Cómo proteger su pequeña empresa de los dañinos ataques cibernéticos
Publicado: 2021-10-26Protegiendo su pequeña empresa
Octubre ha sido designado Mes Nacional de Concientización sobre Seguridad Cibernética por el Departamento de Seguridad Nacional. Y si bien puede pensar que su empresa es demasiado pequeña para preocuparse por la ciberseguridad, se equivoca.
Recientemente hablé con Stephanie Benoit-Kurtz, profesora principal de seguridad cibernética de la Universidad de Phoenix y consultora principal de seguridad en Trace3, sobre cómo los propietarios de pequeñas empresas pueden proteger mejor a sus empresas de los ataques cibernéticos.
Muchos propietarios de pequeñas empresas y nuevas empresas piensan que sus empresas son demasiado pequeñas para que los ciberdelincuentes se molesten en piratearlas. Sé que está mal. ¿A qué peligro se enfrentan las pequeñas empresas?
Stephanie Benoit-Kurtz: Las pequeñas empresas son un objetivo por varias razones. Los malos actores son conscientes de que es posible que no cuenten con grandes equipos o sistemas de TI para responder o prevenir un incidente. Según el FBI, el delito cibernético le costó a las empresas más de $2700 millones en 2020. Con más de 791 000 quejas, los delincuentes van a donde pueden monetizar el esfuerzo.
¿Qué riesgos de ciberseguridad deben tener en cuenta las pequeñas empresas?
Benoit-Kurtz: A medida que se atacan organizaciones grandes y pequeñas, los ataques a pymes aumentan en frecuencia y ahora cierran la brecha con las organizaciones más grandes. Según Verizon, en el Informe DBIR , las infracciones de organizaciones más pequeñas han aumentado en frecuencia año tras año. La intrusión en el sistema sigue siendo uno de los principales contribuyentes a los incidentes. Aquí es cuando los malos actores obtienen acceso a los datos y sistemas.
¿Cuáles son las ciberamenazas más comunes para las pequeñas empresas? ¿Son diferentes si opera un negocio virtual/remoto?
Benoit-Kurtz: Las estafas de correo electrónico y de ingeniería social continúan causando estragos en todas las empresas. PWC ejecutó una simulación de phishing en varias instituciones financieras y el 70 % de los correos electrónicos se entregaron con una tasa de clics del usuario final del 7 %. Solo se necesita un clic para exponer su organización a un mal actor. Una gran cantidad de cargas útiles todavía llegan a través del correo electrónico. CISA tiene excelentes consejos sobre cómo evitar ser víctima de phishing e ingeniería social.
Estos problemas no difieren significativamente entre los negocios virtuales o remotos frente a los negocios en el sitio. Las organizaciones deben proporcionar capacitación regular sobre phishing e ingeniería social para reducir los incidentes. Varios expertos comparten que las organizaciones que capacitan a los empleados para identificar situaciones de phishing e ingeniería social pueden reducir aproximadamente el 70 % del riesgo. Este problema solo ha aumentado exponencialmente durante la pandemia de COVID-19. En el Informe de phishing y fraude de 2020 , F5 informa que los ataques de phishing aumentaron un 220 % durante la pandemia.
La mejor defensa es un buen ataque, y las pequeñas empresas deben invertir en la capacitación en ingeniería social y phishing de los empleados. Los servicios son relativamente económicos y pueden proporcionar una capa adicional de protección para una pequeña empresa.
¿Hay alguna política de contraseñas que recomiendes?
Benoit-Kurtz: La otra amenaza principal es el robo de credenciales. Los inicios de sesión y las contraseñas están expuestos a través de una conexión insegura o porque se usaron en una organización anterior que fue violada. Suponga que todas sus redes sociales, correo electrónico personal y otros inicios de sesión y contraseñas han sido revelados en algún lugar. Para sus cuentas de trabajo, no reutilice los inicios de sesión ni las contraseñas.
A menudo, cuando se viola una organización, los inicios de sesión y las contraseñas salen a la venta en Darkweb, donde los piratas informáticos compran las listas y luego buscan víctimas en un enfoque de tipo spearphishing. La segunda recomendación es hacer su contraseña un poco más compleja. Por ejemplo, no use el nombre de su hijo o mascota, sino una frase de contraseña que contenga caracteres especiales y números. A veces, los empleados sufren fatiga de contraseñas. Una bóveda de contraseñas podría ser una mejor solución. Esto crea contraseñas únicas y brinda a los empleados una herramienta para ayudarlos a administrar sus cuentas. PC Magazine publicó un gran artículo sobre los "Mejores administradores de contraseñas para 2021", donde desglosan los beneficios de diferentes soluciones.
