Tres cosas que debe hacer para asegurar su pequeña empresa

La ciberseguridad es un importante punto de ansiedad para cualquier negocio. Las violaciones de datos pueden ser extremadamente costosas, no solo en términos de los datos comprometidos sino también en el daño a la reputación de la organización después de un ataque. Este problema es aún más importante para pequeño a mediano empresas (PYMES) que pueden carecer del capital para recuperarse de un ataque tan fácilmente como las grandes empresas. Si se encuentra entre los muchos profesionales preocupados por su seguridad, no se preocupe. Tiene muchas herramientas a su disposición y, si sabe a qué atenerse, puede protegerse de todo tipo de actividad maliciosa.

Recientemente hablamos con el Dr. Eric Cole, fundador y CEO de la firma de consultoría de seguridad cibernética Secure Anchor Consulting, sobre los ataques cibernéticos y los pasos que puede seguir para mantener segura a su PYME. El Dr. Cole ha trabajado en la industria de la ciberseguridad durante más de 20 años. Una vez fue Director de Tecnología (CTO) en la firma de seguridad McAfee, y Jefe Científico y Miembro Principal de la firma estadounidense de seguridad aeroespacial, defensa y seguridad global Lockheed Martin. El Dr. Cole también fue miembro de la Comisión de Seguridad Cibernética para el 44º presidente, Barack Obama. Él tiene un próximo libro titulado, Peligro en línea: cómo protegerse y proteger a sus seres queridos del lado malo de Internet .

"Los ataques SMB están muy extendidos. La razón por la que no escuchamos tanto sobre ellos es que nuestra 'tolerancia al dolor' se ha vuelto tan alta por las violaciones de datos que los ataques más pequeños no son noticia", explicó el Dr. Cole. "Imagínese hace 10 años si descubriera que su banco tenía 5.000 registros robados, estaría volviéndose loco. Hoy, si se roban un millón de registros, no es noticia. Muchas PYMES dicen 'Somos una empresa más pequeña, nadie va a tratar de atacarnos y eso no es cierto. Afortunadamente, todavía hay muchas cosas que puede hacer para protegerse ".

Una vista centrada en datos

Una de las conclusiones más importantes de nuestra conversación con el Dr. Cole fue que muchas violaciones, incluso a grandes empresas, son causadas por poco más que descuido. "Cuando observa las infracciones de datos, las que aparecen en las noticias se deben a que son descuidadas. Tome Equifax, por ejemplo. Tenían un servidor al que se podía acceder desde Internet. Usaron la palabra 'admin' como credenciales. parches. Estas son todas las cosas que cualquiera, independientemente del presupuesto, puede encargarse ".

El Dr. Cole implora a las pymes que adopten una visión centrada en los datos para su seguridad. "Pregúntese, '¿Por qué nuestro servidor es accesible en Internet y por qué esos datos son tan accesibles?'" Las empresas podrían incluso no necesitar que cada uno de sus servidores esté conectado a Internet, especialmente si contienen información que los hackers desearían vender o retener rehenes.

El poder del individuo

Puede comprar e implementar tantas soluciones de seguridad como desee, pero la verdad es que la línea de defensa más importante entre su empresa y los atacantes maliciosos son sus empleados. "El adversario solo necesita un punto de entrada. En la mayoría de las organizaciones, el objetivo principal es el individuo", dijo el Dr. Cole.

Para acceder a datos confidenciales, los hackers a menudo se dirigen a los empleados con correos electrónicos de phishing, haciéndose aparecer como un gerente o ejecutivo que solicita información. Los correos electrónicos pueden estar vinculados a formularios que parecen oficiales en el superficie pero realmente son devueltos a los delincuentes. "Los delincuentes están operando en un nivel mucho más alto en estos días que la estafa del 'Príncipe nigeriano'. Hoy, vas a obtener un aspecto legítimo correo electrónico de su jefe o compañeros de trabajo que se parece a como lo enviaron. La mayoría de los usuarios van a hacer clic en eso sin pensar y eso es extremadamente peligroso ".

Capacitar a los usuarios sobre cómo identificar estos ataques es crucial para minimizarlos. Si un ejecutivo se pone en contacto con ellos y les pide que realicen una transacción que parezca fuera de lo común, consulte primero con ellos en persona o por teléfono. "Todo se reduce al mensaje de 'pensar antes de hacer clic'. Confiar en los correos electrónicos a su valor nominal es acerca de lo peor que puedes hacer en estos días ".

Considere la ayuda externa

Como cualquier otro negocio, el resultado final es de suma importancia para una PYME. Sin embargo, a diferencia de las empresas más grandes, las pymes tienen menos recursos, por lo que deben centrarse en maximizar las ganancias. Como resultado, centrarse en la ciberseguridad a menudo simplemente no es una prioridad. Muchas PYMES intentan hacer todo internamente, a menudo a expensas de medidas de seguridad efectivas.

Durante nuestra conversación, el Dr. Cole hizo una analogía que resume el problema único que tienen las PYMES. "Muchos de nosotros podemos tener cerraduras o algún tipo de sistema de seguridad en nuestro hogar. Muy pocas personas, por otro lado, tienen su propio equipo de seguridad. Eso generalmente está reservado para los más ricos entre nosotros", dijo. "Cuando algo sale mal, generalmente tenemos un tercero que lo maneja en nuestro nombre. Llamamos a la policía u otro servicio de emergencia. Muchas PYMES intentan mantener sus operaciones de seguridad por sí mismas, y eso es un problema".

El Dr. Cole recomienda que las pequeñas y medianas empresas se vean de la misma manera. Los servicios en la nube pueden estar mejor equipados para manejar la información del cliente. Los servicios en la nube como IBM / Softlayer ofrecen servicios de centro de datos seguros y tal vez Una mejor opción para los clientes de PYMES que tratar de hacer todo por sí mismos.