Si bien las computadoras e Internet ofrecen muchos beneficios a las micro y pequeñas empresas, las tecnologías no están exentas de riesgos.
Los peligros van desde el robo físico de equipos, sufrir desastres (como incendios, inundaciones y otros eventos naturales) o ataques de ciberdelincuentes que pueden detener la operación y causar pérdidas al negocio. Pero los efectos de los incidentes se pueden reducir o controlar con conductas sensatas y precauciones de sentido común.
Los riesgos resultantes del crimen cibernético, como el robo de información personal que luego se vende en el mercado negro, son más difíciles de manejar. Incluso las empresas más pequeñas manejan datos personales de clientes o proveedores que pueden ser de interés para un cibercriminal.
“Por más que una empresa sea pequeña, debe adoptar un enfoque sistemático para proteger los datos que se le confían”, dijo Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, una firma especializada en ciberseguridad.
LEA MÁS: Hackeo a Hacienda: ¿qué es el ‘ransomware’ de Conti y cómo protegerse de ciberdelincuentes?
Los recientes acontecimientos que han afectado a varias entidades públicas por ataques de hackers, así como los fraudes a través de diferentes métodos de engaño por medio de correos electrónicos y mensajes fraudulentos demuestran que se trata de hechos que pueden ocurrir en diferentes sectores y pueden dirigirse a todo tipo de entidades, empresas y usuarios.
En las pymes se pueden adoptar al menos seis medidas básicas para disminuir los peligros:
1. Analizar activos, riesgos y recursos: realice una lista con todos los sistemas y servicios informáticos que se utilizan. Incluya los dispositivos móviles que se usan para acceder a información del negocio y de los clientes. Luego, analice los riesgos relacionados con cada elemento y los recursos disponibles para resolver los problemas de seguridad tecnológica.
2. Defina políticas: se debe informar al equipo de colaboradores las medidas de seguridad y protección de datos personales, detallando las políticas que se aplicarán, como que no se permite el acceso no autorizado a los sistemas y datos de la empresa.
3. Defina responsables: determine quién tiene acceso a los datos dentro de la empresa, con qué fin y qué están autorizados a hacer con ellos. También es importante contar con políticas para el acceso remoto, el uso de dispositivos propios para trabajar y con cuáles software autorizados.
4. Establezca controles: utilizar controles para hacer cumplir las políticas es elemental. Por ejemplo, si desea aplicar una política para impedir el acceso no autorizado a los sistemas y datos corporativos, se puede vigilar el acceso a los sistemas de la empresa mediante la solicitud de un nombre de usuario y contraseña y un segundo factor de autenticación.
5. Defina derechos de administración: ¿quién es el encargado de manejar y autorizar el acceso a un sistema? Seleccione a la persona que podrá otorgar esos acceso y los criterios para otorgar los permiso.
6. Tenga un protocolo de acción: para evitar filtraciones de los hackers o por dispositivos perdidos o robados, establezca medidas para que las personas colaboradoras reporten los incidentes, bloquear el dispositivo afectado y borrar su contenido de inmediato en forma remota.
7. Invierta: en la empresa debe utilizar tecnologías de seguridad como protección para puntos de accesos que eviten que se descarguen códigos maliciosos en los dispositivos; cifrado para proteger los datos de los dispositivos robados; doble autenticación para ingresar a los sistemas; y solución de redes virtuales privadas (VPN, por sus siglas en inglés) para una protección adicional.
8. Defina qué se puede hacer: los colaboradores deben tener claro qué pueden hacer y que no pueden hacer cuando utilizan dispositivos de la empresa (dentro o fuera de la empresa) o personales (especialmente cuando están en la empresa), prohibir el uso de sistemas no autorizados en los equipos de la empresa y controles para monitorear el cumplimiento.
9. Capacitar empleados, directivos y vendedores: todos deben conocer las políticas, procedimientos, disposiciones y sanciones de seguridad de la empresa. Invierta en crear conciencia y cultura de seguridad, de forma que conozcan cuáles prácticas los ponen a ellos mismos en riesgo y a sus familias.
10. Seguir evaluando, auditando y probando: la seguridad informática es un proceso continuo. Es necesario actualizar las políticas de seguridad y sus controles dependiendo de los cambios en la empresa, la evolución de la tecnología y las nuevas estratagemas de los ciberdelincuentes.