Skip to main content

La seguridad informática en pymes (pequeñas y medianas empresas) aumentó su relevancia durante la pandemia del coronavirus.

La Covid-19 obligó a estas compañías a encarar la digitalización de sus procesos internos y con sus clientes, proveedores y socios de negocio, y abrió así nuevos campos de acción para la actividad de los delincuentes informáticos.

“Si bien las computadoras e Internet ofrecen muchos beneficios a las pequeñas empresas, estas tecnologías no están exentas de riesgos», advirtió Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de Eset Latinoamérica, compañía especializada en detección proactiva de amenazas.

«Algunos de ellos, como el robo físico de equipos y los desastres naturales, se pueden reducir o controlar con conductas sensatas y precauciones de sentido común», reconoció.

«Pero los riesgos resultantes del crimen cibernético, como el robo de información personal que luego se vende en el mercado negro, son más difíciles de manejar», reparó.

«Incluso las empresas más pequeñas manejan datos personales de clientes o proveedores que pueden ser de interés para un cibercriminal», afirmó.

«Esto implica que, por más que una empresa sea pequeña, debe adoptar un enfoque sistemático para proteger los datos que se le confían”, dijo Gutiérrez Amaya.

Desde Eset me compartieron una guía básica de seguridad informática para pymes que consiste en los siguientes seis pasos.

Analizar activos, riesgos y recursos

Realizar una lista con todos los sistemas y servicios informáticos que se utilizan. Asegurarse de incluir los dispositivos móviles que pueden llegar a usar para acceder a información corporativa o de los clientes.

Luego, analizar los riesgos relacionados con cada elemento y los recursos disponibles para resolver los problemas de seguridad informática en pymes.

Crear políticas

Se debe informar al equipo que se toma en serio la seguridad y que la empresa se compromete a proteger la privacidad y la seguridad de todos los datos que maneja.

Además, detallar las políticas que desea aplicar, por ejemplo, que no se permite el acceso no autorizado a los sistemas y datos corporativos, y que los trabajadores no deben desactivar la configuración de seguridad en sus dispositivos móviles.

Definir quién tiene acceso a qué datos dentro de la organización, con qué fin y qué están autorizados a hacer con ellos. También es importante contar con políticas para el acceso remoto, el uso de dispositivos propios para trabajar (BYOD) y el software autorizado.

Elegir controles

Utilizar controles para hacer cumplir las políticas. Por ejemplo, si desea aplicar una política para impedir el acceso no autorizado a los sistemas y datos corporativos, se puede optar por controlar todo el acceso a los sistemas de la empresa mediante la solicitud de un nombre de usuario y contraseña, y un segundo factor de autenticación (2FA).

Para controlar los programas que tienen permiso de ejecutarse en los equipos de la empresa, se puede decidir no dar a todos los derechos de administrador.

Para evitar las filtraciones causadas por dispositivos móviles perdidos o robados, podría exigirse a los empleados que informen sobre estos incidentes en el mismo día, y bloquear el dispositivo afectado para borrar su contenido de inmediato en forma remota.

Debería utilizar las siguientes tecnologías de seguridad:

  • Protección para puntos finales de comunicación («endpoints», en inglés) para evitar que se descarguen códigos maliciosos en los dispositivos.
  • Cifrado para proteger los datos de los dispositivos robados.
  • 2FA para requerir algo más que un nombre de usuario y una contraseña al acceder a los sistemas y datos.
  • Software de red privada virtual (VPN, sigla en inglés) para una protección adicional.

Implementar controles

Al implementar controles, es necesario asegurarse de que funcionan correctamente. Por ejemplo, se debería tener una política que prohíba el uso de software no autorizado en los sistemas de la empresa.

Entonces, uno de los controles será el software antimalware que busca códigos maliciosos. No solo se debe instalar y probar que no interfiera con las operaciones comerciales normales, sino que también se tienen que documentar los procedimientos que los empleados deberán seguir en caso de que el software detecte malware.

Capacitar empleados, directivos y vendedores

Además de conocer las políticas y procedimientos de seguridad de la empresa, el equipo debe entender por qué son necesarias. Esto implica invertir en capacitación y concientización sobre seguridad: la medida más importante y efectiva que una empresa puede implementar.

Por ejemplo, al trabajar con los empleados, generar conciencia sobre temas como los correos electrónicos de estafas virtuales («phishing»).

Preparar capacitaciones periódicas, hacer que la concientización sobre seguridad cibernética sea parte del proceso de incorporación de nuevos empleados y proporcionar consejos de seguridad en una página de Intranet (red interna de una organización basada en protocolos de Internet).

Asegurarse de capacitar a quienes usen los sistemas, incluyendo directivos, vendedores y socios.

Seguir con evaluaciones, auditorías y pruebas

La seguridad informática en pymes es un proceso continuo, no un proyecto que se ejecuta una sola vez. Es necesario actualizar las políticas de seguridad y sus controles dependiendo de los cambios en la empresa, como las relaciones con nuevos vendedores, nuevos proyectos, incorporaciones de empleados o empleados que dejan la empresa.

Considerar contratar a un consultor externo para realizar una auditoría de seguridad para detectar los puntos débiles y poder abordarlos.

“La ola de delitos informáticos no va a parar en el futuro cercano, de modo que se debe hacer un esfuerzo continuo de buena fe para proteger los datos y los sistemas, que son el alma de las pequeñas empresas de hoy”, concluyó Gutiérrez Amaya.


Si te gustó o sirvió algo que publiqué, te ofrezco dos alternativas para agradecer y permitir la continuidad de mi trabajo en Bahía César, haciendo clic sobre ellas:

César Dergarabedian

César Dergarabedian

Soy periodista. Trabajo en medios de comunicación en Buenos Aires, Argentina, desde 1986. Especializado en tecnologías de la información y la comunicación. Analista en medios de comunicación social graduado en la Universidad del Salvador. Ganador de los premios Sadosky a la Inteligencia Argentina en las categorías de Investigación periodística y de Innovación Periodística, y del premio al Mejor Trabajo Periodístico en Seguridad Informática otorgado por la empresa ESET Latinoamérica. Coautor del libro "Historias de San Luis Digital" junto a Andrea Catalano.

Deja un comentario

A %d blogueros les gusta esto: