La cumbre sobre la ciberseguridad 2024 de la SBA se celebrará el miércoles 16 de octubre y el miércoles 23 de octubre. Obtenga más información e inscríbase. (solo en inglés)

Refuerce su ciberseguridad

Los ataques cibernéticos son preocupantes para los pequeños negocios. Aprenda sobre estas amenazas y cómo protegerse.

Contenido


Por qué es importante la ciberseguridad

Los ataques cibernéticos le cuestan a la economía del país miles de millones de dólares al año. También representan una amenaza para las personas y las organizaciones. Las pequeñas empresas pueden ser un blanco atractivo para los ciberdelincuentes. Por lo general, carecen de lo necesario para proteger bien sus sistemas digitales.

Las encuestas señalan que muchas pequeñas empresas se sienten vulnerables a un ciberataque. Muchas no cuentan con los recursos para invertir en sistemas de informática profesionales. También pueden tener poco tiempo para invertir en la ciberseguridad, o no saben por dónde empezar.

Empiece a proteger su pequeño negocio al:

  • aprender las mejores prácticas comunes de ciberseguridad
  • entender las amenazas comunes 
  • destinar recursos para proteger y mejorar su ciberseguridad

Las mejores prácticas para prevenir ataques cibernéticos

Capacite a sus empleados

¿Cuáles son las causas principales de la violación de datos para las empresas pequeñas? Los empleados y sus comunicaciones en el trabajo. Ambos son una vía de entrada directa a sus sistemas. Capacite a sus empleados sobre las mejores prácticas básicas al usar el Internet. Podría ayudarle mucho a prevenir ataques cibernéticos.

Otros temas de capacitación útiles incluyen:

  • cómo identificar correos electrónicos de phishing
  • cómo utilizar buenas prácticas al usar el Internet
  • cómo evitar descargas sospechosas
  • cómo activar herramientas de autenticación (como contraseñas seguras, autenticación multifactorial, etc.)
  • cómo proteger información confidencial de proveedores y clientes

Asegure sus redes informáticas

Proteja su conexión de Internet encriptando su información y utilizando un cortafuegos (conocido como “firewall" en inglés). Si tiene una red wifi, asegúrese de que sea segura y de que esté oculta. Esto significa configurar su punto de acceso inalámbrico o enrutador para que este no transmita el nombre de su red. Esto también se conoce como el identificador de conjunto de servicios (SSID, por sus siglas en inglés). Proteja el acceso al enrutador con una contraseña. Si tiene empleados que trabajan fuera de la empresa, utilice una red privada virtual (VPN, por sus siglas en inglés). Una VPN les permitirá conectarse a su red de forma segura fuera de la oficina.

Use software antivirus y mantenga todo su software actualizado 

Instale un software antivirus en todas las computadoras de su negocio, y actualícelo regularmente. Puede encontrar software antivirus en línea  a través de varios vendedores. Todos los vendedores de software ofrecen arreglos y actualizaciones de sus productos para corregir problemas de seguridad y mejorar su funcionamiento. Se recomienda programar todo el software para que se actualice de manera automática. También, actualice el software asociado a los sistemas operativos, navegadores de Internet y otras aplicaciones. Esto ayudará a proteger todos los datos de su negocio.

Active la autenticación multifactorial

La autenticación multifactorial (MFA, por sus siglas en inglés) es una medida de seguridad importante. Verifica la identidad de una persona al exigirle que proporcione algo más que un simple nombre de usuario y contraseña. La MFA generalmente requiere dos o más de los siguientes datos:

  • algo que el usuario sabe (contraseña, frase, PIN)
  • algo que el usuario tiene (token físico, teléfono) 
  • algo que represente físicamente al usuario (huella digital, reconocimiento facial)

Consulte con sus proveedores para ver si ofrecen la MFA para cualquiera de sus cuentas (por ejemplo, financiera, de contabilidad, nómina).

Monitoree y administre cuentas de proveedores de servicios en la nube (CSP, por sus siglas en inglés)

Usar un CSP para alojar la información, aplicaciones y servicios de colaboración de su organización le adiciona una seguridad muy necesaria, especialmente si está utilizando una estructura de trabajo híbrida. Los proveedores del software como servicio (SaaS, por sus siglas en inglés) para su correo electrónico y productividad empresarial le pueden ayudar a proteger sus datos.

Asegure, proteja y copie sus datos confidenciales

  • Asegure el procesamiento de pagos - Consulte a sus bancos o procesadores de tarjetas de crédito para asegurarse de estar usando las herramientas y servicios contra fraude más confiables. También podría tener obligaciones de seguridad adicionales relacionadas con los acuerdos con su banco o procesador. No use sus sistemas de pago con otros programas menos seguros ni la misma computadora que usa para procesar pagos y navegar por Internet.
  • Controle el acceso físico - Prevenga el acceso o uso de las computadoras en su negocio por personas no autorizadas. Las computadoras portátiles y dispositivos móviles, en particular, podrían ser blancos fáciles para robarse o perderse, así que guárdelos con llave cuando no se estén usando. Asegúrese de crear una cuenta de usuario separada para cada empleado, que requiera contraseñas seguras. 
  • Limite los privilegios - Los privilegios administrativos solo deben concederse al personal informático de confianza y al personal clave. Realice periódicamente auditorías de acceso en su empresa. Esto garantiza que los antiguos empleados sean eliminados de sus sistemas. Cuando proceda, los antiguos empleados deben devolver todos los dispositivos proporcionados por la empresa. 
  • Copie sus datos - Asegúrese de copiar sus datos regularmente de todas sus computadoras. Si puede, copie sus datos y guárdelos en la nube semanalmente. Esto le ayudará a minimizar la pérdida de datos. Los datos críticos pueden incluir:
    • archivos financieros, de recursos humanos y de contabilidad
    • documentos de procesadores de texto, bases de datos, y bases de datos en línea
  • Controle el acceso a los datos - Revise con frecuencia los datos y la información que almacena en sistemas de almacenamiento en la nube. Esto puede incluir Dropbox, Google Drive, Box y Microsoft Services. Designe administradores para la unidad de almacenamiento en la nube y las herramientas de colaboración. Indíqueles que también supervisen los permisos de los usuarios. Los empleados solo deberían tener acceso a la información que necesiten.

Amenazas comunes

Aunque es importante incluir las mejores prácticas en su estrategia de ciberseguridad, las medidas de prevención solo pueden protegerle hasta cierto punto. Los ciberataques evolucionan constantemente y los empresarios deben conocer los tipos más comunes. Para obtener más información sobre una amenaza en particular, haga clic en los enlaces ofrecidos a continuación para ver un video breve o una hoja informativa en inglés.

El malware (software malicioso o maligno) es el software diseñado intencionalmente para causarle daño a una computadora, servidor, o red informática. El malware puede incluir los virus y el ransomware.

Los virus son programas dañinos creados con la intención de propagarse como una enfermedad de una computadora a otra. Los criminales cibernéticos utilizan los virus para obtener acceso a sus sistemas. Esto puede causar daños significativos y a veces irreparables. 

El ransomware es un tipo de malware. Infecta y restringe el acceso a una computadora hasta que el dueño pague por su rescate. El ransomware comúnmente bloquea los datos en el dispositivo de la víctima y exige dinero a cambio para restaurar los datos. El ransomware se aprovecha de las vulnerabilidades en el software con fallas de seguridad y generalmente se distribuye a través de correos electrónicos de phishing.

El spyware es una forma de malware. Obtiene información de alguien y la envía a otra entidad sin su consentimiento. Hay tipos de spyware que son legítimos y legales. Pudieran tener fines comerciales, como los datos publicitarios recopilados por las plataformas de redes sociales. Sin embargo, el spyware malicioso se usa con frecuencia para robar información y enviarla a otras partes.

El phishing es un tipo de ataque cibernético común. Puede usar algo como los enlaces en un correo electrónico para infectar su computadora con malware que recopile información confidencial. Los correos electrónicos aparentan ser legítimos, o de algún conocido. Estos correos frecuentemente incitan a los usuarios a abrir un enlace o documento adjunto que contiene código malicioso. Tenga mucho cuidado al abrir enlaces de fuentes desconocidas. Si algo parece sospechoso de una fuente conocida, no haga clic en el enlace, si no pregúntele directamente a la fuente si el enlace es legítimo.

