¿Cómo mantener su negocio seguro en línea? ¡Una guía detallada!

Al igual que una gran organización corporativa, las pequeñas empresas están igualmente expuestas al malware de los piratas informáticos en cualquier momento. Los datos en poder de las pequeñas empresas no tienen menos valor que los recopilados por las principales organizaciones para el crecimiento y las operaciones comerciales. El valor de los datos y la laxitud en sus medidas de seguridad cibernética expone constantemente el negocio a los piratas informáticos.

Una encuesta realizada por la SBA mostró que el 88 % de los propietarios de pequeñas empresas creían que era solo cuestión de tiempo antes de convertirse en víctimas de un ataque cibernético. El problema es que estas empresas no invierten suficientes recursos en sus departamentos de TI. Y otros simplemente no saben cómo abordar el desafío.

Las pequeñas empresas buscan formas de fortalecer sus mecanismos de defensa para mantener su negocio seguro en línea aprendiendo constantemente nuevas formas de contrarrestar las amenazas actuales y emergentes del ciberespacio.

Los tipos frecuentes de ciberataques a las pequeñas empresas

Conozcamos algunos de los tipos más comunes de ciberataques a los que se puede enfrentar su pequeña empresa. Tienes que encontrar una solución para mantener tu negocio a salvo en línea de estos ciberataques.

Recomendado para usted: ¿Cómo proteger su PC de ataques cibernéticos, seguimiento y malware?

1. Fraude de ingeniería social

El objetivo de este tipo de ataque es manipular a las organizaciones para que entreguen datos confidenciales como contraseñas, números de seguro social o información de tarjetas de crédito. A menudo, el fraude de ingeniería social se perpetra mediante correos electrónicos de phishing para enviar pagos falsos o solicitudes de datos que parecen provenir de fuentes legítimas.

Por ejemplo, una pequeña empresa que busca nuevos proveedores o redes para planificar las operaciones diarias puede ser víctima de un fraude de ingeniería social. Siempre asegúrese de confirmar la autenticidad de cada organización antes de hacer clic en cualquier enlace, completar formularios de datos en línea o responder correos electrónicos.

2. Impacto de trabajar desde casa

La mayoría de las pequeñas empresas prefieren permitir que parte o la totalidad de su personal trabaje desde casa siempre que sea posible. Esta estrategia operativa puede tener enormes beneficios de ahorro de costos, pero pone a la empresa en peligro de sufrir ataques de seguridad cibernética. Incluso cuando diferentes miembros del personal tienen que trabajar de forma remota y desde ubicaciones separadas, la organización debe tener cuidado de anular todos los ataques cibernéticos en su infancia.

3. Ataques de malware

El malware se define comúnmente como software, virus o ransomware diseñado para interrumpir y destruir la conectividad de la computadora o la red o para permitir que los intrusos obtengan información confidencial. La mayoría de las personas tiende a asociar el ransomware solo con grandes organizaciones. Sin embargo, te sorprenderá saber que entre el 50 % y el 70 % del ransomware afecta a las pequeñas y medianas empresas. Esta es en parte la razón por la cual la mayoría de estos negocios colapsan dentro de los primeros seis meses de operaciones.

Casos de ciberataques recientes

Aprender sobre la naturaleza moderna de los ataques cibernéticos, es decir, la definición de un ataque cibernético y su impacto negativo, puede ayudar a mantener su negocio a salvo de todas las formas de amenazas cibernéticas en línea.

Una brecha de seguridad en Capital One Corporation

Capital One, una empresa de servicios financieros, descubrió que sus sistemas habían sido pirateados en julio de 2019. Los delincuentes lograron obtener datos personales pertenecientes a clientes de pequeñas empresas que buscaban servicios de tarjetas de crédito con la corporación. Los analistas de seguridad estimaron que el robo de datos afectó a unos 100 millones de personas (enlace externo) en los EE. UU. y otros seis millones en Canadá.

El ransomware de The Weather Channel

Este ataque ocurrió en abril de 2019 y estaba dirigido al Weather Channel. Después del ataque, la cadena de televisión se vio comprometida por un ataque de software malicioso (enlace externo) a las 6 am, justo cuando estaba a punto de comenzar. Después de aproximadamente dos horas, se restablecieron las operaciones normales de servicio utilizando un sistema de respaldo. La estrategia de cambio funcionó porque la preparación de seguridad cibernética de la televisión estaba en alerta máxima.

Ataque cibernético a las percepciones de Aduanas y Protección Fronteriza de EE. UU.

Este ataque ocurrió en junio de 2019. La Oficina de Aduanas y Protección Fronteriza (CBP, por sus siglas en inglés) de EE. UU. confirmó que se habían robado fotografías de rostros y placas. Este ataque afectó principalmente a la red de subcontratistas de la empresa, Perceptics. Se estima que los atacantes se llevaron unas 100.000 imágenes de personas tomadas en un punto de entrada fronterizo terrestre.

