Qué debe cubrir el plan de ciberseguridad de su pequeña empresa

Según una investigación realizada por the Ponemon Institute, el 66% de las pequeñas y medianas empresas (SMBs) en EE. UU., Reino Unido y Europa han sufrido un ataque cibernético malicioso en los últimos 12 meses. Esta cifra asciende al 76% cuando se consideran solo las empresas en EE. UU.

Además, parece haber un aumento constante en ataques más sofisticados que provocan brechas en los datos críticos de la empresa. El 63% de las PYMEs encuestadas en ese mismo estudio de Ponemon informaron haber sufrido una violación de datos en 2019, lo que marca un aumento de casi 10 puntos en tales incidentes desde 2017.

Los ciberataques y las violaciones de datos no solo son disruptivos para las pequeñas empresas, sino también costosos. Ponemon también informa que en 2019, las PYMEs gastaron un promedio de $1.2 millones para reparar y restaurar sus activos y la infraestructura de TI después de un ataque, mientras que perdieron un promedio adicional de $1.9 millones debido a interrupciones en sus operaciones regulares. Según algunas estimaciones, alrededor del 60% de las PYMEs cierran dentro de los seis meses posteriores a sufrir un ataque cibernético .

El phishing, la ingeniería social y los ataques basados en la web encabezan la lista de amenazas de ciberseguridad dirigidas específicamente a las PYMEs. Estas amenazas son facilitadas en gran medida por:

• Dispositivos de punto final no monitoreados y no asegurados, especialmente portátiles, dispositivos móviles y tecnología IoT en un entorno laboral de “trae tu propio dispositivo”
• Contraseñas débiles para cuentas de usuario
• Compartir información con terceros sin un inventario de datos completo
• Comportamiento negligente de empleados y contratistas

Afortunadamente, puedes mitigar los riesgos y vulnerabilidades para tu empresa implementando un plan de seguridad sólido para la infraestructura de pequeñas empresas.

Para llevar a cabo su propio plan, primero, identifique las principales amenazas de ciberseguridad a las que se enfrenta su empresa actualmente. Luego, utilice este artículo para determinar las mejores acciones que puede tomar para mejorar la seguridad de la red, los datos y los puntos finales de su empresa.

1. Establecer políticas de seguridad

Las políticas de seguridad garantizan que todo el personal de su empresa esté alineado en cuanto al manejo, uso y almacenamiento de datos críticos para el negocio. También aseguran que sus especialistas en TI sigan protocolos apropiados y acordados para proteger los datos y mitigar daños a la infraestructura en caso de un ataque cibernético.

Sus políticas de seguridad deben originarse en el nivel más alto de su organización de TI y comunicarse claramente a cada uno de sus empleados y contratistas. Una vez difundidas y adoptadas con éxito, las políticas de seguridad deberían integrarse efectivamente dentro de los procesos de su organización.

Política de Data Security

Una Data Security Posture Management protege tanto los datos de la empresa como los del cliente asegurando que:

• Solo se recopilan los datos necesarios
• La información sensible está almacenada de forma segura y solo es accesible para individuos autorizados
• Los datos se destruyen de manera segura cuando ya no son necesarios

Existe una estrecha relación entre su política de seguridad de datos y el cumplimiento de una política de data privacy como el GDPR también. En esencia, la primera proporciona los medios para garantizar la segunda.

Su política de seguridad de datos también debe detallar claramente todos los detalles y pautas asociados con la seguridad de la red, el control de acceso y la respuesta a incidentes, entre otros aspectos de seguridad de datos.

Política de Contraseñas

Una política de contraseñas establece las reglas que rigen la fortaleza de seguridad, el uso y la aplicación de contraseñas para las cuentas de usuario. Esta política puede incluir requisitos tales como:

• Las contraseñas deben tener una longitud mínima determinada e incluir una combinación de caracteres en mayúscula, minúscula, numéricos y especiales
• Las contraseñas no se pueden reutilizar y deben cambiarse a intervalos regulares
• El incumplimiento de la política de contraseñas resultará en la denegación de acceso a la cuenta y otras sanciones impuestas por su departamento de TI

Política de Data Classification

Una política de Netwrix Data Classification forma la piedra angular de la Gestión del Ciclo de Vida de la Información de su empresa, que rige la retención, uso y destrucción adecuados de sus datos.

Todos los activos de datos deben inventariarse de acuerdo con su nivel de sensibilidad, nivel de acceso, requisitos de cifrado u otra categoría orientada a la seguridad. De esta manera, su Netwrix Data Classification puede trabajar conjuntamente con su política de seguridad de datos al iniciar los protocolos de acceso apropiados y las investigaciones de brechas basadas en el tipo de datos en cuestión.

