A National Award-Winning Publication

Mantenga a su empresa a salvo de los ciberataques

ciberataques

Tras el ciberataque perpetrado la semana pasada contra la empresa Colonial Pipeline, que ha provocado escasez de combustible en varios estados de la costa este del país, muchos pequeños negocios se están preguntando cómo pueden protegerse de esta amenaza.

De acuerdo con la Administración Federal de Pequeños Negocios (SBA), los ataques cibernéticos representan una amenaza creciente para las pequeñas empresas y la economía estadounidense. El costo de los crímenes cibernéticos llegó a los $2.7 mil millones de dólares tan solo en el año 2018, revelan datos del FBI.

Según la SBA, las pequeños negocios son un blanco atractivo porque típicamente no tienen la infraestructura de seguridad de las empresas más grandes.

Por ello, la agencia federal publicó una guía sobre las amenazas cibernéticas comunes y algunos consejos para que las empresas tomen los pasos necesarios para mejorar su ciberseguridad y prevenir estos ataques.

TAMBIÉN TE PUEDE INTERESAR: Principal oleoducto del país reanuda operaciones en medio de escasez de gasolina

Amenazas comunes

Los ataques cibernéticos se encuentran en una evolución constante, pero los dueños de empresas deben de por lo menos conocer los tipos más comunes, señala la SBA.

Malware
Malware (el software malicioso o maligno) es un término genérico que se refiere al software (un conjunto o categoría de programas) que es intencionalmente diseñado para causarle daño a una computadora, servidor informático, computadora cliente, o red informática. El malware puede incluir los virus y el ransomware (software que secuestra sus archivos o datos para después pedirle un rescate).

Virus
Los virus son programas dañinos creados con la intención de propagarse de una computadora a otra (y otros dispositivos conectados). La intención de los virus es de otorgarles acceso a su sistema a los criminales cibernéticos.

Ransomware
El ransomware es un tipo de software específico que infecta y restringe el acceso a una computadora hasta que se pague un rescate. El ransomware usualmente se envía por correo electrónico (“email” en inglés) fraudulento conocido en inglés como “phishing,” y toma ventaja de las vulnerabilidades sin parches de seguridad en el software.

Phishing
El “phishing” es un tipo de ataque cibernético que usa el correo electrónico o un sitio web maligno para infectar a su computadora con malware o para colectar su información sensitiva. Los emails aparentan haber sido enviados desde una organización legítima u individuo conocido. Estos emails frecuentemente atraen a los usuarios a abrir un enlace o documento adjunto que contiene código malicioso. Una vez ejecutado el código, su computadora podría estar infectada con malware.

 

Evalúe el riesgo a su empresa

El primer paso en mejorar su ciberseguridad es comprender el riesgo que corre de un ataque, y dónde puede hacer los cambios positivos más impactantes, recomienda la SBA.

Un análisis de riesgos de ciberseguridad puede ayudarle a identificar dónde se encuentran las vulnerabilidades en su negocio, y ayudarle a crear un plan de acción, lo cual debe incluir capacitación, orientación sobre cómo asegurar sus plataformas de correo electrónico, y asesoramiento para proteger los activos informáticos de la empresa.

Herramientas para la planificación y análisis
No hay sustituto para un apoyo informático específico—ya sea empleado o consultor externo—pero los negocios de recursos más limitados aún pueden tomar medidas para mejorar su ciberseguridad.

Herramienta de planificación de la Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés)
La FCC le ofrece una herramienta de planificación de ciberseguridad para ayudarle a divisar una estrategia basada en las necesidades únicas de su empresa.

Análisis de resiliencia cibernética
El análisis de resiliencia cibernética del Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) es una evaluación no técnica para valorar su resiliencia operativa y prácticas de ciberseguridad. Lo puede completar usted mismo, o pedir un análisis facilitado por los profesionales de ciberseguridad del DHS.