Brecha de seguridad cibernética de Citrix

En marzo de 2019, el FBI se enteró de que los piratas informáticos ya habían accedido y robado una gran cantidad de datos confidenciales. Contrataron a Citrix, una compañía de software para que se hiciera cargo de la situación. Las investigaciones demostraron que el grupo de ciberdelincuentes se basó en una serie de técnicas como la "rociada de contraseñas" para obtener acceso a correos electrónicos, archivos y archivos comerciales importantes.

En Texas, los ataques de ransomware

Este ataque tuvo lugar en agosto de 2019. Fue en esa época cuando se supo que organizaciones que trabajaban con los gobiernos locales de 23 pueblos y ciudades menores de Texas habían sido atacadas por un grupo organizado de ciberatacantes. Los atacantes detuvieron el flujo de servicios gubernamentales en los pequeños municipios mientras exigían un rescate.

¿Cuáles son las mejores estrategias para mejorar la seguridad cibernética para las pequeñas empresas?

“Las organizaciones pequeñas a menudo no tienen los recursos, el efectivo o la experiencia para investigar manualmente esta avalancha de alertas de seguridad cibernética. En el otro extremo del espectro, muy rápidamente se vuelve inescalable para empresas más grandes. Pueden tener equipos de seguridad dedicados y presupuestos de seguridad más grandes. Pero están ejecutando docenas de estas soluciones de un solo punto”. – como explica David Atkinson en uno de sus artículos publicados. David es un especialista en seguridad cibernética, fundador y director ejecutivo de SenseOn.

Analicemos algunas de las estrategias más probadas que puede implementar para mejorar la seguridad cibernética de su organización para mantener su negocio seguro en línea.

Educación

Existe la necesidad de educar continuamente a su personal sobre nuevas formas de manejar las ciberamenazas emergentes. Esto se debe a que los ciberdelincuentes perfeccionan su oficio todos los días. Si su personal sabe cómo mejorar sus protocolos de ciberseguridad, entonces su negocio estará mucho más seguro.

Es posible que deba enviar a sus empleados recordatorios constantes para evitar abrir archivos o seguir enlaces de fuentes desconocidas. Además, considere proporcionar a sus empleados los procesos para encriptar datos personales o confidenciales y capacítelos sobre cómo confirmar la autenticidad de las solicitudes de pago aleatorias.

Te puede interesar: 7 formas en que el error humano puede causar violaciones de ciberseguridad.

Prácticas seguras en los dispositivos de trabajo

La mayoría de los ataques cibernéticos ocurren como resultado de contraseñas débiles, comprometidas o perdidas. En el mundo moderno, donde la mayoría de las personas prefieren trabajar con sus dispositivos individuales, es fundamental que todas las redes y contraseñas estén protegidas y almacenadas de forma segura. Otra forma es obligar a su personal a cambiar sus contraseñas cada 60 o 90 días.

Asegúrese de que su negocio funcione con plataformas y socios confiables

La solidez de sus sistemas de seguridad cibernética depende de la confiabilidad de las plataformas y los socios utilizados por su empresa. Consulte la información a continuación:

• Considere usar un firewall de aplicaciones web (WAF) para proteger su sitio.
• Asegúrese de que la industria de tarjetas de pago: los Estándares de seguridad de datos (PCI-DSS) de su plataforma de comercio electrónico cumplan con el Nivel 1. De esa manera, su negocio está protegido contra violaciones de seguridad de datos digitales que probablemente afecten a todo el sistema de pago, no solo a una sola tarjeta. .
• Dedique miembros del personal de su organización a parchear repetidamente las debilidades de seguridad para reducir la probabilidad de ataques cibernéticos.
• Confirme que todas las computadoras en su organización comercial tengan un software antivirus activo. El antivirus es crucial incluso cuando su personal está bien capacitado sobre cómo identificar un correo electrónico de phishing.

Proteja los dispositivos de hardware de su empresa

A veces, el robo de activos físicos de la empresa puede ser la causa de la pérdida de datos. Es por eso que debe tomar medidas adicionales para proteger sus servidores, teléfonos celulares, computadoras portátiles y otros dispositivos contra robos. Es posible que deba instalar cámaras de seguridad y alarmas en su negocio o considerar bloquear físicamente las computadoras y los servidores para mantenerlos en su lugar. Independientemente de dónde trabaje su personal, ya sea en casa, en la oficina o en estaciones de trabajo compartidas, asegúrese de que conozcan la importancia de mantener seguros los equipos de la empresa.

Eleva el nivel de seguridad de tu sistema de correo electrónico

Según el informe de Symantec de 2019 sobre Internet Security Threat Report, casi la mitad de los archivos adjuntos de correo electrónico maliciosos se originan en archivos de oficina.

Es necesario que sus empleados tomen las precauciones necesarias, como evitar abrir correos electrónicos o enlaces sospechosos. Estas lecciones podrían incluirse en el plan de formación de los empleados. Al mismo tiempo, los documentos que contienen datos privados de los clientes deben cifrarse de extremo a extremo, de modo que el destinatario utilice una contraseña para abrir el documento.