2. Eduque y entrene a sus empleados

La educación de los empleados es clave para proteger sus datos. Por ejemplo, incluso si su empresa tiene una password policy oficial, no ayudará a proteger su información si sus empleados y contratistas no cumplen completamente.

Dada la conclusión de que la negligencia de los empleados está en la raíz de la mayoría de las violaciones de datos experimentadas por las PYMEs, la plantilla de su plan de ciberseguridad para pequeñas empresas debe incluir un programa sólido para la formación interna y la concienciación sobre seguridad. Haga que esta educación sea obligatoria para sus empleados y contratistas, y asegúrese de revisar y actualizar su material de formación anualmente para mantenerse al tanto de los últimos riesgos y amenazas potenciales.

3. Monitoree de cerca las actividades de los usuarios en su entorno

Para evaluar y hacer cumplir las mejores prácticas de seguridad en toda su empresa, también es importante que monitoree las actividades de los empleados. Esto puede incluir medidas como:

• El seguimiento de eventos como la creación de cuentas y los inicios de sesión, lo que le permite identificar actividades sospechosas e involucrarse en la detección proactiva de intrusiones
• Expandiendo sus procedimientos de auditoría para cubrir todos los repositorios de datos sensibles en su red privada, incluyendo servidores de archivos, SharePoint, servidores de bases de datos SQL y similares. Manteniendo un ojo en ambos, los intentos de acceso y las actividades que ocurren alrededor de los datos sensibles
• Si utiliza servicios en la nube, como Office 365, es importante monitorear los inicios de sesión en estos servicios, así como la actividad del usuario en ellos

4. Aspire hacia Zero Trust

Zero Trust es un marco de ciberseguridad que opera bajo el principio de que nada ni nadie, ya sea fuera o dentro de la red privada de una empresa, puede ser confiable.

Aunque pocas pequeñas empresas poseen el presupuesto o los recursos para emplear el arsenal completo de técnicas y estrategias de Zero Trust, los propietarios de pequeñas empresas aún tienen acceso a una variedad de mejores prácticas comprobadas a su disposición para minimizar su superficie de ataque de TI.

Independientemente del tamaño de su empresa, querrá implementar estos controles técnicos esenciales

Acceso de mínimo privilegio

Adopte y aplique un modelo de least-privilege, en el cual cada usuario tenga solo el acceso necesario a sistemas y recursos para cumplir con sus funciones.

Refuerce su supervisión y control asignando derechos de acceso a grupos de usuarios que comparten un cierto nivel de privilegio, en lugar de a cuentas individuales. Al hacer cumplir estrictamente el modelo de mínimo privilegio, limitará el alcance de un hackeo en una cuenta de usuario y también aumentará la efectividad de sus medidas de contraataque.

Revisiones de derechos

Mantenga una vigilancia estrecha sobre cualquier anomalía o cambio en la estructura de sus permisos. Rastree y desactive cuentas de usuario inactivas de manera oportuna para eliminar puntos débiles que de otro modo podrían atraer bots de ataque.

También es importante revisar periódicamente la estructura de permisos y reforzar cualquier vulnerabilidad o inconsistencia con la estructura actual de la fuerza laboral. Monitoree todos los cambios en las políticas de contraseñas, configuraciones de contraseñas y configuraciones de cuentas, ya que un cambio no autorizado puede indicar la presencia de un atacante.

Contraseñas seguras y autenticación

Casi la mitad de las PYMEs encuestadas por Ponemon experimentaron una brecha de seguridad debido a contraseñas débiles de los empleados.

Las contraseñas débiles pueden permitir que actores maliciosos obtengan acceso y control de múltiples cuentas a través de un efecto dominó de una sola contraseña. Sin embargo, como se discutió anteriormente, una política de contraseñas fuerte elimina esta vulnerabilidad clave.

Dependiendo de los requisitos de seguridad de su oficina y de seguridad en internet, es posible que desee reforzar su política de contraseñas con políticas de ciberseguridad como la autenticación multifactor, que fortalece las contraseñas al requerir una o más formas adicionales de autenticación.

Recuerde que una política de contraseñas es tan fuerte como su aplicación de la misma. Aquí tiene algunas de las mejores prácticas para asegurar que sus usuarios cumplan con los estándares obligatorios:

• Bloquee automáticamente las cuentas de usuario después de varios intentos fallidos de contraseña
• Utilice group policy objects para hacer cumplir las políticas de contraseñas para los dominios de Active Directory domains
• Identifique cuentas sin requisitos de contraseña (o contraseñas que nunca caducan) y refuerce estos requisitos de autenticación de acuerdo con su política

Seguridad de correo electrónico

La comunicación por correo electrónico puede convertirse fácilmente en una superficie de ataque vulnerable para los ciberdelincuentes y el malware, ya que los usuarios negligentes o distraídos son engañados con frecuencia para abrir enlaces peligrosos incrustados en los mensajes.

