#GoToGetsIT: este artículo forma parte de una serie en curso de los principales líderes de opinión de GoTo: Nuestros consultores de soluciones comprenden ampliamente los desafíos exclusivos de nuestros clientes y conectan las soluciones adecuadas para alcanzar sus objetivos con la tecnología de GoTo. Aquí comparten sus conocimientos del sector sobre lo que se necesita para ayudar a las empresas de todo el mundo a prosperar en un mundo remoto o híbrido.
En el panorama digital actual, la ciberseguridad es fundamental para las organizaciones de todos los tamaños. Aunque las grandes corporaciones suelen acaparar los titulares por las infracciones de ciberseguridad, las pequeñas y medianas empresas son tan vulnerables a los ciberataques o incluso más.
De hecho, el informe de Spear Phishing: Top Threats and Trends (Phishing de objetivo definido: amenazas y tendencias principales) de Barracuda revela que los empleados de las empresas en crecimiento experimentan un 350 % más de ataques de ingeniería social que los empleados de las grandes empresas. Este tipo de ataques, como el phishing, las ofertas engañosas y la suplantación de identidad, no se basan en sofisticadas vulnerabilidades técnicas, sino que se centran en la manipulación de las personas para que divulguen datos confidenciales, realicen acciones o tomen decisiones que beneficien al atacante. Como explica un responsable de seguridad de la información, "Los adversarios con motivaciones financieras encuentran en las pequeñas y medianas empresas un blanco fácil debido a los insuficientes controles de seguridad y a la escasez de recursos cualificados a su disposición".
Sin embargo, más allá de los ataques de ingeniería social, existen multitud de otras amenazas que pueden suponer riesgos importantes para su empresa en crecimiento. Estas amenazas van desde ataques de ransomware que pueden mantener sus datos más importantes como rehenes hasta que se pague un rescate, hasta infecciones de malware que pueden interrumpir sus operaciones y poner en riesgo su información confidencial.
Para ayudarle a proteger su pequeña o mediana empresa, hemos elaborado una práctica lista de comprobación de ciberseguridad. Estos pasos aplicables reforzarán sus defensas digitales y salvaguardarán sus valiosos activos de posibles ciberamenazas.
La lista de comprobación de ciberseguridad imprescindible para su pequeña o mediana empresa
1. Implementar una formación de concienciación sobre seguridad
La formación para aumentar la concienciación sobre seguridad implica informar a sus empleados sobre las mejores prácticas de ciberseguridad. Esta formación les ayuda a comprender las amenazas más comunes, como los correos electrónicos de phishing y cómo responder a ellos. Por ejemplo, los empleados pueden aprender a identificar los correos electrónicos sospechosos buscando direcciones de remitentes inusuales o solicitudes de información confidencial. Las sesiones de formación periódicas y los ejercicios de phishing simulado pueden hacer que su equipo esté más alerta frente a las ciberamenazas. Plataformas como KnowBe4 o SANS Security Awareness ofrecen módulos de formación fáciles de usar y pruebas de phishing simuladas que ayudan a los empleados a reconocer y responder a las amenazas en línea de forma eficaz.
2. Aplicar un control de acceso para los datos confidenciales
El control de acceso garantiza que solo el personal autorizado pueda acceder a los datos y sistemas confidenciales. Para reforzar la postura de seguridad de su organización, implemente una herramienta de gestión de contraseñas para fomentar prácticas de uso de contraseñas seguras y almacenar las credenciales de forma segura. También debería adoptar un sistema de control de acceso basado en funciones (RBAC) en el que los privilegios de acceso se asignen a los usuarios en función de sus funciones y responsabilidades laborales. Este enfoque garantiza que cada persona solo tenga acceso a los recursos y la información necesarios para sus funciones específicas. Por ejemplo, solo los responsables de RR. HH. deben tener acceso a los datos de las nóminas de la plantilla, mientras que el resto de los empleados tienen restringido el acceso a esta información confidencial.
3. Aplicar la autenticación multifactor (MFA)
La autenticación multifactor (MFA) añade una capa adicional de seguridad. Para hacerlo, solicita una segunda forma de verificación, como una aplicación móvil o un código enviado por mensaje de texto, además de una contraseña. El procedimiento puede involucrar algo que conoce (como una contraseña), algo que posee (como una aplicación móvil o un token de hardware) o algo que es (datos biométricos como huellas dactilares o reconocimiento facial). Seleccione una solución de MFA que se ajuste al tamaño, presupuesto y pila tecnológica de su organización. Google Authenticator y Microsoft Authenticator son opciones muy utilizadas, pero también hay otras disponibles.
