Publicado el por Progredi

10 pasos esenciales para la seguridad informática de las pymes

Incluso una pequeña empresa debe proteger los datos que se le confían

Si bien las computadoras e Internet ofrecen muchos beneficios a las micro y pequeñas empresas, estas tecnologías no están exentas de riesgos.

Los peligros incluyen robo de equipos, desastres (como incendios, inundaciones y otros eventos naturales) o ataques de ciberdelincuentes que pueden detener las operaciones y causar pérdidas comerciales. Sin embargo, con un comportamiento sensato y precauciones de sentido común, el impacto de un evento puede reducirse o controlarse.

Los riesgos que plantea el delito cibernético, como el robo de información personal y su posterior venta en el mercado negro, son más difíciles de gestionar. Incluso las empresas más pequeñas procesan datos personales de clientes o proveedores que pueden ser de interés para los ciberdelincuentes.

“No importa cuán pequeña sea una empresa, debe adoptar un enfoque sistemático para proteger los datos que se le confían”, dijo Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET para América Latina, una firma especializada en ciberseguridad.

Recientes incidentes de hacking que afectan a múltiples entidades públicas, así como fraudes a través de diferentes métodos de suplantación de correos y mensajes fraudulentos, muestran que estos incidentes pueden ocurrir en diferentes sectores y pueden tener como objetivo a todo tipo de entidades, empresas y usuarios.

Entre las PYMES, hay al menos seis pasos básicos que se pueden tomar para reducir el riesgo:

  1. Analizar activos, riesgos y recursos: enumere todos los sistemas y servicios informáticos utilizados. Incluye dispositivos móviles para acceder a información comercial y de clientes. Luego analiza los riesgos asociados con cada proyecto y los recursos disponibles para abordar las preocupaciones de seguridad técnica.
  2. Definir políticas: Los equipos colaboradores deben ser informados sobre las medidas de seguridad y protección de datos personales, detallando las políticas que se aplicarán, como no permitir el acceso no autorizado a los sistemas y datos de la empresa.
  3. Definir Titulares: Determinar quién tiene acceso a los datos dentro de la empresa, para qué fines y qué derecho tienen a hacer con los datos. También es importante tener una política de acceso remoto, trabajar con su propio dispositivo y qué licencias de software usa.
  4. Establecer controles: El uso de controles para hacer cumplir la política es esencial. Por ejemplo, si desea implementar una política para evitar el acceso no autorizado a los sistemas y datos corporativos, puede regular el acceso a los sistemas corporativos solicitando nombres de usuario y contraseñas y un segundo factor de autenticación.
  5. Definir derechos administrativos: ¿Quién es responsable de administrar y autorizar el acceso al sistema? Seleccione quién puede otorgar estos derechos de acceso y bajo qué condiciones.
  6. Existen protocolos de actuación: Para evitar infracciones por parte de piratas informáticos o pérdida o robo de dispositivos, establezca medidas para que los colaboradores reporten incidentes, bloquee los dispositivos afectados y borre de inmediato su contenido de forma remota.
  7. Invierta: su empresa debe usar tecnologías de seguridad como la protección de puntos finales para evitar que se descargue código malicioso en los dispositivos, el cifrado para proteger los datos en dispositivos robados, la autenticación de dos factores para ingresar a los sistemas y las soluciones de red privada virtual (VPN) para proporcionar Protección adicional.
  8. Definir lo que se puede hacer: los empleados deben ser conscientes de lo que pueden y no pueden hacer al usar dispositivos de la empresa (internos o externos) o dispositivos personales (especialmente dentro de la empresa), prohibir el uso no autorizado dentro de la empresa de los sistemas, equipos y controles de la empresa para monitorear el cumplimiento.
  9. Capacitar a los empleados, gerentes y proveedores: Todos deben conocer las políticas, procedimientos, reglamentos y sanciones de seguridad de la empresa. Invertir en crear conciencia y cultura de seguridad para que sepan qué prácticas pueden poner en riesgo a ellos y a sus familias.
  10. Evaluación, auditoría y pruebas continuas: la seguridad de la información es un proceso continuo. Es necesario actualizar las políticas de seguridad y sus controles de acuerdo a los cambios de la empresa, los desarrollos tecnológicos y las nuevas tácticas de los ciberdelincuentes.

Fuente: elfinancierocr.com

Funciona gracias a WordPress
Translate »