Refuerce su ciberseguridad

Los ataques cibernéticos le cuestan a la economía del país miles de millones de dólares al año y representan una amenaza para las personas y las organizaciones. Las pequeñas empresas en especial son un blanco atractivo porque tienen la información que quieren los ciberdelincuentes (estafadores inescrupulosos, gobiernos extranjeros, etc.) y por lo general, carecen de los equipos de seguridad que tienen las empresas más grandes para proteger bien sus sistemas digitales para almacenar, acceder y compartir datos e información.

Las encuestas señalan que la mayoría de propietarios de pequeñas empresas sienten que sus negocios son vulnerables a un ciberataque. Sin embargo, muchos no cuentan con los recursos para invertir en sistemas profesionales para proteger su información, tienen poco tiempo para invertirlo en ciberseguridad y no saben por dónde empezar.

Empiece por aprender las mejores prácticas comunes de ciberseguridad, entender las amenazas comunes y destinar recursos para proteger y mejorar su ciberseguridad.

Capacite a sus empleados

Los empleados y sus comunicaciones en el trabajo son las causas principales de la violación de datos para las empresas pequeñas puesto que son una vía de entrada directa a sus sistemas. Capacitar a sus empleados sobre las mejores prácticas básicas al usar el internet podría ayudarle mucho a prevenir ataques cibernéticos.

Otros temas de capacitación que se recomienda abordar incluyen:

• Cómo identificar correos electrónicos de phishing
• Cómo utilizar buenas prácticas al usar el Internet
• Cómo evitar descargas sospechosas
• Cómo activar herramientas de autenticación (por ejemplo, contraseñas seguras, autenticación multifactorial, etc.)
• Cómo proteger información confidencial de proveedores y clientes

Asegure sus redes informáticas

Proteja su conexión de Internet utilizando un cortafuegos (conocido como “firewall" en inglés) y encriptando su información. Si tiene una red Wi-Fi, asegúrese de que requiera contraseña para utilizarla y de que esté oculta. Para ocultar su red Wi-Fi, configure su punto de acceso inalámbrico o enrutador para que este no transmita el nombre de su red, también conocido como el identificador de conjunto de servicios (SSID, por sus siglas en inglés). Proteja el acceso al enrutador con una contraseña. Si tiene empleados que trabajan fuera de la empresa, utilice una red privada virtual (VPN, por sus siglas en inglés) para permitirles conectarse a su red de forma segura fuera de la oficina.

Use software antivirus y manténgalo actualizado 

Asegúrese que todas las computadoras en su negocio tengan instalado un software antivirus y que se actualice regularmente. Puede encontrar en línea ese tipo de software a través de varios vendedores. Todos los vendedores de software ofrecen arreglos y actualizaciones de sus productos para corregir problemas de seguridad y mejorar su funcionamiento. Se recomienda programar todos los softwares para que se actualicen de manera automática. Además de actualizar el software antivirus, es importante actualizar el software asociado a los sistemas operativos, navegadores de Internet y otras aplicaciones, ya que esto ayudará a proteger todo su equipo o infraestructura.

Active la autenticación multifactorial

La autenticación multifactorial (MFA, por sus siglas en inglés) es un mecanismo para verificar la identidad de una persona al exigirle que proporcione algo más que un simple nombre de usuario y contraseña. La autenticación multifactorial generalmente requiere que los usuarios proporcionen dos o más de los siguientes datos: algo que el usuario sabe (contraseña, frase, PIN), algo que el usuario tiene (token físico, teléfono) y/o algo que represente físicamente al usuario (huella digital, reconocimiento facial). Consulte con sus proveedores para ver si ofrecen autenticación multifactorial para sus diferentes tipos de cuentas (por ejemplo, financiera, de contabilidad, nómina).

Monitoree y administre cuentas de proveedores de servicios en la nube (CSP, por sus siglas en inglés)

Considere usar un CSP para guardar la información, aplicaciones y servicios de colaboración de su organización, especialmente si está utilizando una estructura de trabajo híbrida. Los proveedores de software para el correo electrónico y la productividad en el trabajo conocido como SaaS, por sus siglas en inglés, pueden ayudar a proteger los datos que se procesen.