Evalúe el riesgo de su empresa

Para mejorar la ciberseguridad de su negocio, lo mejor es entender el riesgo que corre de un ataque. También importa saber dónde proteger sus datos y sistemas.

Un análisis de riesgos de ciberseguridad puede ayudarle a identificar dónde se encuentran las vulnerabilidades en su negocio. También puede ayudarle a crear un plan de acción. Este plan debe incluir:

  • una orientación sobre la capacitación de los usuarios
  • información acerca de cómo asegurar las plataformas de correo electrónico 
  • instrucciones para proteger los sistemas de información y los datos de su empresa

Herramientas para la planificación y análisis

No hay nada que sustituya un dedicado apoyo informático, aunque este sea costoso. Se puede tratar de un empleado o consultante externo. La siguiente es una lista de medidas que las empresas pueden aprovechar para mejorar su ciberseguridad.

  • Cree un plan de ciberseguridad. La Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés) ofrece una herramienta de planificación de ciberseguridad en inglés (The Small Biz Cyber ​​Planner 2.0). Esta herramienta le puede ayudar a crear una estrategia personalizada y un plan de ciberseguridad.
  • Realice una revisión de resiliencia cibernética. El Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) se asoció con la División del Equipo de Respuesta a Emergencias Informáticas del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon (CERT, por sus siglas en inglés) para crear la Revisión de Resiliencia Cibernética (CRR, por sus siglas en inglés). Esta es una evaluación no técnica disponible en inglés para evaluar la resiliencia operativa y las prácticas de ciberseguridad. Puede completar la evaluación usted mismo o solicitar una evaluación facilitada por profesionales de ciberseguridad del DHS.
  • Realice evaluaciones de vulnerabilidades. Estas se ofrecen por medio de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés). CISA ofrece evaluaciones gratuitas de vulnerabilidades de higiene cibernética en inglés para pequeñas empresas. 
  • Administre el riesgo de la cadena de suministro de tecnología de la información y las comunicaciones (ICT, por sus siglas en inglés). Utilice el kit de materiales de administración de riesgos de la cadena de suministro disponible en inglés para ayudar a proteger la tecnología de la información y las comunicaciones de su empresa de ataques sofisticados a la cadena de suministro. Este kit de materiales desarrollado por CISA incluye recursos diseñados para ayudarle a crear conciencia y reducir el impacto de los riesgos de la cadena de suministro.
  • Aproveche los servicios y recursos de seguridad cibernética gratuitos. CISA ha recopilado una lista en inglés de recursos de ciberseguridad gratuitos, como herramientas de código abierto y servicios ofrecidos por organizaciones del sector público y privado, junto con orientación para pequeñas empresas. Además, la FTC ofrece orientación sobre cómo protegerse de las estafas y mantener seguros los datos de su clientela.
  • Mantenga el cumplimiento requerido del DoD (si lo requiere).  Los contratistas y subcontratistas federales deberán informarse acerca del programa de Certificación del Modelo de Madurez de Ciberseguridad (CMMC, por sus siglas en inglés). Su propósito es salvaguardar la información no clasificada controlada (CUI, por sus siglas en inglés) que comparte el DoD. CMMC es un marco y un programa de certificación de asesores que proporciona un modelo para que los contratistas cumplan con un conjunto de estándares y requisitos de seguridad cibernética. Bajo el CMMC, las empresas deben aplicar medidas de seguridad en función de la sensibilidad de la información. Estas se evaluarán en concordancia. La reglamentación está actualmente en progreso, pero es importante que los contratistas se mantengan al día con los requisitos. Se le requerirá un cierto nivel de CMMC como requisito para otorgarle un contrato.

Capacitación y eventos

Capacitación de la SBA

La SBA y sus recursos asociados regularmente organizan eventos de ciberseguridad virtuales y en persona (solo en inglés).

Otra capacitación

La Alianza Nacional de Ciberseguridad (solo en inglés) es una entidad pública-privada. Tiene eventos de ciberseguridad virtuales y en persona para ayudar a los dueños de pequeñas empresas a mantenerse seguros.

URL corta: sba.gov/ciberseguridad
Última actualización 2 de julio de 2024