Reforzar datos

Independientemente de las medidas de precaución que tome para proteger su negocio de un ataque cibernético, nunca puede estar demasiado seguro del éxito. Por lo tanto, le recomendamos que refuerce la siguiente información vital:

• Bases de datos de empresas.
• Documentos financieros.
• Documentos de recursos humanos.
• Documentos que muestren las cuentas por cobrar o por pagar de la empresa.

Asegúrese de hacer una copia de seguridad de toda la información almacenada de su empresa en una unidad de almacenamiento en línea y confirme repetidamente que su sistema funciona correctamente.

Desarrollo de un plan holístico

Un plan de seguridad holístico debe incorporar un programa de capacitación del personal y un plan de respuesta adecuado a las ciberamenazas. El paso inicial para proteger la red de su empresa es asegurarse de que los miembros de su personal conozcan todas las políticas y procesos de seguridad.

La capacitación de los empleados debe llevarse a cabo con frecuencia. Por ejemplo, se puede realizar de forma anual o semestral para proporcionar a los empleados lecciones reales y cursos de actualización para mantener un sistema de seguridad cibernética sólido. Además, debe guiar a sus empleados para que dominen la necesidad de actualizar su software, cumplir con las obligaciones de seguridad requeridas y comprender qué se debe hacer para detectar y tratar una posible brecha de seguridad.

Cuanto más rápido responda a un ataque cibernético, más fácil será lidiar con un daño potencial moderado.

El plan de respuesta ideal debe tener información importante como:

• La persona a contactar.
• La ubicación de almacenamiento de los datos de la organización y las copias de seguridad de datos.
• Cuándo llamar a la policía o al público para notificarles sobre la infracción.

La Comisión Federal de Comunicaciones proporciona a los propietarios de pequeñas empresas un planificador cibernético para ayudarlos a desarrollar un plan de seguridad cibernética para la empresa. Puede producir un plan de seguridad cibernética personalizado debajo de la página una vez que haya terminado de crearlo.

Proteja su conexión Wi-Fi

En el momento de la compra, el equipo de red Wi-Fi no era seguro. El dispositivo suele tener una contraseña predeterminada, pero siempre es recomendable cifrar el dispositivo con su propia contraseña especial. El enrutador debe permitirle seleccionar el tipo de nivel de seguridad de la contraseña a utilizar; sugerimos usar el código Wi-Fi Protected Access II (WPA2) más seguro.

Al mismo tiempo, debe mantener su red oculta para asegurarse de que el enrutador no transmita el nombre de su red. Para otorgar acceso a los clientes a Wi-Fi, es mejor configurar una cuenta de "invitado" que use una contraseña separada y diferentes configuraciones de seguridad para mantenerlos alejados de la red principal.

Proteja sus sistemas de pago

Para proteger los procesadores de pagos de su empresa, comuníquese con su institución bancaria para asegurarse de que el software del sistema esté actualizado. Tenga en cuenta que los sistemas de pago complejos son más difíciles de proteger. Sin embargo, el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago proporciona las pautas para ayudarlo a determinar el sistema a usar y cómo protegerlo.

También te puede interesar: 17 consejos geniales para redactar una política de seguridad cibernética que no apeste.

¿Cómo denunciar un incidente de ciberdelito?

Lamentablemente, los ataques cibernéticos a las pequeñas empresas son frecuentes. Por lo tanto, las víctimas de ciberataques necesitan conocer los pasos correctos a seguir cuando se manejan casos de ciberdelincuencia.

En el Reino Unido, todos los casos de delitos cibernéticos se informan a Action Fraud (enlace externo). Action Fraud luego envía el caso a la Oficina Nacional de Inteligencia contra el Fraude y le da un número de referencia de delito policial.

En caso de que las finanzas de su negocio se hayan puesto en riesgo, asegúrese de comunicarse con su banco lo antes posible para frustrar cualquier intento en su cuenta bancaria y comenzar las investigaciones sobre el fraude. Además, llama a tu aseguradora y busca de inmediato la ayuda necesaria si tu negocio tiene seguro cibernético.

Es probable que los casos en los que la información empresarial sea robada o comprometida infrinjan el RGPD. Por lo tanto, dichos incidentes deben informarse al ICO antes del lapso de 72 horas para reducir las posibles sanciones.

Tanto las empresas grandes como las pequeñas tienen mucho de qué beneficiarse con planes sólidos de seguridad cibernética. Asegurarse de hacer cumplir los procesos de seguridad de la información e instalar un software antivirus y antispyware confiable es la mejor manera de prevenir ataques de ciberdelincuencia en su empresa.

También ayudará incluir el seguro cibernético en la póliza de seguro de su pequeña empresa. En caso de un ataque cibernético, la cobertura del seguro ayudará a reducir el costo de la recuperación de datos, la reparación del sistema, la gestión de la reputación y la defensa legal.