4. Reforzar la seguridad del terminal en los dispositivos
Del mismo modo que se hace chequeos médicos periódicamente para asegurar su bienestar, es de vital importancia que garantice una protección sólida de todos los ordenadores y dispositivos móviles de su organización mediante una herramienta de protección de terminales . Integrated Partner Solutions, Inc., una empresa dedicada a automatizar los procesos de ingeniería, es un gran ejemplo de ello. Mediante el uso de un software de supervisión y gestión remotas (RMM), esta empresa incrementó con éxito la seguridad de los terminales en medio de los ajustados plazos que se manejan en los proyectos de ingeniería. Gene Perry, vicepresidente de Integrated Partner Solutions, subrayó el valor de esta protección, especialmente a la hora de gestionar datos de ingeniería patentados. Hizo hincapié en la tranquilidad que sus clientes sentían gracias a su software de RMM y a su cifrado de datos de extremo a extremo basado en permisos. El uso de un software de gestión de dispositivos móviles además del software de RMM puede ayudar a garantizar la seguridad de los datos y el cumplimiento de la normativa en los dispositivos móviles utilizados para el trabajo, de modo que todos ellos, tanto los que son propiedad de la empresa como los personales, estén protegidos.
5. Evaluar la seguridad del proveedor
Si su empresa contrata proveedores externos o servicios en la nube, como herramientas para realizar reuniones remotas o software para la gestión de nóminas, evalúe sus prácticas de seguridad y asegúrese de que cumplen con sus estándares de ciberseguridad. Preste especial atención al modo en que manejan los datos confidenciales, a su gestión de los accesos y a sus prácticas de encriptación. Dependiendo de su sector, quizá también quiera asegurarse de que sus proveedores cumplan con las normativas específicas en materia de ciberseguridad (por ejemplo, el GDPR, la HIPAA y el PCI DSS) si manejan sus datos. Busque herramientas que ofrezcan protocolos de seguridad avanzados, como la arquitectura Zero Trust, para dar tranquilidad a su organización en lo que respecta a la seguridad del acceso remoto.
6. Desarrollar un plan de respuesta frente a incidentes
Cree un plan integral de respuesta frente a incidentes que detalle claramente los pasos que se deben seguir cuando surjan incidentes de ciberseguridad y asigne funciones y responsabilidades para que la respuesta sea coordinada. Por ejemplo, nombre a un coordinador de incidentes que supervise todos los pasos que se sigan durante la respuesta para asegurarse de que todas las acciones estén coordinadas y alineadas con el plan. Los analistas técnicos, por su parte, se encargan de investigar y evaluar la naturaleza y el alcance del incidente. El departamento de asesoría jurídica también debe formar parte de su equipo de respuesta, listo para abordar cualquier implicación legal que pudiera tener el incidente.
7. Establecer un proceso de incorporación de empleados
Cuando un empleado abandona su empresa, es muy importante eliminar su acceso a los sistemas y a los datos. Esto es similar a la recogida de llaves y tarjetas de acceso cuando un empleado abandona una oficina. Una forma de facilitar el proceso es crear una lista de comprobación de revocación de acceso. Esta lista debe incluir todos los sistemas, aplicaciones y repositorios de datos a los que tienen acceso los empleados que se marchan. En cuanto se confirme la salida de un empleado, repase sistemáticamente esta lista de comprobación para desactivar o cambiar sus credenciales de acceso. Por ejemplo, si su empresa utiliza servicios basados en la nube como Microsoft 365 o Google Workspace, puede revocar fácilmente el acceso si desactiva sus cuentas de usuario. Además, es preciso actualizar los protocolos de contraseñas para garantizar que los exempleados no puedan utilizar sus contraseñas antiguas para obtener acceso no autorizado.
Proteger su pequeña y mediana empresa en la era digital
La ciberseguridad es un proceso continuo. Si implementa estas prácticas, mejorará significativamente su seguridad y protegerá su negocio en la era digital.
La solución de asistencia y gestión de TI integral de GoTo Resolve ayuda a minimizar el riesgo de ciberamenazas para las empresas en crecimiento y permite a los miembros del equipo proteger y asegurar los activos de TI sin provocar perjuicio alguno a los clientes. Busca y detecta en todos los servidores y estaciones de trabajo los parches necesarios y programa automáticamente su implementación, además de supervisar y gestionar el software antivirus desde un único panel de control. Con nuestro modelo de seguridad líder en el sector, su pequeña o mediana empresa podrá cumplir de forma segura todos sus requisitos de ciberseguridad.
