Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad: 10 riesgos que no puede ignorar

Cómo las pequeñas y medianas empresas deben hacer frente a la seguridad

Seguridad pyme

[10/11/2014] Generalmente consideradas con un máximo de entre 300 y 500 empleados, las pequeñas y medianas empresas constituyen la gran mayoría de las empresas, por lo que son una parte fundamental de la economía. Sus clientes esperan, naturalmente, que los datos personales y financieros se mantengan seguros, y una violación de esos datos es una prueba dolorosa y costosa. Al igual que las grandes empresas, las pequeñas compañías que aceptan tarjetas de pago tienen que seguir las reglas de esa industria financiera.

Puede ser desalentador para una empresa, que ni siquiera puede tener un departamento de TI, pensar en la manera de abordar la seguridad de red. Pero aquí hay 10 consejos para comenzar:

1. Los gerentes de negocios necesitan obtener el conocimiento básico de dónde se albergan los datos más importantes. Ya sea que estén en dentro del edificio, en equipos de escritorio y servidores tradicionales, o en servicios en la nube y dispositivos móviles (incluyendo posiblemente los arreglos del tipo "traiga su propio dispositivo), se debe conocer dónde están.

Ya sea que este conocimiento sea presentado por el gerente de TI de casa o por un proveedor de tecnología de fuera, el almacenamiento de datos, los permisos de acceso y el tratamiento de los datos se debe documentar, incluyendo cualesquiera que sean los controles de seguridad que hayan. Es necesario que haya una decisión consciente por parte de los gerentes de negocios y de tecnología, preferiblemente con asesoramiento jurídico, para que estos controles de seguridad estén adecuados en relación con el riesgo. Ahí radica la base de lo que también se necesita: un plan de respaldo y recuperación de desastres.

2. Las cosas malas también le suceden a los buenos negocios. Inundaciones, incendios, terremotos, ladrones de fuera y amenazas internas, y por supuesto el malware, son todos factores que pueden afectar la seguridad de los datos almacenados. Automatice el proceso de respaldo. Dado que prácticamente todos los negocios dependen ahora de alguna forma de procesamiento de cómputo, haga la pregunta de cómo pueden proceder los empleados si de pronto el lugar físico no está disponible. Haga planes de interrupciones que duren semanas o meses -y pruébelos para asegurarse de que son viables.

3. Capacite a los empleados acerca de la naturaleza de los ciber ataques de hoy. Las pequeñas y medianas empresas tienden a pensar que los ciber-delincuentes van detrás de los chicos realmente grandes, no tras ellos, pero eso simplemente no es verdad. Los ciber delincuentes apuntan en particular a pymes para comprometer las PC que usan para sus operaciones bancarias y pagos en línea, buscando cometer fraudes en líneas generales vaciando las cuentas de la empresa.

Desafortunadamente, en términos legales hay menos protección para recuperar fondos robados a empresas que a personas naturales. Los bancos pueden incluso hacer pasar a las pequeñas empresas un mal rato cuestionando la seguridad que tienen. ¿Cómo se inicia frecuentemente la ciber delincuencia? En muchos casos, la víctima abre un mensaje de correo de "phishing con un adjunto que encubre malware, el cual permitirá al atacante infiltrarse en la red. Para sellar esto, los filtros de spam deberían intentar capturar los correos de phishing y otros correos basura. Pero algunos de estos, especialmente los altamente dirigidos, pasarán y los empleados deberían estar entrenados para no abrir nada que parezca remotamente inusual.

Debido a que el malware basado en la web es también común, aplicar controles de navegación web a los empleados es también una buena idea. Las grandes compañías han comenzado a usar sistemas avanzados de protección contra malware que pueden rastrear ataques dirigidos en varias formas, y los pequeños negocios deberían hacerlo también, si es asequible.

También existe un fuerte argumento para considerar la configuración de un recurso de cómputo estrictamente para la transferencia de dinero en línea. Hay muchas estafas de ingeniería social basadas en teléfono, así que los empleados deberían tener cuidado.

4. Implemente los conceptos básicos de seguridad. Eso significa firewalls para access points cableados e inalámbricos, y antimalware en terminales y servidores, reconociendo que los antivirus tradicionales de firma de virus son una forma limitada de defensa. Considere tecnologías como 'whitelistening' para evitar descargas de software de la computadora.

Durante años, los proveedores de seguridad francamente han aceptado que frecuentemente pasan malos ratos tratando de vender a las pymes, estableciendo canales de ventas y soporte, y con frecuencia intentan crear ediciones de sus productos básicos orientados a números más pequeños de usuarios y que requieran menos experiencia técnica para administrarlos. Pero algunas prácticas son críticas para todos: Sea riguroso acerca de parchar todos los sistemas operativos y aplicaciones tan pronto como sea posible. Si su negocio tiene poco personal con experiencia en seguridad, busque soporte técnico externo bajo un acuerdo de servicios de seguridad gestionada. Si hay un ataque de malware, por ejemplo, necesitará esa experiencia.

