Video: Ciberseguridad para la empresa (1/4) (Noviembre 2024)
La Semana Nacional de la Pequeña Empresa está en marcha, y las festividades no tardaron en abordar uno de los problemas más evidentes y siempre presentes para las pequeñas y medianas empresas (PYMES): la ciberseguridad. La Small Business Administration (SBA) es la agencia del gobierno de los EE. UU. Dedicada a proporcionar ayuda concreta, capacitación y recomendaciones que las pequeñas empresas pueden poner en práctica de inmediato en sus operaciones cotidianas. Con ese fin, en lugar de solo ofrecer tendencias de seguridad en el cielo, el panel de ciberseguridad de la SBA de hoy brindó a las PYMES consejos, recursos y pasos concretos que pueden tomar para mitigar las vulnerabilidades de seguridad y establecer una estrategia de seguridad integral.
El subadministrador de la SBA, Doug Kramer, moderó el panel de expertos en seguridad mientras discutían los mayores riesgos de seguridad que enfrentan las pequeñas empresas, y los pasos más importantes que pueden tomar para proteger su infraestructura y datos, basados en la nube o físicos. El panel incluyó a Bill O'Connell, Vicepresidente de Global Trust Assurance en ADP; Stephen Cobb, investigador principal de seguridad de ESET North America; Matt Littleton, Director Regional Este de Ciberseguridad y Servicios de Infraestructura Azure en Microsoft; y Patricia (Pat) Toth, Científica Supervisora en Informática en la División de Seguridad Informática del Instituto Nacional de Estándares y Tecnología (NIST).
Los panelistas hablaron sobre problemas de ciberseguridad que van desde phishing, ransomware y cómo manejar una violación hasta cómo las pequeñas empresas deben abordar la autenticación multifactorial (MFA), la capacitación y las políticas de seguridad de los empleados, qué buscar en un contrato de proveedor de servicios administrados (MSP), y cuándo llamar a un consultor de seguridad de TI.
No se trata solo de tarjetas de crédito de empleados y clientes e información bancaria, según Kramer, sino que las empresas de datos de propiedad intelectual albergan en todas partes, desde el correo electrónico hasta el almacenamiento en la nube, y las superficies de ataque que podrían hacer que una pequeña empresa sea el eslabón débil y un objetivo fácil en la cadena de suministros. Según la SBA, dijo Kramer, casi la mitad de todas las pequeñas empresas han sido víctimas en algún grado por el delito cibernético, y el costo promedio del ataque es de aproximadamente $ 21, 000.
"Cualquiera que esté comenzando una pequeña empresa está trabajando tan duro como puede, sin tiempo ni dinero extra para hacer frente a un desafío de ciberseguridad que podría costar más de lo esperado y significar la vida o la muerte de una pequeña empresa", comentó Kramer de la SBA como panel. empezó. "La amenaza de la intrusión cibernética y el robo es muy real. Las pequeñas empresas miden los activos y el inventario de diferentes maneras, pero se sientan en un tesoro de información".
1. Seguridad en la nube: qué hacer y qué no hacer
Por razones rentables y de conveniencia, todas las PYMES deben considerar realizar una transición a la nube, pero la transición debe realizarse con cuidado. Los panelistas discutieron algunas de las consideraciones y obstáculos más importantes.
- Hacer: Copia de seguridad incremental en la nube "La nube tiene muchos beneficios y riesgos, pero una cosa que todas las PYMES deberían hacer es hacer copias de seguridad", dijo Cobb de ESET. "La copia de seguridad actual de todos los archivos es la mejor protección contra el ransomware y una parte crítica de su postura y defensa de ciberseguridad. Todavía debe hacer una copia de seguridad en un disco duro y almacenar una copia en un lugar seguro en una ubicación separada, pero la nube le permite hacer una copia de seguridad constantemente."
- Hacer: pagar por la seguridad premium en la nube "Los propietarios de pequeñas empresas son conscientes de los precios, pero otros factores necesitan obtener la cantidad adecuada de peso", dijo O'Connell de ADP. "Algunas cosas deberían costar más dinero para un mayor nivel de servicio y la seguridad es una de esas cosas. No solo tome una decisión basada en el precio".
- No: solo firme el contrato de MSP
"Revise ese contrato", dijo Cobb de ESET. "Puede externalizar el almacenamiento o la copia de seguridad, pero no puede externalizar la responsabilidad. Si el propietario de la PYME dice que el proveedor de TI tiene todos los datos de clientes y empleados, sus datos, usted sigue siendo responsable".