Asegure, proteja y copie sus datos confidenciales

• Asegure el procesamiento de pagos - Consulte a sus bancos o procesadores de tarjetas de crédito para asegurarse de estar usando las herramientas y servicios contra fraude más confiables y respaldados por ellos. También podría tener obligaciones de seguridad adicionales relacionadas con los acuerdos con su banco o procesador. No use sus sistemas de pago con otros programas menos seguros ni la misma computadora que usa para procesar pagos y navegar por Internet.
• Controle el acceso físico - Prevenga el acceso o uso de las computadoras en su negocio por personas no autorizadas. Las computadoras portátiles y dispositivos móviles en particular, podrían ser blancos fáciles para robarse o perderse, así que guárdelos con llave cuando no se estén usando. Asegúrese de crear una cuenta de usuario separada para cada empleado, que requiera contraseñas seguras. Los privilegios administrativos solamente se deben otorgar a personal clave y del departamento informático de su confianza. 
• Copie sus datos - Asegúrese de copiar sus datos regularmente de todas sus computadoras. Los datos de mayor importancia incluyen los documentos de procesadores de texto, planillas electrónicas, bases de datos, archivos de finanzas, archivos de recursos humanos y archivos de contabilidad. Si puede, copie sus datos y guárdelos en la nube semanalmente.
• Controle el acceso a los datos - Revise con frecuencia los datos y la información que almacena en sistemas de almacenamiento en la nube, como Dropbox, Google Drive, Box y Microsoft Services. Designe administradores para la unidad de almacenamiento en la nube y las herramientas de colaboración e indíqueles que supervisen los permisos de los usuarios, dando a los empleados acceso solo a la información que necesitan.

Aunque es importante incluir las mejores prácticas en su estrategia de ciberseguridad, las medidas de prevención solo pueden protegerle hasta cierto punto. Los ciberataques evolucionan constantemente y los empresarios deben conocer los tipos más comunes. Para obtener más información sobre una amenaza en particular, haga clic en los enlaces ofrecidos a continuación para ver un video breve o una hoja informativa en inglés.

Malware

Malware (software malicioso o maligno) es un término genérico que se refiere al software (un conjunto o categoría de programas) diseñados intencionalmente para causarle daño a una computadora, servidor informático, cliente, o red informática. El malware puede incluir los virus y el ransomware (software que secuestra sus archivos o datos para después pedirle un rescate).

Virus

Los virus son programas dañinos creados con la intención de propagarse como una enfermedad de una computadora a otros dispositivos. Los criminales cibernéticos utilizan los virus para obtener acceso a sus sistemas y causar daños importantes y a veces irreparables. 

Ransomware

El ransomware es un tipo de software específico que infecta y restringe el acceso a una computadora hasta que se pague un rescate. El ransomware comúnmente bloquea los datos en el dispositivo de la víctima y exige dinero a cambio para restaurar los datos. El ransomware aprovecha vulnerabilidades en softwares con fallas de seguridad y generalmente se distribuye a través de correos electrónicos de phishing.

Spyware

El spyware es una forma de malware diseñado para obtener información de alguien y enviarla después a otra entidad sin su consentimiento. Hay tipos de spyware que son legítimos, legales y funcionan con fines comerciales, como los datos publicitarios recopilados por las plataformas de redes sociales; sin embargo, el spyware malicioso se usa con frecuencia para robar información y enviarla a otras partes.

Phishing

El phishing es un tipo de ataque cibernético que utiliza correos electrónicos o un sitio web maligno para infectar computadoras con malware o para recopilar información sensible. Los correos electrónicos aparentan haber sido enviados desde una organización legítima o algún conocido. Estos emails frecuentemente incitan a los usuarios a abrir un enlace o documento adjunto que contiene código malicioso. Tenga mucho cuidado al abrir enlaces de fuentes desconocidas. Si algo parece sospechoso de una fuente conocida, no haga clic en él enlace, pregúntele primero a la fuente si el enlace es legítimo.

El primer paso para mejorar la ciberseguridad de su negocio es entender el riesgo que corre de un ataque, y dónde puede hacer cambios para proteger sus datos y sistemas.