La educación de los empleados sobre phishing y malware puede ayudar a aumentar la seguridad de los canales de correo electrónico de su pequeña empresa. Otras medidas de protección incluyen la encriptación de mensajes, junto con filtros de spam y software antivirus que filtran amenazas potenciales antes de que puedan alcanzar a usuarios desprevenidos.

Seguridad de sistemas y redes

Asegúrese de equipar sus sistemas de TI con las características de seguridad más actualizadas instalando regularmente parches y actualizaciones para el software y hardware de su organización.

Monitoree siempre los cambios y eventos de acceso en sus sistemas críticos, incluyendo sistemas de compartición de archivos y servidores de bases de datos. Refuerce el perímetro de red de su empresa con cortafuegos adecuados y configure su conexión Wi-Fi interna para maximizar la seguridad móvil y la protección de endpoints. Establezca túneles VPN seguros para habilitar el acceso remoto a los activos de TI también.

Copia de seguridad del sistema y datos

Mantenga copias de respaldo redundantes de sus sistemas críticos y bases de datos en un lugar seguro fuera de su infraestructura de TI. Esta práctica le permite recuperar rápidamente los activos después de un ataque y evitar que el impacto del incidente se extienda a todas las copias de sus valiosos datos.

Por ejemplo, las copias de seguridad externas pueden ayudar a su organización a mitigar el daño causado por un caso de ransomware que hace inaccesible su sistema al cifrar su contenido.

5. Asegure su infraestructura con las herramientas adecuadas

Las soluciones para su pequeña empresa deben incluir una cartera de tecnología y herramientas efectivas orientadas a proteger su infraestructura de TI de los ciberdelincuentes. Implementar y dar soporte a herramientas de seguridad sofisticadas puede ser un ejercicio que requiere muchos recursos. Sin embargo, implementar las siguientes herramientas cubrirá suficientemente sus necesidades básicas:

• Cortafuegos: Los cortafuegos son tu primera línea de defensa y pueden ser sistemas independientes o estar incluidos en otros dispositivos, como enrutadores o servidores. También están disponibles como soluciones tanto para hardware como para software.
• Software antimalware con funcionalidades de antivirus empresarial y antispyware: Este software escanea, identifica y elimina malware, como virus, gusanos informáticos, ransomware, rootkits, spyware, keyloggers, etc., de sus sistemas y dispositivos. Puede ser implementado en PCs, un servidor de puerta de enlace o en un dispositivo de red dedicado.
• Soluciones de cifrado: Las soluciones de cifrado permiten a los usuarios cifrar dispositivos, correos electrónicos y datos. Pueden ser basadas en software o en hardware. Cifrar dispositivos asegura que los datos almacenados en estos estén protegidos si el dispositivo es robado, perdido o utilizado incorrectamente. Cifrar correos electrónicos garantiza que tus datos estén seguros incluso si tu cuenta de correo electrónico o la información de inicio de sesión caen en manos equivocadas. Lo mismo es cierto para los datos; cifrar los datos ayuda a asegurar que permanezcan seguros en caso de que caigan en manos de actores no autorizados (a menos que tengan una clave de descifrado).
• Software de respaldo y recuperación: Una solución contra todo, desde la eliminación accidental de documentos importantes hasta ataques de ransomware, el software de respaldo que crea una copia de seguridad fuera del sitio le ayudará a asegurar la continuidad del negocio, así como garantizar que nunca tendrá que pagar tarifas exorbitantes a los atacantes.
• Soluciones de auditoría de TI: El seguimiento de cambios y eventos de acceso de forma manual o utilizando las capacidades nativas de sus sistemas es engorroso y consume mucho tiempo, y el tiempo es un recurso precioso del que las pequeñas empresas no disponen suficiente. Por lo tanto, es crucial para su seguridad que cuente con una solución especializada que otorgue rápidamente visibilidad sobre las actividades y eventos de acceso, lo mantenga alerta sobre patrones de amenazas y le ayude a comprender el estado actual de su infraestructura.

Netwrix Auditor ofrece una plataforma centralizada para monitorear su infraestructura de TI a través de una variedad de sistemas, incluyendo Active Directory, Office 365, SharePoint, servidores de bases de datos y network devices. Descubra cómo Netwrix Auditor puede ayudar a aliviar la carga de rastrear las diversas partes de la infraestructura de TI de su pequeña empresa.