Cómo proteger la base de datos de su empresa

Las estadísticas de ciberdelincuencia, fraude en línea y robo de datos son una lectura inquietante. La Federación de Pequeñas Empresas (FSB) afirma que el 45% de sus miembros han sido víctimas de delitos en línea, como infecciones de malware, ataques de piratería o filtraciones de datos completas en 2016-2017. El coste medio por empresa fue de 1.400 libras esterlinas.

Protección de datos: Cómo proteger la base de datos de su empresa

Especialmente para los propietarios de pequeñas y medianas empresas (PYMES), el impacto de tales ataques va más allá de la pérdida financiera inmediata y la interrupción del horario de trabajo diario: también hay que tener en cuenta la pérdida de reputación y la confianza del cliente. A pesar de esto, son las PYMES las que tienen más dificultades para encontrar medidas de seguridad asequibles y factibles. Esto puede conducir a una protección deficiente o, peor aún, a ninguna seguridad en

Para ayudar a resolver el problema, aquí hay diez formas simples de hacer que su negocio sea más seguro.

Para obtener más información sobre cómo crear una política de seguridad de TI, visite Cómo redactar la política de seguridad de TI de su empresa.

1. Conoce tus datos

1 - 10 formas de hacer que su negocio sea más seguro

No todos los datos son iguales. El punto de partida para cualquier negocio debe ser comprender qué datos son críticos o confidenciales para el negocio. Debe identificar cómo se usa y dónde se almacena. La auditoría más básica se puede lograr simplemente considerando lo que podría suceder si se produjera una infracción y los datos, como los datos financieros o los registros de empleados o clientes, se vieran comprometidos.

Una vez que comprenda el efecto probable en su negocio, y puede haber múltiples escenarios hipotéticos, según la naturaleza del incidente, tendrá un plan para los niveles de impacto en su negocio.

Los datos de alto riesgo deben protegerse adecuadamente y puede dedicar una mayor parte de sus recursos a garantizar que así sea. Solo tenga en cuenta que su trabajo no se detiene allí: no puede ignorar los datos que ha clasificado como menos riesgosos; más bien, debe priorizar sus esfuerzos de seguridad en consecuencia.

2. Administre sus contraseñas de la manera más fácil

2 - 10 formas de hacer que su negocio sea más seguro

Las contraseñas son el núcleo de toda política de seguridad, pero garantizar que sean seguras y se cumplan no es fácil. Los consumidores tienen servicios como LastPass para ayudar a generar y administrar sus contraseñas, pero ¿debería una empresa usar administradores de contraseñas?

LastPass y otros servicios similares tienen versiones empresariales disponibles a un bajo costo por usuario. Estos ofrecen todas las opciones básicas de generación de contraseñas seguras que esperaría, con una variedad de extras orientados al negocio: por ejemplo, puede establecer estándares mínimos de contraseñas para toda la empresa para cumplir con los requisitos de su política, o aplicar políticas personalizadas para restringir el acceso. a dispositivos, grupos o ubicaciones específicos.

Luego está la integración de Active Directory (AD)/Lightweight Directory Access Protocol (LDAP). Esto puede importar perfiles AD existentes, automatizar herramientas de generación de informes para resaltar las debilidades en la cadena de seguridad de contraseñas y ofrece sincronización en tiempo real entre dispositivos para ayudar con el aumento de la cultura Bring Your Own Device (BYOD). Puede estar protegido por una contraseña maestra, que el administrador puede restablecer o revocar.

3. Educación

3 - 10 formas de hacer que su negocio sea más seguro

Todos en su empresa deben comprender la política de seguridad de la empresa y saber por qué es importante. La educación no tiene por qué ser costosa: se puede integrar fácilmente en el proceso de inducción del personal, y podría considerar cursos de actualización semestrales para poner al día a los empleados existentes con cualquier cambio, incluidas las amenazas de las que deberían estar al tanto.

Solo se necesita una hora de vez en cuando para sentarse con un empleado para explicarle cómo se aplica la seguridad a su rol particular y para responder cualquier pregunta. Recuerde, la educación y la comunicación son tan importantes como herramientas contra el ciberdelito como la tecnología informática que utiliza para defender sus datos.

Sin embargo, para que sea eficaz, debe implementarse de abajo hacia arriba y de arriba hacia abajo, es decir, todos, desde el director ejecutivo hasta el trabajador temporal de verano, deben estar a bordo para que una política de seguridad funcione. Eso no significa que se deba dar la misma formación a todos; la mejor capacitación se adapta al rol específico del empleado y las amenazas que pueden enfrentar.

4. ¿Cifrar o no cifrar?