"Cuando se trata no solo del contrato sino también de los datos, investigue para ver si hay problemas de seguridad", agregó O'Connell de ADP. "Para una PYME, el contrato es una buena parte de esa línea de defensa. Consulte los SLA y las políticas de datos de nivel de acceso. ¿Cuánto tiempo conservan los MSP los datos? ¿Qué hacen con ellos?"
- No: deje las características de infraestructura de MSP sin usar "Si ingresa a un entorno de nube, puede cambiar parte de esa responsabilidad. Ya no estamos en una plataforma en la que tenga que preocuparse por no tener el personal para responder a un problema o parchar un servidor", dijo Microsoft. Littleton "Ahí es donde el proveedor de servicios puede intervenir y manejar eso en su nombre. Debe comprender en qué se está metiendo desde el punto de vista del contrato y qué servicios está ofreciendo el proveedor de la nube".
2. Autenticación multifactorial: solo hazlo
"Desde una perspectiva personal y comercial, MFA es algo que puede hacer de inmediato. Las empresas no tienen excusa para no hacerlo de inmediato", dijo Littleton de Microsoft. "Es simple con toda la pila de productos de Microsoft; lo mismo ocurre con Google, Yahoo, usted nombra al proveedor de correo electrónico. Observe su configuración de seguridad y solicite a cada empleado que ingrese su número de teléfono celular como un segundo factor. Entonces, incluso si estoy un atacante y robo su contraseña, no puedo usarla a menos que robe su teléfono celular y conozca el PIN ".
3. Cuándo llamar a un consultor de seguridad de TI
" Habrá cosas que no puede hacer solo como propietario de una pequeña empresa", dijo O'Connell de ADP. "Para los contratos muy importantes, obtiene asesoramiento legal externo. Para las finanzas anuales y trimestrales, tiene un contador. Lo mismo ocurre con la experiencia en seguridad. Cuando necesita probar un sitio para asegurarse de que sea seguro para la web o realizar una evaluación de riesgos, es dinero bien gastado si no tiene la experiencia para hacerlo usted mismo. No está haciendo la electricidad o la plomería en el edificio usted mismo; se trata de saber cuándo necesita ayuda ".
4. La seguridad es parte del trabajo de todos
"No se puede confiar solo en una persona en una empresa de 10 personas; todos deben tener una buena comprensión de la ciberseguridad y cuáles son los riesgos para la organización", dijo Toth de NIST. "Si no lo hacen, su trabajo podría estar en peligro si hay una brecha y el negocio no puede recuperarse".
"Haga de la seguridad una parte del trabajo de cada persona", agregó O'Connell de ADP. "La persona que maneja las finanzas: ¿qué necesitan hacer todos los días? En el aspecto físico, ¿quién es el que cierra la puerta por la noche? Todos necesitan conocer los componentes y cómo su función se ajusta a la seguridad general del negocio".
5. No seas el eslabón débil de la cadena de suministro
Como explicó Kramer de la SBA, ya no hay división entre las pymes y las empresas. Las pequeñas empresas quieren crecer y escalar, o se conectan a una cadena de suministro empresarial para software y servicios. El problema es que las políticas de seguridad de la PYME pueden no estar a la altura de una empresa de la cadena de suministro con la que buscan asociarse.
"Cuando una PYME está obteniendo su primer gran contrato con una gran empresa y le piden ver sus políticas de seguridad y su programa de concientización, no debería apresurarse a verificar todo de la lista de verificación", dijo Cobb de ESET. "El riesgo de la cadena de suministro hacia arriba y hacia abajo es una gran preocupación. Si una PYME está interactuando digitalmente con un proveedor, échale un vistazo. Debes tener políticas de seguridad y capacitación para que no se convierta en un obstáculo".
"Ningún negocio es demasiado pequeño para ser objetivo en el ámbito cibernético, en particular de la gestión de la cadena de suministro", dijo Littleton de Microsoft. "Muchas infracciones no comienzan en la parte superior; comienzan en algún lugar de la cadena de suministro y los atacantes llegan hasta el objetivo final".
Toth de NIST dijo que en los próximos dos años, verá que las agencias gubernamentales comienzan a publicar reglas para acceder a los sistemas de la cadena de suministro. Mientras tanto, dijo que las pymes necesitan tener un plan en marcha.