Lea artículos, únase a grupos de usuarios de tecnología, hable con colegas de la industria para obtener consejos acerca de ayuda externa. Mantenga en mente que si su negocio acepta tarjetas de pago, es obligatorio adherirse a los requerimientos de privacidad de datos enunciados en las leyes, lo cual incluye también encriptar la información. Las reglas gubernamentales de seguridad HIPAA y HighTech también requieren encriptación de información personal identificable en la industria del cuidado de la salud. La encriptación de datos en reposo y en tránsito es también una buena idea, así que ¿por qué no lo hace?

5. Cuando tenga que disponer de computadoras viejas y otros dispositivos que almacenan datos, retire los discos duros y destrúyalos. Esto también va para todos los tipos de soportes. Y no olvide tampoco los papeles que tienen información confidencial.

6. Sea detallista cuando se trata de acceso individual a los datos. Esto toma tiempo, pero determine qué empleados o socios externos de negocios realmente necesitan tener acceso en términos de redes y aplicaciones para hacer su trabajo. Mantenga un registro de esto y considere usar más que contraseñas, quizás autenticación de doble factor o incluso control biométrico.

Esto también va para los administradores de sistemas, cuyos trabajos les dan un enorme poder sobre todos los sistemas de información en uso. Las opciones incluyen el requerimiento de un proceso de autenticación doble, algo que la Agencia Nacional de Seguridad afirma que debe ser más riguroso después de que el ex contratista tecnológico Edward Snowden filtrara todos esos secretos. Las actividades de su empresa no son probablemente tan ultrasecretas como las de la NSA, pero su red interna y toda la mayor parte de datos críticos podrían bien estar bajo el control de un administrador de sistemas, independientemente de que piense en ello o no.

Y, finalmente, tenga procedimientos para una inmediata desafiliación de credenciales cuando un empleado se aleja o un acuerdo de negocios es alterado.

7. Como dice el viejo refrán, confíe pero verifique. Haga revisiones oficiales de antecedentes de potenciales empleados para verificar su historial delictivo (algunas compañías incluso están evaluando prospectos de empleados de acuerdo a lo que pueda indicar su historial público en redes sociales). Y cuando se trata de proveedores de tecnología o proveedores de servicios, asegúrese de que lo que prometen está en un contrato firmado con alguna clase de consecuencias enunciadas sobre fallas en la entrega. Considere realizar una visita al centro de datos operado por socios de negocios con quienes planea compartir electrónicamente los datos de sus clientes, por ejemplo, y solicite detalles sobre su seguridad, respaldo y personal involucrado.

8. La era móvil de los smartphones y tabletas está aquí y es disruptiva. Ya sea que haya comenzado o no una transición en su negocio para usar smartphones o tabletas, debe reconocerse que todos esos aparatos representan nuevas plataformas de sistemas operativos con diferentes requerimientos de seguridad y métodos de actualización y control, que los de las viejas PC y laptops.

Aunque el mercado de los dispositivos móviles tiene un ritmo rápido en términos de cambio, tanto los gerentes de negocios como los de TI deberían estar realizando estrategias sobre las opciones de gestión y seguridad; y eso incluye situaciones de "traiga su propio dispositivo en las que los empleados tienen permitido utilizar sus propios smartphones y tabletas para trabajo. Esto significa balancear las necesidades de seguridad del negocio con el uso de datos personales del individuo quien, después de todo, es propietario del dispositivo.

Por lo menos, BYOD plantea cuestiones legales ya que los datos de la empresa ya no se alojan en un dispositivo emitido directamente por la compañía. El software de gestión de dispositivos móviles frecuentemente está en consideración, con la pregunta de si moverse a las llamadas opciones de "containerizacion para la segmentación de datos. Si le sirve de consuelo, las grandes compañías todas están luchando con preguntas como esas como parte de la revolución en movilidad. No hay respuestas fáciles.

9. No olvide el acceso físico en todo esto. Debería haber una forma de prevenir que personas no autorizadas se acerquen a los recursos de cómputo de la empresa. Eso puede significar el personal de limpieza en las noches. Enfrente a los visitantes inesperados en una forma diplomática pero determinada.

10. Aunque el negocio puede ser pequeño, piense en grande. Enfóquese en la política. Eso significa elaborar una política de uso aceptada por el empleado en la que claramente se define cómo se espera que los trabajadores se comporten en línea y como se deben compartir y restringir el acceso a los datos. Haga que la lean y la firmen, dejando en claro si es que hay actividades de monitoreo en línea. Debe haber posibles penalidades por no cumplir con lo establecido. Sin embargo, las medidas drásticas contra los empleados no suelen ser una forma de alentar el pensamiento creativo y la productividad que el negocio necesita en un mundo donde las comunicaciones en línea son críticas. El reto es encontrar el balance adecuado.

Ellen Messmer, Network World (EE.UU.)