4 - 10 formas de hacer que su negocio sea más seguro

De todos los consejos presentados aquí, el cifrado es probablemente el más controvertido. Pero también es el más valioso en términos de protección de datos. Es controvertido porque el cifrado siempre se ha visto como el reino de los nerds y, por lo tanto, fuera del alcance de los dueños de negocios ordinarios; además, hay que tener en cuenta el pequeño asunto de la conveniencia.

Ambos argumentos se debilitan a medida que las tecnologías de encriptación se vuelven más fáciles de implementar y trabajar. Si una computadora portátil/dispositivo de almacenamiento se pierde o es robada y los datos que contiene están encriptados, es mucho menos probable que represente un riesgo para la seguridad de su empresa. Sin embargo, todas las empresas deben sopesar la relación protección/conveniencia antes de lanzarse.

Lo mismo ocurre con los datos en tránsito. A pesar del reciente susto de piratería de Heartbleed, es mucho más seguro asegurarse de que todas las transacciones en línea se realicen utilizando Secure Sockets Layer (SSL) que a través de una conexión insegura. El consejo de mejores prácticas es investigar qué opciones de encriptación están disponibles para adaptarse a sus datos, dispositivos y uso comercial.

Pero la conclusión es que, desde SSL y contenedores USB cifrados en un extremo de la escala hasta el cifrado sobre la marcha en el otro, los datos cifrados son más seguros que los datos que no lo son. ¿Quieres arriesgarte a las consecuencias de ignorar eso?

5. Prepárate

5 - 10 formas de hacer que su negocio sea más seguro

Una parte integral de cualquier estrategia de seguridad de TI de una pequeña empresa es un documento formal que entra en detalles adecuados y luego se mantiene actualizado, en lugar de guardarlo en un cajón y olvidarlo. Puede sonar tedioso, pero debe planificar no solo cómo proteger sus datos y recursos, sino también qué hacer en caso de que las cosas salgan mal.

Aunque muchas empresas más pequeñas asumen que una política de seguridad de TI de este tipo es algo que solo requieren las grandes empresas, se equivocan: todas las empresas, incluida la PYME más pequeña, pueden beneficiarse de la implementación de una política de seguridad. El truco es entender que es más que un simple documento formal para ser archivado acumulando polvo; debe verse como un dispositivo dinámico para ayudarlo a comprender qué significa la seguridad de los datos para el negocio. A continuación, puede crear una respuesta estructurada que se adapte a sus necesidades. Piense en ello como un compromiso de proteger todos los datos que crea y usa, y como una parte absolutamente integral de sus procesos comerciales.

La mejor política de seguridad de TI detallará no solo cómo proteger sus datos, sino también cómo reaccionar cuando algo sale mal. Establecer una estrategia de respuesta a incidentes cuando se tiene la cabeza tranquila es mucho mejor que tratar de arreglar las cosas en el fragor del momento.

6. Actualizar, parchear, actualizar, parchear…

6 - 10 formas de hacer que su negocio sea más seguro

Si desea que su negocio sea seguro, debe mantenerse actualizado. En concreto, debes actualizar todo el software que utilizas día a día en tu negocio: los sistemas operativos de todos los dispositivos, desde smartphones hasta servidores, más el software que corre sobre los sistemas de seguridad que los protegen a todos.

Es obvio que mantener su software antivirus actualizado garantizará que ofrezca la mejor protección posible, sin embargo, para muchas pequeñas empresas esto es una prioridad baja en la lista de tareas pendientes. El software de seguridad, por lo general, busca e instala actualizaciones automáticamente. Si bien se puede decir lo mismo de las actualizaciones del sistema operativo, las actualizaciones automáticas generalmente se desactivan debido al consumo de recursos y la interrupción que pueden causar.

Las empresas más grandes tienen políticas de aplicación de parches y sistemas automatizados de administración de parches, pero están más allá del alcance financiero y de implementación de la mayoría de las PYMES. Las alternativas útiles incluyen la implementación de escáneres para ejecutar verificaciones periódicas del sistema en busca de software vulnerable o sin parches, y luego programar esas actualizaciones durante las horas de menor actividad de su empresa. No hacer nada no es una opción, especialmente si ya hay un parche disponible. Piénselo: si el parche está disponible, los posibles atacantes se darán cuenta del problema y encontrarán formas de explotarlo. La aplicación de parches tiene un costo relativamente bajo, especialmente en el extremo más pequeño de la escala comercial, pero invertir su tiempo en ello traerá recompensas invaluables en lo que respecta a la seguridad.

