Las cinco peores amenazas a la seguridad de las PYMES… y cómo resolverlas

Con la cantidad de cobertura mediática que atraen las filtraciones de datos recientes, como las experimentadas por empresas como eBay, Evernote y Domino’s Pizza, se le puede perdonar que piense que el delito cibernético es un problema de las grandes empresas.

Las cinco peores amenazas a la seguridad de las PYMES... y cómo resolverlas

Si bien hay pocas dudas de que con el potencial de un pago rentable, la empresa más grande es un objetivo más atractivo (y el compromiso minorista de Target en los EE. UU. es otro buen ejemplo), sería una tontería pensar que, como pequeña empresa, no está en el radar

La mayoría de los ataques cibernéticos en realidad no tienen en cuenta el tamaño de la empresa; los malos y los bots automatizados que emplean simplemente buscan agujeros de seguridad por los que escalar.

La mayoría de los ataques cibernéticos en realidad no tienen en cuenta el tamaño de la empresa; los malos y los bots automatizados que emplean simplemente buscan agujeros de seguridad por los que escalar

Aunque sería correcto decir que hay una cierta evolución divergente en la metodología de ataque, con las empresas más grandes al final de las amenazas más sofisticadas y dirigidas, no significa que las pequeñas empresas estén en menor riesgo.

Oportunidad es el nombre del juego, con atacantes lanzando la red más amplia posible en la que se encontrarán aquellas empresas más pequeñas con menos comprensión del panorama de amenazas a la seguridad de TI. La combinación de poca comprensión del riesgo y la aplicación de las mejores prácticas sirven para poner a la pequeña empresa promedio firmemente en el radar de ataque. Comprenda las principales amenazas de seguridad para su empresa y podría convertirse en un objetivo menos atractivo para los ciberdelincuentes.

Seguridad para pymes: ingeniería social

La ingeniería social sigue siendo la amenaza número uno para la seguridad de los datos para la mayoría de las pequeñas empresas. Ya sea en forma de troyanos dirigidos o phishing dirigido, que apuntan a un miembro específico del personal, perfiles de redes sociales más generales de su empresa para que parezca un cliente genuino, o ataques combinados que combinan todas estas metodologías de ataque. La buena noticia es que todos ellos pueden abordarse de la misma manera, y eso es a través de la educación de los empleados.

Confiar únicamente en una combinación de hardware y software nunca será suficiente; debe asegurarse de que su personal no esté simplemente abriendo la puerta a los malos y dejándolos irse con sus valiosos datos. Una vez que el personal es consciente tanto del valor que tienen los datos como de las formas en que la seguridad puede verse comprometida para acceder a ellos, entonces pueden mitigar el riesgo simplemente cambiando su comportamiento.

Cuanto más pequeña es la empresa, más fácil es lograr esto por una simple razón: tienen menos empleados para capacitar y mantener esa conciencia es menos costoso.

Seguridad para pymes: BYOD

Aunque el crecimiento del malware en la PC se ha mantenido bastante estático durante el último año, no ocurre lo mismo con los dispositivos móviles: el gráfico de malware para dispositivos Android se está disparando. El principal problema que esto trae a la pequeña empresa es la transferencia de la amenaza.

El malware activo en un dispositivo móvil se infiltrará rápidamente en los sistemas de su empresa, a menos que se tomen medidas para evitarlo. Obviamente, es mejor no infectarse en primer lugar, así que asegúrese de que el personal evite las tiendas de aplicaciones “no oficiales” y haga que la instalación del software de seguridad basado en dispositivos sea parte de la política Trae tu propio dispositivo (BYOD).

Y sí, incluso la empresa más pequeña debería tener algún tipo de política BYOD. No tener uno desdibuja los límites entre los datos personales y laborales, y es un compromiso de datos que está a punto de ocurrir. Igualmente importante: asegúrese de que la red de su empresa esté protegida con soluciones antimalware y de detección de intrusos actualizadas. Y, por último, cifre siempre los datos de trabajo almacenados en los dispositivos móviles en caso de pérdida o robo.

Seguridad para pymes: la nube

La nube no es intrínsecamente insegura, pero debe pensar detenidamente qué datos está almacenando en ella y cómo se protegen esos datos.

Especialmente si está utilizando servicios de nube “públicos” gratuitos o freemium que siguen siendo muy populares en el extremo más pequeño del espectro empresarial, ya que estas nubes públicas también son populares entre los malos. Si elige almacenar datos de esta manera, asegúrese de cifrarlos de antemano para protegerlos en tránsito y posteriormente.

Más problemático es cuando el personal utiliza servicios basados ​​en la nube para simplificar o hacer más conveniente su trabajo, ya sea como proveedor de correo web, almacén de datos o tomador de notas.

Cualquier cosa fuera del radar de la empresa presenta un riesgo potencial (por ejemplo, qué sucede si el tercero se ve comprometido: no lo vería como un riesgo para sus datos, ya que no se daría cuenta de que el personal los usa de esta manera), así que eduque a los empleados. sobre las implicaciones de seguridad del uso de tales servicios.

Seguridad SMB: contraseñas patéticas

Realmente no debería necesitar decirle que las contraseñas débiles son un problema, ni que el uso de notas Post-it para recordar las más fuertes también es una mala idea.

Sin embargo, a pesar de la disponibilidad de bóvedas de contraseñas gratuitas y de bajo costo, que no solo ayudan a crear y administrar contraseñas y frases de contraseña, sino que también evitan el robo fácil, muchas pequeñas empresas aún optan por la opción insegura.

Entonces, use una bóveda de contraseñas; y mejor aún, agregue otra capa de protección mediante el uso de autenticación de dos factores, que requiere un inicio de sesión/contraseña y un token. Estos no tienen por qué ser costosos de obtener y mantener, incluso para las empresas más pequeñas. No hace falta decir que los inicios de sesión siempre deben revocarse cuando un miembro del personal deja el negocio.

Seguridad SMB: la amenaza física

Las grandes empresas son muy conscientes de la amenaza física, pero a menudo es sorprendente cuántas pequeñas empresas se olvidan de este aspecto particular de la seguridad de los datos.

Los ciberdelincuentes robarán gustosamente sus portátiles y PC para acceder a los datos que contienen si el acceso a sus oficinas y al hardware en sí no es seguro. Mantener las puertas y ventanas cerradas cuando las instalaciones están vacías, el hardware bajo llave y el uso de alarmas y CCTV combinados ayudarán a disuadir a los delincuentes que buscan un transporte de datos fácil.

Y no olvides tu basura tampoco. Como un hacker novato hace más de veinte años, encontré la mayor parte de la información que necesitaba para “explorar” las redes buceando en la basura. En otras palabras, allané cubos de basura y contenedores fuera de las oficinas y descubrí datos de red, contraseñas e información útil para eludir los controles de acceso. El buceo en contenedores está muy vivo hoy en día, así que asegúrese de triturar todos los documentos antes de deshacerse de ellos.

Seguridad SMB: conclusión

La verdad es que el más simple de los cambios puede tener un efecto dramático en lo que se refiere al fortalecimiento de su postura de seguridad, y sin tener un impacto significativo en sus resultados. ¿Entonces, Qué esperas?