La más reciente publicación por el Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en inglés), titulada “Seguridad de la Información en los Pequeños Negocios: Los fundamentos” apunta a promover y asistir a los pequeños negocios en sus esfuerzos por manejar los riesgos de la información. Escrito por Celia Paulsen y Patricia Toth, el reporte habla directamente a las necesidades de negocios en crecimiento y sugiere que la seguridad de la información, sistemas y redes debe ser una máxima prioridad. En general, el reporte explica algunos de los problemas de seguridad únicos a los pequeños negocios y ofrece guías para salvaguardar la información y ayudar a esos negocios a prosperar. A continuación están varios puntos importantes del reporte.
Los pequeños negocios son particularmente vulnerables
En muchas maneras, los pequeños negocios tienen aún más que perder que los grandes simplemente porque un evento — Sea un hackeo, desastre natural, o pérdida de recursos — puede ser increíblemente costoso. El reporte comienza por notar mientras las mejoras en Ciberseguridad de algunos negocios los han hecho más difíciles de ser atacados, esto ha llevado a los hackers y cibercriminales a enfocar más su atención en negocios menos seguros. Una razón para esto es que los pequeños negocios, incluyendo las startups, frecuentemente no tienen los recursos para invertir en seguridad de la información como lo pueden hacer los negocios más grandes. Muchos se hacen víctimas del cibercrimen. En un comentario más adelante en el reporte, la autora Pat Toth indicó, “los pequeños negocios pueden ser vistos como objetivos fáciles para pasar a negocios más grandes a través de la cadena de suministros o portales de pago.” Y continua, “[los pequeños negocios] pueden tener más que perder que una organización más grande porque los fallos de ciberseguridad pueden ser costosos y amenazar su supervivencia.”[i] La investigación de la Alianza Nacional de Ciber Seguridad agrega más credibilidad a esta afirmación. Encontró que el 60 por ciento de los negocios pequeños cierran dentro de los seis meses posteriores a un ciberataque.[ii]
La seguridad de la información es buena para el negocio
Otro de los objetivos del reporte es refutar la noción que la seguridad de la información es una tarea demasiado compleja para ser enfrentada por un negocio joven. De hecho, invertir en seguridad apropiada es potencialmente excelente para el negocio. Proteger la información de los clientes así como la información personal de los empleados es un componente crítico de un buen servicio a clientes. Además, un programa de seguridad de la información robusto puede ayudar a un pequeño negocio a crecer y retener clientes así como a empleados y socios de negocios. Actualmente, los clientes no sólo aprecian si no han llegado a esperar que su información sensible será protegida contra robo, divulgación o mal uso. Por lo tanto, es necesario que su negocio proteja la información de sus clientes para ganar su confianza así como incrementar sus negocios. Adicionalmente, los socios de negocios y proveedores quieren saber que su información, sistemas y redes están seguros cuando hacen negocios con usted; por lo tanto, es importante que pueda demostrar que tiene un método para proteger su información.
Conozca sus riesgos específicos
Primero, identifique la información que su negocio guarda y utiliza. Esto puede incluir el listado de todos los tipos de información que su negocio almacena o utiliza, incluyendo los nombres y direcciones de e-mail de sus clientes, recibos de materia prima, información bancaria y otra información privada. Después, determine el valor de su información — si no por monto en dólares, por rango en comparación con otros riesgos. Entonces, desarrolle un inventario de tecnología, hardware y software. Finalmente, entienda sus amenazas y vulnerabilidades en las áreas de confidencialidad (p.ej. robo o divulgación accidental), integridad (p.ej. alteración accidental o intencional), y disponibilidad (p.ej. destrucción accidental o intencional).
Salvaguarde su información
El reporte recomienda un proceso de cinco pasos.
- Identificación. Comience por controlar quién accede a la información de su negocio. Considere bloquear físicamente las laptops y dispositivos móviles cuando no están en uso, conduzca revisiones de antecedentes, requiera cuentas de usuario individuales para sus empleados, y cree políticas y procedimientos para la seguridad de la información.