"La planificación es invaluable para saber qué es realmente importante; esa cosa que necesita proteger y cómo funcionaría su negocio si no fuera accesible", dijo Toth de NIST. "Las pequeñas y medianas empresas deben tener planes, políticas y procedimientos establecidos. No es un gran enfoque gubernamental; puede ser tan simple como las políticas en su manual del empleado que dicen lo que pueden y no pueden hacer en Internet, cómo detectar un ataque de phishing, y cuándo abrir y no abrir enlaces y archivos adjuntos ".
6. Trate el correo electrónico como una postal, no un sobre
"Lo primero que debe hacer una pequeña empresa con correo electrónico es pensar en lo que contiene. Si voy a hackear la información de la compañía de alguien, su correo electrónico a menudo tiene todo lo bueno", dijo Cobb de ESET. "Las personas a menudo no piensan en lo que están dejando allí. Miren el truco de Sony; la gente decía cosas por correo electrónico que no deberían haber dicho. El correo electrónico es una postal, no un sobre cerrado. Tenga eso en cuenta."
"También se está volviendo más sobre la capacidad de controlar los datos", dijo Littleton de Microsoft. "Puede valer la pena usar un servicio de correo electrónico encriptado con filtrado entrante que reduce la superficie de ataque. Si dejas el número de tu tarjeta de crédito en un correo electrónico, el servicio te preguntará si realmente quieres enviarlo y luego no encriptará automáticamente solo el número pero todo el correo electrónico. A medida que avanza la industria, estos servicios se están volviendo más razonables y comunes ".
7. Informe siempre los incidentes
Kramer de la SBA explicó que, cuando una pequeña empresa se viola o se ve afectada por una estafa de phishing o una solicitud de ransomware, necesitan saber a quién llamar. Cobb de ESET dijo que si las pequeñas empresas no informan esto a la policía por temor a que la policía no posea los recursos para investigar, el ciclo se perpetuará.
"Tenemos un ciclo desafortunado en el que las fuerzas del orden obtienen fondos en función de los delitos denunciados, pero las personas no denuncian delitos porque no creen que la policía tenga los recursos", dijo Cobb de ESET. Si nadie informa, la policía nunca tendrá la evidencia para equiparse con los recursos para abordar estos problemas de cibercrimen ".
"La mayoría de los municipios tienen unidades de ciberdelitos y responderán", agregó Toth de NIST.
8. Tener un plan de respuesta a incidentes en su lugar
"No intentas ponerte el cinturón de seguridad en medio de un accidente", dijo Littleton de Microsoft. "Se necesita un plan de cómo responderá antes de que ocurra una violación".
"Tampoco estás completamente solo en esto", dijo Cobb de ESET. "Los servicios de seguridad que compra en el estante vienen con una mayor protección en la nube o al acceder a la cadena de suministro. Pueden proporcionar servicios de detección y prevención a nivel básico. Al armar su plan, asegúrese de no abandonar los servicios de seguridad en la mesa ofrecida por su MSP o servicio de seguridad ".
9. No dejes extremos sueltos
"Vemos un área problemática, si y cuando un empleado se va o es despedido, su acceso al sistema no se termina de inmediato", dijo Cobb de ESET. "Las pequeñas empresas trabajan con personas en las que confían, y muchas personas que van y vienen. A veces no van en las circunstancias más felices. Si un ex empleado con rencor todavía tiene acceso o incluso tiene habilitada su autenticación multifactor, eso es un gran problema de seguridad interna que es dolorosamente fácil de resolver ".
10. Recursos gubernamentales y capacitación
El gobierno está tomando medidas importantes para abordar la ciberseguridad. La Casa Blanca lanzó un marco de ciberseguridad a principios de este año, y la propuesta de presupuesto del presidente Obama para 2017 busca un aumento del 35 por ciento en la financiación (a $ 19 mil millones) para hacer frente a los ataques de ciberseguridad. Kramer de SBA y Toth de NIST señalaron recursos gratuitos del gobierno, como la página completa de recursos de ciberseguridad de la SBA para PYMES, incluidos consejos y herramientas de ciberseguridad, una colección de cursos, capacitaciones y seminarios web.
Algunos de los recursos más útiles son:
- Los 10 mejores consejos de ciberseguridad de la SBA
- Curso en línea de la SBA: Ciberseguridad para pequeñas empresas
- Herramienta de evaluación de la Revisión de ciberresiliencia (CRR)
- The Small Biz Cyber Planner
- SBA, NIST y los talleres conjuntos para pequeñas empresas del FBI
- El canal de YouTube de la SBA
- Centro de recursos de seguridad informática del NIST
- Certificaciones y programas educativos de COMPTIA para aprender los protocolos de seguridad de MSP