Evaluación de vulnerabilidades de ciber higiene
El DHS también ofrece una evaluación de vulnerabilidades de ciber higiene para las empresas pequeñas. Este servicio gratis puede ayudarle a asegurar sus sistemas con acceso a la internet de configuraciones débiles y vulnerabilidades conocidas. Este servicio envía a sus usuarios un informe semanal.

Las mejores prácticas para la ciberseguridad

Capacite a sus empleados

Los empleados y el correo electrónico son las causas principales de la violación de datos para las empresas pequeñas, ya que son una vía directa de entrada a sus sistemas. Capacitar a sus empleados sobre las mejores prácticas básicas en el internet podría ayudarle mucho a prevenir ataques cibernéticos. La iniciativa “Stop. Think. Connect.” (“Alto. Piense. Conecte.” en español) del Departamento de Seguridad Nacional le brinda capacitación y otros materiales, algunos disponibles en español.

Los temas de capacitación que deben abordarse incluyen:

Cómo identificar un email de phishing
Prácticas para navegar seguramente por internet
Cómo evitar descargas sospechosas
Cómo crear contraseñas seguras
La protección de datos sensitivos de su clientela y proveedores

Mantenga una buena ciber higiene

Use software antivirus y manténgalo actualizado
Asegure que cada computadora en su empresa tenga instalada software antivirus y antispyware (anti-espionaje), y que ambos se actualicen regularmente. Este tipo de software está disponible en la red wifi de una variedad de vendedores. Todos los vendedores de software regularmente proveen parches y actualizaciones para corregir problemas de seguridad y mejorar el funcionamiento.

Asegure sus redes informáticas
Preserve la seguridad de su conexión usando un cortafuegos (conocido en inglés como “firewall”) y encriptando su información. Si tiene una red wifi, cerciórese de que está segura y oculta. Para ocultar su red wifi, configure su punto de acceso inalámbrico o enrutador para que este no transmita el nombre de su red, también conocido como el identificador de conjunto de servicios (SSID, por sus siglas en inglés). Proteja el acceso al enrutador con una contraseña.

Use contraseñas seguras
El uso de contraseñas seguras es una manera fácil de mejorar su ciberseguridad. Asegúrese de utilizar distintas contraseñas en cada cuenta diferente. Una contraseña segura incluye:

10 caracteres o más
Por lo menos una letra mayúscula
Por lo menos una letra minúscula
Por lo menos un número
Por lo menos un carácter especial

La autenticación multifactorial
La autenticación multifactorial requiere información adicional (ej. un código de seguridad enviado a su celular) para iniciar una sesión. Investigue con sus proveedores que manejan datos confidenciales, en especial las instituciones financieras, para ver si ofrecen autenticación multifactorial para su cuenta.

Proteja sus datos confidenciales y copie el resto

Copie sus datos
Asegúrese regularmente de hacer copias de seguridad de todos los datos de todas sus computadoras. Los datos de máxima importancia incluyen los documentos de procesadores de texto, planillas electrónicas, bases de datos, archivos de finanzas, archivos de recursos humanos y archivos de cuentas por cobrar y por pagar. Programe las copias de seguridad para que se reproduzcan automáticamente, si es que se puede, o por lo menos semanalmente, guardando las copias en otro lugar aparte de su negocio o en la nube.

Procesamiento de pagos seguro
Consulte a sus bancos o procesadores de tarjetas de crédito para asegurar que estas usen las herramientas y servicios contra fraude más fiables y validados. También podría tener obligaciones de seguridad adicionales relacionadas con los acuerdos con su banco o procesador. Aísle sus sistemas de pago de otros programas menos seguros y no use la misma computadora para procesar pagos que usa para navegar por el internet.

Controle el acceso físico
Prevenga el acceso o uso de las computadoras en su negocio por individuos no autorizados. Los laptops o portátiles, en particular podrían ser blancos fáciles para el robo o la perdida, así que debe asegurarlos con llave cuando no estén en uso. Asegúrese de crear una cuenta de usuario aparte para cada empleado, que requiera contraseñas seguras. Los privilegios administrativos solamente se deben otorgar a personal clave y del departamento informático de su confianza.

Redacción Negocios Now, con información de la SBA.