10 consejos para prevenir el robo de datos para su pequeña empresa

Todas las empresas enfrentan el riesgo de violación de datos , pero estudios recientes indican que las pequeñas empresas son particularmente susceptibles. Según una investigación realizada en 2019 , el 43% de los ciberataques en línea están dirigidos a pequeñas empresas. Demostrando que los propietarios de pequeñas empresas necesitan cada vez más hacer de la seguridad de los datos una alta prioridad.

¿Por qué las pequeñas empresas son un objetivo tan creciente? Los expertos advierten que es porque a menudo no tienen los controles de seguridad para mantener a raya a los ladrones.

Estas medidas de precaución, junto con un pequeño presupuesto y una gran dosis de vigilancia, pueden ayudarlo a proteger su negocio.

1. Capacite a sus empleados.

Según el informe de Ponemon, los empleados son la principal causa de filtraciones de datos en las pequeñas y medianas empresas, y representan el 48 por ciento de todos los incidentes. Normalmente se debe a un error inocente; Los empleados a menudo carecen de conocimientos básicos sobre la seguridad de los datos y cómo trabajan los piratas informáticos. La educación de los empleados es una de las cosas más importantes que puede hacer para reducir el potencial de robo de datos.

Ofrezca formación obligatoria sobre concienciación sobre los riesgos de seguridad que enfrentan los empleados todos los días. La ingeniería social es una amenaza creciente para las pequeñas empresas, ya que los piratas informáticos se hacen pasar por una fuente confiable que necesita datos confidenciales. A través del phishing, se invita a los empleados a hacer clic en un enlace que instala un virus en su computadora sin su conocimiento. El ransomware mantendrá una computadora como rehén hasta que se pague el rescate requerido.

Para evitar que los empleados caigan en estas trampas, avíseles que:

• Confirmar la legitimidad de la fuente antes de dar información confidencial.
• Nunca abra archivos adjuntos de personas que no conocen
• Evite los enlaces sospechosos en correos electrónicos, sitios web y anuncios en línea.

2. Asegure la información sensible.

Los datos sensibles son el bien valioso que los delincuentes buscan explotar con fines de lucro. Incluye información de identificación personal (PII) de empleados, clientes y pacientes, así como secretos comerciales, datos financieros y otra información confidencial de la empresa. En las manos equivocadas, esta información puede dañar su negocio, sus clientes y su reputación.

Limite el acceso a archivos en línea según la necesidad de conocimiento de un empleado. Guarde los archivos en papel y los dispositivos de almacenamiento extraíbles que contengan información confidencial en un cajón, armario, caja fuerte u otro contenedor seguro cuando no esté en uso.

3. Elimine adecuadamente los datos sensibles.

Esté igualmente atento al eliminar datos confidenciales. Triture los documentos que contengan información confidencial antes de reciclarlos. Elimine todos los datos de los dispositivos electrónicos, ya sean computadoras, tabletas, teléfonos inteligentes o hardware de almacenamiento, antes de deshacerse de ellos.

4. Utilice una protección de contraseña sólida.

Las contraseñas están bajo ataque constante y los piratas informáticos utilizan varios medios diferentes para descifrar su código. Para disuadir sus esfuerzos, proteja con contraseña las computadoras, laptops y teléfonos inteligentes de su empresa, así como el acceso a su red y cuentas. Exija a los empleados que cambien las contraseñas predeterminadas y establezcan una contraseña compleja y segura con una variedad de caracteres que se deben cambiar al menos trimestralmente.

5. Protéjase contra el malware.

El malware se refiere a software "malicioso", como virus y spyware, que se instala en una computadora con la intención de acceder a información confidencial o causar daños. El malware se puede instalar cuando un empleado desprevenido usa un dispositivo USB cargado de malware o hace clic en un enlace infectado en un correo electrónico o en un sitio web.

Para evitar un ataque de malware, instale y utilice software antivirus y antispyware en todos los dispositivos de la empresa y asegúrese de que sus empleados estén atentos a los enlaces sospechosos.

6. Controle el acceso físico a las computadoras de su empresa.

Cree cuentas de usuario para cada empleado para evitar que usuarios no autorizados accedan a las computadoras de su empresa. Las computadoras portátiles se pueden robar fácilmente; asegúrese de que estén bloqueados en su lugar cuando estén desatendidos. También limite el acceso a la red en computadoras ubicadas en o alrededor de espacios públicos, como el área de recepción.

7. Cifre los datos.

El cifrado codifica la información, ya sea almacenada en un dispositivo, en la nube o transmitida a través de Internet, y solo la persona o computadora con la clave adecuada puede decodificarla. Se recomienda encarecidamente el cifrado para todos los dispositivos que contienen información confidencial, incluidas las computadoras portátiles, dispositivos móviles, unidades USB, unidades de respaldo y correo electrónico.

La mayoría de los sistemas operativos y muchas aplicaciones de software tienen una opción de cifrado incorporada que simplemente necesita activar (las instrucciones varían). También puede adquirir programas de cifrado adaptados a las necesidades de su empresa, ya sea para una unidad completa o para uno o más archivos o carpetas. Los certificados Secure Sockets Layer (SSL) son la forma estándar para que las empresas cifren información confidencial, como la que contiene detalles de tarjetas de crédito, antes de que se transmita a través de Internet.

8. Mantenga su software y sistemas operativos actualizados.

El malware evoluciona continuamente y los proveedores de software actualizan o “parchean” continuamente sus programas para abordar nuevas vulnerabilidades de seguridad. Por esta razón, es vital instalar actualizaciones de seguridad, navegador web, sistema operativo y software antivirus tan pronto como se publiquen. Son su primera línea de defensa contra las amenazas en línea.

9. Acceso seguro a su red.

Para evitar que personas ajenas obtengan acceso a información privada en su red, habilite el firewall de su sistema operativo o compre un software de firewall confiable. Configure una red privada virtual (VPN) para proporcionar a los trabajadores un medio seguro de acceder a su red mientras trabajan de forma remota. Si tiene una red Wi-Fi para su lugar de trabajo, asegúrese de que sea segura y encriptada, y de que su SSID (identificador de conjunto de servicios) esté oculto para que el público no pueda recogerlo. También requiere una contraseña para acceder.

10. Verificar los controles de seguridad de terceros.

La mayoría de las empresas dependen de proveedores externos para algún aspecto de su operación, ya sea para la nómina, el procesamiento de tarjetas de crédito o para administrar sus funciones de seguridad. Pero existen riesgos de seguridad al hacerlo. Si se produce una infracción en el reloj del proveedor, sus datos pueden verse comprometidos y aún podría ser responsable de la pérdida.

Antes de contratar los servicios de un proveedor externo, evalúe sus estándares de seguridad y las mejores prácticas para asegurarse de que cumplan con sus requisitos mínimos. Busque proveedores que:

• Tener políticas y procedimientos de seguridad sólidos.

• Realice copias de seguridad periódicas de sus datos en un disco duro y en la nube

• Realizar auditorías de seguridad internas de rutina

• Realice verificaciones de antecedentes de los empleados con acceso a sus datos

• Exigir a los empleados que completen la capacitación en seguridad de datos

• Manténgase actualizado con los últimos parches y software de seguridad

• Tener un plan integral de respuesta a incidentes para responder y gestionar los efectos de un ataque a la seguridad.

Una vez que haya examinado y seleccionado un proveedor de servicios externo, establezca un acuerdo de nivel de servicio (SLA) que detalle sus expectativas de seguridad y le otorgue el derecho de auditar al proveedor para confirmar el cumplimiento de sus políticas.