6 pasos básicos de seguridad IT para PYMES

En el contexto del mes del emprendimiento en Chile y en el mundo, ESET, compañía líder en detección proactiva de amenazas, comparte una guía básica de seguridad IT para pequeñas y medianas empresas en 6 pasos.

“Si bien las computadoras e Internet ofrecen muchos beneficios a las pequeñas empresas, estas tecnologías no están exentas de riesgos. Algunos de ellos, como el robo físico de equipos y los desastres naturales, se pueden reducir o controlar con conductas sensatas y precauciones de sentido común. Pero los riesgos resultantes del crimen cibernético, como el robo de información personal que luego se vende en el mercado negro, son más difíciles de manejar. Incluso las empresas más pequeñas manejan datos personales de clientes o proveedores que pueden ser de interés para un cibercriminal. Esto implica que, por más que una empresa sea pequeña, debe adoptar un enfoque sistemático para proteger los datos que se le confían”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

ESET comparte una guía para proteger las PyMEs ante las amenazas del crimen cibernético.

  1. Analizar activos, riesgos y recursos: Realizar una lista con todos los sistemas y servicios informáticos que se utilizan. Asegurarse de incluir los dispositivos móviles que pueden llegar a usar para acceder a información corporativa o de los clientes. Luego, analizar los riesgos relacionados con cada elemento y los recursos disponibles para resolver los problemas de seguridad IT.

  1. Crear políticas: Se debe informar al equipo que se toma en serio la seguridad y que la empresa se compromete a proteger la privacidad y la seguridad de todos los datos que maneja. Además, detallar las políticas que desea aplicar, por ejemplo, que no se permite el acceso no autorizado a los sistemas y datos corporativos, y que los colaboradores no deben desactivar la configuración de seguridad en sus dispositivos móviles. Definir quién tiene acceso a qué datos dentro de la organización, con qué fin y qué están autorizados a hacer con ellos. También es importante contar con políticas para el acceso remoto, el uso de dispositivos propios para trabajar (BYOD) y el software autorizado.

  1. Elegir controles: Utilizar controles para hacer cumplir las políticas. Por ejemplo, si desea aplicar una política para impedir el acceso no autorizado a los sistemas y datos corporativos, se puede optar por controlar todo el acceso a los sistemas de la empresa mediante la solicitud de un nombre de usuario y contraseña, y un segundo factor de autenticación (2FA). Para controlar qué programas tienen permiso de ejecutarse en los equipos de la empresa, se puede decidir no dar a todos los derechos de administrador. Para evitar las filtraciones causadas por dispositivos móviles perdidos o robados, podría exigirse a los empleados que informen sobre estos incidentes en el mismo día, y bloquear el dispositivo afectado para borrar su contenido de inmediato en forma remota. Debería utilizar las siguientes tecnologías de seguridad: Protección para endpoints para evitar que se descarguen códigos maliciosos en los dispositivos; Cifrado para proteger los datos de los dispositivos robados (también sugerido en el reglamento GDPR); 2FA para requerir algo más que un nombre de usuario y una contraseña al acceder a los sistemas y datos; Solución VPN para una protección adicional.

  1. Implementar controles: Al implementar controles, es necesario asegurarse de que funcionan correctamente. Por ejemplo, se debería tener una política que prohíba el uso de software no autorizado en los sistemas de la empresa. Entonces, uno de los controles será el software antimalware que busca códigos maliciosos. No solo se debe instalar y probar que no interfiera con las operaciones comerciales normales, sino que también se tienen que documentar los procedimientos que los empleados deberán seguir en caso de que el software detecte malware.

  1. Capacitar empleados, directivos y vendedores: Además de conocer las políticas y procedimientos de seguridad de la empresa, el equipo debe entender por qué son necesarias. Esto implica invertir en capacitación y concientización sobre seguridad: la medida más importante y efectiva que una empresa puede implementar. Por ejemplo, al trabajar con los empleados, generar conciencia sobre temas como los correos electrónicos de phishing. Preparar capacitaciones periódicas, hacer que la concientización sobre seguridad cibernética sea parte del proceso de incorporación de nuevos empleados y proporcionar consejos de seguridad en una página de intranet. Asegurarse de capacitar a quienes usen los sistemas, incluyendo directivos, vendedores y partners.

  1. Seguir evaluando, auditando y probando: La seguridad IT es un proceso continuo, no un proyecto que se ejecuta una sola vez. Es necesario actualizar las políticas de seguridad y sus controles dependiendo de los cambios en la empresa, como las relaciones con nuevos vendedores, nuevos proyectos, incorporaciones de empleados o empleados que dejan la empresa. Considerar contratar a un consultor externo para realizar una auditoría de seguridad para detectar los puntos débiles y poder abordarlos.

“Por lo que podemos ver, la ola de delitos informáticos no va a parar en el futuro cercano, de modo que se debe hacer un esfuerzo continuo de buena fe para proteger los datos y los sistemas, que son el alma de las pequeñas empresas de hoy”, concluye Gutiérrez Amaya de ESET.

ESET estará celebrando el “Mes del emprendimiento” donde comparte información útil para empresas, y promos que incluyen el ESET Home Office Security Pack y el ESET Small Business Security Pack: https://www.eset.com/cl/empresas/mes-del-emprendimiento/

Julián Torrado

Recent Posts

Yalo recibe el premio como innovador en los “Disruptive Jaguar Awards 2024” de Mastercard y Endeavor

Igual que en otras industrias, los servicios financieros están inmersos en una época de transformación…

17 horas ago

El Salvador, Guatemala y Honduras avanzan en velocidad y experiencia de internet

Según los informes de Ookla del primer semestre de 2024, los servicios de internet y…

18 horas ago

Niños y niñas en Snapchat: Cómo mantenerlos seguros

ESET analiza a qué riesgos se exponen niños en Snapchat, comparte consejos para garantizar su…

19 horas ago

Zoho Corporation utilizará NVIDIA NeMo para desarrollar LLMs

A través de este convenio, Zoho desarrollará Modelos de Lenguaje Extenso (LLMs) con las herramientas…

4 días ago

Más del 30% de las empresas de manufactura piensan implementar IA en sus procesos

La inteligencia artificial sigue tomando el mando de los procesos en general. Aunque no es…

4 días ago

Los jóvenes necesitan urgente oportunidades reales

Por Gastón Gorosterrazu, creador de Aptugo, herramienta de desarrollo visual inteligente

4 días ago