Un análisis de riesgos de ciberseguridad puede ayudarle a identificar dónde se encuentran las vulnerabilidades en su negocio, y ayudarle a crear un plan de acción, el cual debe incluir orientación sobre la capacitación de los usuarios, la seguridad de las plataformas de correo electrónico y la protección de los sistemas de información y los datos de su empresa.

Herramientas para la planificación y análisis

No hay nada que sustituya un dedicado apoyo informático, ya sea a través de un empleado o consultor externo, sin embargo, esos recursos pueden ser costosos. La siguiente es una lista de medidas (con recursos específicos) que todas las empresas pueden aprovechar para mejorar su ciberseguridad.

• Cree un plan de ciberseguridad. La Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés) ofrece una herramienta de planificación de ciberseguridad en inglés (The Small Biz Cyber ​​Planner 2.0) para ayudarle a crear una estrategia personalizada y un plan de ciberseguridad basado en las necesidades individuales de su empresa.
• Realice una revisión de resiliencia cibernética – el Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) se asoció con la División del Equipo de Respuesta a Emergencias Informáticas del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon (CERT, por sus siglas en inglés) para crear la Revisión de Resiliencia Cibernética (CRR, por sus siglas en inglés). Esta es una evaluación no técnica disponible en inglés para evaluar la resiliencia operativa y las prácticas de ciberseguridad. Puede completar la evaluación usted mismo o solicitar una evaluación facilitada por profesionales de ciberseguridad del DHS.
• Realice evaluaciones de vulnerabilidades - el DHS, a través de su subagencia: la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) también ofrece evaluaciones gratuitas de vulnerabilidades de higiene cibernética en inglés para pequeñas empresas. Ofrecen varios tipos de evaluaciones y pruebas para ayudar a las organizaciones a evaluar su exposición a amenazas para ayudar a proteger sus sistemas abordando sus vulnerabilidades conocidas y ajustando las configuraciones.
• Administre el riesgo de la cadena de suministro de tecnología de la información y las comunicaciones (ICT, por sus siglas en inglés) - Utilice el kit de materiales de administración de riesgos de la cadena de suministro disponible en inglés para ayudar a proteger la tecnología de la información y las comunicaciones de su empresa de ataques sofisticados a la cadena de suministro. Este kit de materiales desarrollado por CISA incluye mensajes estratégicos, redes sociales, videos y recursos, y está diseñado para ayudarle a crear conciencia y reducir el impacto de los riesgos de la cadena de suministro.
• Aproveche los servicios y recursos de seguridad cibernética gratuitos - CISA también ha recopilado una lista en inglés de recursos de seguridad cibernética gratuitos que incluyen servicios proporcionados por CISA, herramientas de software ampliamente utilizadas y servicios gratuitos ofrecidos por organizaciones del sector público y privado en la comunidad de seguridad cibernética. Utilice este archivo de recursos para mejorar aún más sus capacidades de seguridad.
• Mantenga el cumplimiento requerido del Departamento de Defensa (DoD, por sus siglas en ingles) para socios de la industria (si lo requiere) - el programa de Certificación del Modelo de Madurez de Ciberseguridad (CMMC, por sus siglas en inglés) es de especial relevancia para los contratistas y subcontratistas federales. Su propósito es salvaguardar la información no clasificada controlada (CUI, por sus siglas en inglés) que comparte el DoD. CMMC es un marco y un programa de certificación de asesores que proporciona un modelo para que los contratistas cumplan con un conjunto de estándares y requisitos de seguridad cibernética. Se basa en un modelo de 3 niveles (Elemental, Avanzado, Experto) en inglés, que requiere que las empresas implementen medidas de seguridad (y sean evaluadas respectivamente), según la confidencialidad de la información. La reglamentación está actualmente en progreso, pero es importante que los contratistas se mantengan al día con los requisitos, ya que se requerirá un cierto nivel de CMMC como requisito para otorgar algún contrato.

Capacitación de la SBA

La SBA y sus recursos asociados regularmente organizan eventos virtuales y en persona. Todos los siguientes enlaces están disponibles solo en inglés.

Revise los próximos eventos de ciberseguridad organizados por la SBA y sus recursos asociados.

Otra capacitación

La Alianza Nacional de Ciberseguridad, una entidad pública-privada, tiene una lista de eventos de ciberseguridad virtuales y en persona para ayudar a los dueños de pequeñas empresas a mantenerse seguros.