrate profesionales que puedan manejar la red, el sistema y la seguridad de los puntos finales.

 

Prepararse para la seguridad de los datos no significa solo instalar una infraestructura técnica superior o antivirus, se trata de comprender los requisitos de seguridad y tomar las medidas adecuadas para combatir los ataques. Muchas veces, se puede detener una pérdida importante al evitar errores simples, como los que se mencionan anteriormente y al implementar políticas de seguridad diarias.  

 

Las organizaciones pequeñas y medianas ahora están buscando defensores de la red que puedan realizar la administración de la seguridad de dicha red. Un defensor de la red puede defender a la organización de cualquier intrusión externa e interna e identificar las amenazas potenciales que penetran en el sistema o la red de la organización. EC-Council ofrece el Certified Network Defender (C | ND) que se centra en la creación de profesionales de la red que están capacitados para proteger, detectar y responder a las amenazas en la red. https://etic-solutions.net/etic/cursos/ec-council/cnd

 

[1] https://www.infosecurity-magazine.com/news/equifax-has-spent-nearly-14bn-on-1/

[2] https://www.zdnet.com/article/one-in-five-employees-share-their-email-password-with-co-workers/ 

 

Fuente: EC-Counci

ETIC Solutions S.A.S