Consejos de ciberseguridad para pequeños negocios.

Cuando se trata de dirigir un pequeño negocio, las soluciones de ciberseguridad no siempre son los temas de discusión más divertidos y a menudo se pasan por alto o se olvidan. Pero, en realidad, solo se está tan seguro como el eslabón más débil, por lo que asegurarse de adoptar buenas prácticas de protección para salvaguardar tu negocio de las filtraciones de datos, los hackeos y las estafas es primordial para mantener un negocio sin problemas. Usemos una analogía para repasar algunos conceptos de ciberseguridad para pequeños negocios.

Piensa en un negocio tradicional con una ubicación física. ¿Cuáles son los puntos de acceso para ingresar al edificio? Seguramente estés pensando en las puertas y las ventanas. Y probablemente ya hayas implementado medidas para proteger el acceso. Tienes cerraduras en las puertas. Tal vez tengas una alarma instalada y posiblemente cámaras de seguridad, detectores de movimiento y luces. El área orientada a los clientes tiene productos. Pero guardas el dinero en la caja registradora detrás de un mostrador o escritorio y es probable que tengas una caja fuerte en la parte trasera donde los clientes no están autorizados a entrar.

Se creará un entorno más seguro si se limita el acceso a través de barreras físicas y herramientas de monitoreo. Y todos estos son también los primeros pasos de la ciberseguridad. Las prácticas recomendadas de ciberseguridad de la industria incluyen el acceso lógico y físico a los datos. El acceso físico hace referencia a todo lo anterior, lo que uno hace para proteger el negocio.

Las medidas de seguridad física también deben proteger tu tecnología informática (TI), además de tus productos y tu dinero en efectivo.

1. Haz un inventario de tus recursos informáticos. Como propietario de un negocio, debes saber que los recursos informáticos tienen datos de clientes, de empleados y del negocio. Identifica dónde se encuentran las tablets, las computadoras de escritorio y las laptops.
2. Ejecuta un plan para proteger los recursos informáticos a nivel físico. Cuando no se usa el recurso informático, ¿dónde se guarda? Debes considerar que tus datos y los elementos físicos que almacenan datos son más valiosos que el dinero en efectivo que se encuentra en la caja registradora. Se deben guardar bajo llave cuando no están en uso. Considera la posibilidad de tener un registro o una forma de que los empleados firmen la salida de los dispositivos móviles para rastrear la ubicación de todos los equipos.
3. Protege los dispositivos con contraseña. Cada dispositivo debería solicitar una contraseña para ingresar con el objetivo de prevenir el uso del dispositivo por parte de personas no autorizadas. Este control es una transición de los controles físicos a los lógicos en el establecimiento de un plan de ciberseguridad.

A continuación, piensa en las barreras lógicas para el acceso no autorizado a los datos de tus dispositivos. Las medidas lógicas sirven para garantizar que solo usuarios autorizados puedan realizar acciones o acceder a la información en una red o en un puesto de trabajo.

1. Haz un inventario de tus datos. Al igual que necesitas saber qué recursos de informática físicos está utilizando tu negocio, debes saber qué tipo de datos está almacenando. ¿Recopilas los correos electrónicos de clientes para un boletín informativo? ¿Tienes un archivo de información comercial patentada que representa tu fórmula secreta para el éxito? Identifica los datos de tus empleados y dónde están almacenados.
2. Ejecuta un plan para proteger los datos lógicamente. Las cerraduras y las llaves son importantes para proteger los edificios y las salas físicamente, y las contraseñas y la codificación son el equivalente a proteger los datos lógicamente. Cada empleado debería tener su propia contraseña que le permita acceder únicamente a los datos que necesita para hacer su trabajo.

a. Usa contraseñas no solo para proteger el dispositivo, sino también las carpetas de archivos y los documentos.
b. Considera la posibilidad de utilizar portales compartidos que almacenen documentos a los que solo puedan acceder quienes necesiten completar sus tareas asignadas.
c. Usa software que tenga autenticación de múltiples factores. Piensa en esto como un cerrojo que añade una capa de protección.

A continuación, pensemos en cómo proteger mejor toda la estructura de TI. Es posible que tu edificio tenga un sistema de alarma o vigilancia que te avise cuando un intruso intente entrar. Se recomienda el mismo tipo de monitoreo para tus recursos informáticos.

1. Protección antivirus actualizada. Utiliza un software antivirus o antimalware de confianza y actualízalo regularmente. Además, ejecuta los parches y las actualizaciones de todo el software regularmente. Las empresas impulsan actualizaciones periódicamente para mejorar la funcionalidad de su software y a menudo eliminan los puntos débiles de ciberseguridad que se identifican. No te conviene dejar una ventana abierta que burle todas las cerraduras de sus puertas.
2. Entrena a tus empleados para identificar los intentos de phishing y fraude. Enséñales que no hagan clic en enlaces o archivos adjuntos desconocidos. Considera la posibilidad de limitar el uso o el acceso a las cuentas de correo electrónico personales en los recursos informáticos del trabajo.
3. Usa la nube. El uso de la nube o de un software como servicio que depende de la nube puede ser una excelente manera de optimizar el negocio. Consulta por su seguridad. Averigua dónde se almacenarán tus datos y qué medidas se implementarán para protegerlos. ¿Codifican los datos en tránsito? ¿Codifican los datos en reposo? ¿Cuál es su responsabilidad si alguien los hackea y accede a tus datos?

A medida que tu negocio crece, tu ciberseguridad también debe madurar. Tus medidas de seguridad informática se ampliarán para incluir el monitoreo de personas para detectar el acceso no autorizado. Comprobarás si hay noticias de amenazas y aplicarás controles preventivos en tus sistemas. Considera la posibilidad de obtener una certificación ISO 27001 (una norma internacional para la seguridad de la información) o SOC 2 (una norma de cumplimiento voluntario desarrollada por el American Institute of CPAs), que no solo puede proteger el negocio, sino que también puede ser un diferenciador en el mercado.

Todo esto puede costar dinero. Si tu negocio no puede permitírselo todo hoy, haz lo que te ofrezca más protección para los elementos que tienen más riesgo. Luego, establece un plazo para mejorar el resto. La ciberseguridad para pequeños negocios es un camino y no un destino. Esta es un área que siempre requerirá actualizaciones y mejoras.

Al contar con información, conocimientos y prácticas comerciales de ciberseguridad de sentido común, puedes ayudar a proteger a tus clientes, tu reputación y tu balance general.