7. Desarmar la bomba BYOD

7 - 10 formas de hacer que su negocio sea más seguro

Bloquear sus datos en movimiento siempre ha sido importante, especialmente desde que se introdujeron las computadoras portátiles. Sin embargo, nunca ha sido tan imperativo para la seguridad como lo es ahora, gracias a la explosión de Bring Your Own Device (BYOD).
Es mucho más probable que la bomba BYOD detone dentro de las empresas más pequeñas, donde los ahorros de costos de permitir que el personal use sus propios teléfonos inteligentes, tabletas y computadoras portátiles parecen superar con creces cualquier riesgo de seguridad. La verdad del asunto es que los datos móviles deben protegerse con el mismo rigor que en su propia red. La combinación de datos personales y comerciales en dispositivos móviles, junto con la falta de controles de seguridad corporativos fuera del lugar de trabajo (cuando se conecta a la red doméstica, por ejemplo) es una receta para el desastre.

Detener BYOD no es una opción para la mayoría de las empresas, pero esto no significa que no pueda reducir el riesgo de seguridad. Las soluciones de seguridad pueden incluir dividir un dispositivo en partes seguras de trabajo y juego, o implementar controles basados ​​en políticas que requieran que los usuarios tengan dispositivos bloqueados. Los datos de trabajo encriptados y las funciones de borrado remoto también ayudan.

Si bien las soluciones de administración de dispositivos móviles están más allá del presupuesto de la mayoría de las PYMES, una combinación de educación de los usuarios sobre los riesgos, el software de seguridad en el dispositivo y los controles de red implementados correctamente pueden ofrecer una protección integral razonable a un costo relativamente bajo.

8. Usa la nube

8 - 10 formas de hacer que su negocio sea más seguro

Si bien la idea de encriptar todo puede ser controvertida, algunos consideran que la idea de adoptar la nube para fines de trabajo profesional es absolutamente escandalosa. Sin embargo, la nube puede ser una opción genuinamente segura para la mayoría de las pequeñas empresas.

En particular, tiene sentido si su empresa no tiene el tiempo o el conocimiento para estar al tanto de todos los problemas de seguridad y las actualizaciones e implementaciones que necesita, porque un buen proveedor de servicios en la nube (CSP) tiene tiempo.

No tenga miedo de la nube para el almacenamiento de datos o el uso de servicio de aplicaciones, ya que un CSP de buena reputación será más proactivo que usted en el mantenimiento de parches de software e implementación de seguridad; para sobrevivir, los CSP deben tomarse la seguridad en serio. Lo que es más, pueden hacerlo a un menor costo para su resultado final que usted.

La naturaleza en cualquier momento y en cualquier lugar del acceso a la nube incluso proporciona una buena ruta de recuperación ante desastres para las empresas más pequeñas. Por supuesto, la nube no es 100% segura y debe pensar dónde se encuentran sus datos y quién tiene acceso a ellos. Aquí, sin embargo, el cifrado es su amigo (consulte el consejo 4), al igual que las herramientas de inicio de sesión único para el uso de la nube, que los administradores de contraseñas empresariales (consulte el consejo 2) a menudo pueden proporcionar.

9. Hora de hacer ejercicio físico

9 - 10 formas de hacer que su negocio sea más seguro

La buena seguridad de los datos no se trata solo de bits y bytes: también se trata de los bits y bobs, desde la PC de recepción hasta el teléfono en su bolsillo. Necesita asegurar su hardware y asegurar el acceso a sus instalaciones. La política de seguridad de cada PYME debe abarcar lo físico, o podría contar el costo cuando alguien entra y roba una computadora portátil y, al hacerlo, también podría robar el acceso a la red y los datos.

Las cosas simples pueden reducir el riesgo de pérdida de datos, como mantener las puertas y ventanas cerradas cuando la oficina está cerrada, colocar alarmas, usar candados Kensington en computadoras de escritorio y portátiles y exigir a los usuarios que tengan las pantallas de bloqueo activadas cuando estén lejos de sus escritorios. además de tener cuidado con quién dejas entrar a tus instalaciones.

Triture los documentos para evitar rastros en papel que podrían ser útiles para los ciberdelincuentes y guarde sus archivos en papel en armarios cerrados. Finalmente, buscar el consejo de un oficial local de prevención del crimen tampoco es una mala idea.

10. Actúa hoy

10 - 10 formas de hacer que su negocio sea más seguro

El consejo de seguridad más importante para cualquier empresa es asumir la responsabilidad de sus datos y hacerlo ahora.

Incluso cuando tiene una política de seguridad escrita e implementada, el personal capacitado, los datos encriptados y los dispositivos bajo control, no puede permitirse dormirse en los laureles y asumir que ahora está seguro. La seguridad de TI es un panorama dinámico y en constante cambio, y proteger sus datos es su responsabilidad.

Los malos no se quedarán sentados: estarán al tanto de las últimas vulnerabilidades y debilidades, por lo que depende de usted mantenerse al día con ellos.