- Protección. Esto puede incluir limitar el acceso de los empleados a los datos e información, instalar suministros de corriente ininterrumpida (UPS) y protectores contra sobrecargas en caso de una interrupción de la electricidad, actualización y parcheo de su software, instalación de cortafuegos, aseguramiento de los puntos de acceso inalámbricos y las redes, establecimiento de filtros de sitios web y correos electrónicos, encriptación de información delicada del negocio, eliminación apropiada y pronta de los dispositivos viejos y entrenamiento de los empleados acerca de las políticas y procedimientos de seguridad.
- Detección. En una emergencia de seguridad, el tiempo es esencial. El pronto descubrimiento de vulneraciones es esencial. Para ayudar, considere instalar actualizaciones de los antivirus y permitir actualizaciones automáticas así como mantener bitácoras de la actividad del cortafuegos y antivirus.
- Respuesta. En un fallo de seguridad, el impacto y costo final de una vulneración puede ser contenido e incluso reducido implementando un plan de desastre. Los empleados deben ser entrenados de acuerdo a un plan desarrollado que detalle las funciones y responsabilidades de los empleados, protocolos para apagar o bloquear las computadoras, a quien contactar y eventos iniciadores para cuando el plan debe entrar en efecto.
- Recuperación. A continuación de un fallo de seguridad, el objetivo de su negocio probablemente será reiniciar operaciones normales tan pronto como sea posible. Como tales, considere hacer respaldos completos de la información importante, tal como un disco duro externo o la nube, y hágalo frecuentemente. Adicionalmente, puede valer la pena invertir en seguros de ciber protección, así como continuas mejoras de tecnología.
Consejos cotidianos para trabajar de forma segura
El reporte enfatiza la importancia del entrenamiento de los empleados, y establece que aunque los ciber criminales se están volviendo más sofisticados, muchos aún usan en sus ataques métodos bien conocidos y fáciles de evitar. Por lo tanto, la sensibilización y entrenamiento de los empleados en las siguientes áreas puede proporcionar una protección significativa.
- Ponga atención a la gente con la que trabaja, la gente con quien hace contratos, e inclusive la gente con quien comparte su edificio. Si un fallo de seguridad afecta a sus vecinos, es posible que usted también esté en riesgo.
- Sea extremadamente cuidadoso al abrir adjuntos de e-mail y ligas a la web. No haga click en una liga o abra un adjunto que no esperaba recibir. Quizás la manera más común de distribuir el malware es a través de adjuntos en e-mail o ligas integradas a un correo.
- Tanto como pueda, trate de usar computadoras, dispositivos y cuentas separadas para el negocio y para su uso personal, porque los dispositivos personales son frecuentemente menos seguros y pueden exponerle a un mayor riesgo. Adicionalmente, no conecte dispositivos de almacenamiento personales o no confiables a su computadora de trabajo.
- Sólo descargue software de fuentes con buena reputación.
- Esté consciente de la ingeniería social, que es un intento de los malhechores para obtener acceso físico o electrónico a su información de negocio mediante la obtención de información de parte de usted por medio de la manipulación.
- Nunca revele un nombre de usuario o contraseña. Hablando de contraseñas, trate incorporar secuencias aleatorias de letras y caracteres especiales en ellas. Intente también, utilizar múltiples formas de autenticación (p.ej. autenticación por texto de doble factor).
- Use una conexión segura de navegador siempre que sea posible.
No tire la toalla
Aunque es imposible para ningún negocio ser completamente seguro, el reporte asegura que si es “posible — y razonable — implementar un programa que balancea la seguridad con las necesidades y capacidades de su negocio.” No necesita ser un experto en ciberseguridad para desarrollar un plan eficaz. De hecho, puede encontrar que es mejor subcontratar algunas o todas sus necesidades de seguridad. Considere una oportunidad de networking el pedir recomendaciones. Adicionalmente, en algunos casos, las grandes organizaciones pueden ayudar a sus proveedores con pequeños negocios a analizar sus riesgos y desarrollar un programa de seguridad de información. Para adentrarse más a fondo en los detalles de implementar un protocolo de seguridad de la información que funcionará para las necesidades específicas de su negocio en crecimiento, lea el reporte completo aquí.
[i] https://www.nist.gov/news-events/news/2016/11/new-nist-guide-helps-small-businesses-improve-cybersecurity#
[ii] https://staysafeonline.org/stay-safe-online/resources/small-business-online-security-infographic