Benoit-Kurtz: ¿Cómo se mantienen seguros los datos si los empleados trabajan en cafeterías, aeropuertos, habitaciones de hotel, etc.?
Las redes gratuitas en cafeterías, hoteles, restaurantes y aeropuertos son inseguras. Estos servicios convenientes y fáciles de conectar no están administrados y atacan a los piratas informáticos que se aprovechan de los usuarios desprevenidos. Incluso si necesita ingresar el número de su habitación de hotel o algún tipo de código de acceso, es probable que se trate de una red desprotegida donde sus datos personales y de la empresa podrían estar en riesgo. Considere proporcionar a los empleados planes de datos en sus teléfonos celulares o puntos de acceso que permitan un acceso seguro a la red. Aquí es donde conecta su computadora a una conexión de red segura a un teléfono celular u otro dispositivo LTE. Este tipo de conectividad también funciona para equipos que necesitan colaborar. ComputerWorld, en el artículo "Cómo usar su teléfono inteligente como un punto de acceso móvil", proporciona detalles sobre cómo esta práctica simple puede mejorar la postura de seguridad de las pequeñas empresas.
¿Qué es una VPN y cómo configura una pequeña empresa?
Benoit-Kurtz: Si debe usar Internet de acceso público mientras trabaja desde casa o de forma remota, una red privada virtual (VPN) es una excelente solución para crear una capa adicional de seguridad. Piense en una VPN como el envoltorio de un dulce. El envoltorio mantiene los dulces dentro y otros contaminantes fuera. El software VPN brinda protección de encriptación en torno a su conexión a Internet, lo que hace que sea mucho más difícil para los piratas informáticos interceptar la comunicación. Además, el software/servicio es relativamente económico y las pequeñas empresas no necesitan construir su propia VPN. En su lugar, pueden obtener un producto en el mercado que proporcione seguridad sin grandes costos.
¿Cómo lograr que los empleados sigan estas pautas?
Benoit-Kurtz: parte de un programa de seguridad sólido incluye capacitación de concientización, herramientas y métricas de uso. Las pequeñas empresas deben estar atentas. La gestión de la configuración se puede implementar para obligar a las máquinas de los empleados a tener protección de punto final. Los clientes VPN se deben usar cuando se está en un lugar remoto y no se permiten conexiones a redes aleatorias. También puede hacerlo divertido, como recompensar a los empleados con tarjetas de regalo y obsequios de la empresa por cumplir con las normas. Reconocer a los usuarios que se esfuerzan.
¿Cuál es el costo de una infracción?
Benoit-Kurtz: En pocas palabras, las infracciones son costosas. Como pequeña empresa, su reputación y la confianza de sus clientes podrían estar en riesgo. Small Business Trends estima que el costo promedio de una brecha en una pequeña empresa es de $25,000. E IBM, en su informe anual sobre el costo de una violación de datos , dice que en los últimos dos años estos costos han aumentado más del 10 %. Sin embargo, ese costo no incluye la pérdida de confianza del cliente y la pérdida de negocios asociada cuando los clientes se van a la competencia.
¿Es costoso hacer que su pequeña empresa sea cibersegura?
Benoit-Kurtz: No, contar con una sólida protección de ciberseguridad no tiene por qué ser costoso. Piense en ello como mantas en una cama. La ciberseguridad proporciona capas de diferentes tecnologías y procesos que protegen a los usuarios. La capacitación, el software VPN, la protección de puntos finales y los puntos de acceso reducen en gran medida el riesgo y se pueden implementar sin un gran personal de TI. Como pequeña empresa, busque un socio de seguridad que lo ayude con soluciones y escalabilidad que funcionen dentro de su presupuesto.
Hay muchos recursos excelentes para ayudar a las pequeñas empresas en su proceso de seguridad. La SBA publica numerosos materiales excelentes y existen organizaciones de seguridad que se especializan en ayudar a las empresas en su proceso de seguridad. Una excelente manera de comenzar es invitar a un socio de seguridad para que brinde una evaluación de riesgos de seguridad y lo ayude a comenzar. Un gran socio de seguridad no solo lo ayudará a encontrar sus puntos débiles, sino que también hará crecer su programa de seguridad a medida que cambia el panorama de las amenazas. Si no tiene un socio de seguridad, haga su tarea y entreviste a varias organizaciones para encontrar una buena opción.
Por supuesto, su mentor SCORE puede ayudarlo a tomar la decisión correcta. Encuentre uno hoy.