Si bien a menudo es una ocurrencia tardía, los empresarios deben comenzar a tomarse la ciberseguridad más en serio. El 60% de las pequeñas empresas cierran dentro de los seis meses posteriores a un ciberataque, y estos incidentes son más comunes de lo que cree. El 43% de todos los ataques organizados se dirigieron a las pequeñas empresas, lo que las convierte en el objetivo principal de todas las cohortes empresariales.
Aquí hay cinco pasos que cualquier emprendedor puede tomar para mejorar sus defensas comerciales y reducir las posibilidades de perder su startup por un ciberataque.
Índice del Contenido
1. Implementar una política de seguridad de datos desde el primer día
Una de las razones por las que las startups son un objetivo atractivo para los malos actores es que la mayoría no abordan la ciberseguridad hasta que es demasiado tarde. Este es un problema que se vuelve cada vez más peligroso a medida que evoluciona una startup, lo que hace que contar con una política de seguridad de datos desde el primer día sea la mejor manera de protegerse a sí misma.
El objetivo de una política de seguridad de datos es doble. El primero es crear transparencia. Una buena política de seguridad de datos debe identificar claramente qué datos recopilará la startup y cómo se almacenan. El segundo objetivo es aclarar la relación de cada empleado con estos datos. Debe incluir políticas con respecto al acceso a los datos, procedimientos para controlar este acceso y enumerar las responsabilidades de cada empleado para protegerlo.
Los atacantes suelen apuntar a personas con información privilegiada para eludir las defensas de la red perimetral. Hacer que cada empleado sea consciente de su responsabilidad de permanecer alerta es fundamental. Cuando se trata de ciberseguridad, el elemento humano es siempre el eslabón más débil, y la simple conciencia va más allá de lo que imagina.
2. Definir estándares de hardware de TI
Muchas startups pasan los primeros años de su existencia tratando de ahorrar dinero de cualquier forma que puedan. Desde una perspectiva de TI, esto puede llevar a depender de un modelo BYOD (traiga su propio dispositivo) para mantener bajos los costos de hardware. Sin embargo, esto puede privar a la puesta en marcha de un elemento defensivo crucial: la estandarización de materiales.
Cuando cada empleado usa un dispositivo personal, un solo empleado que descarga una aplicación maliciosa o visita una página web peligrosa puede poner en riesgo los datos de la empresa. Para tener un modelo BYOD seguro, establezca estándares de hardware para todos los dispositivos de propiedad de los empleados y aplíquelos.
Para empezar, solo requiere hardware actualizado. Esto significa que no hay teléfonos inteligentes ni computadoras portátiles envejecidas. También puede establecer actualizaciones y requisitos mínimos del sistema operativo para asegurarse de que no se utilice ningún software vulnerable.
El software de seguridad también debería ser un requisito en todos los dispositivos que accederán a las redes y datos corporativos. Considere el software de protección de nivel profesional de empresas como Broadcom o ESET, o MacKeeper si utiliza principalmente productos Apple.
3. Elimine las contraseñas siempre que sea posible
Los malos actores utilizan credenciales robadas o comprometidas en la inmensa mayoría de los ataques exitosos. Según el último informe de investigación de violación de datos de Verizon, las contraseñas comprometidas desempeñaron un papel en el 61% de todos los ataques en 2020.
Si bien es útil tener políticas de contraseñas sólidas para todo el software y los servicios relacionados con la empresa, las empresas emergentes tienen una mejor opción: deshacerse de las contraseñas por completo. Siempre que sea posible, las empresas emergentes deben utilizar claves de seguridad de hardware o datos biométricos para proteger sus datos y activos asociados.
Si no puede deshacerse de las contraseñas, es imprescindible habilitar la autenticación de dos factores. Esto disminuye las posibilidades de un ataque exitoso. Además, extienda esta política a cualquier contratista o autónomo que tenga acceso a los datos de la empresa, ya que es muy común que los atacantes usen credenciales de terceros durante un ataque.
En estas situaciones, el daño puede variar mucho. Por ejemplo, si las publicaciones de invitados son parte de su estrategia de marketing, un atacante que obtenga acceso a su sistema de administración de contenido puede manipular sus artículos. Si un atacante se apodera de una cuenta utilizada por un proveedor de TI, el daño podría ser peor.
4. Realice copias de seguridad periódicas de los sistemas críticos.
Los ataques de ransomware se han disparado durante el último año, aumentando un 171%. Las empresas emergentes pueden reducir la amenaza del ransomware mediante el desarrollo de un plan de respuesta que incluya copias de seguridad periódicas fuera del sitio y actualizaciones de sistemas y datos críticos.
Identifique sus activos de TI críticos e implemente un método de respaldo que permita la recuperación completa de datos. Puede hacerlo utilizando proveedores de copias de seguridad en línea o utilizando discos duros extraíbles que se almacenan fuera del sitio después de cada nueva copia de seguridad.
Es importante redactar un plan de recuperación completo, paso a paso, que detalle qué sistemas se restaurarán primero, quién hará el trabajo y cuánto tiempo debería llevar. Una vez que están en su lugar, una startup puede reducir el impacto de un ataque de ransomware a días de inactividad.
5. Piense en el seguro cibernético como un escudo financiero
Incluso si una startup logra recuperarse de un ataque o una violación de datos, todavía no hay garantía de que sobrevivirá a largo plazo. Las consecuencias financieras de estos ataques a menudo superan lo que puede manejar una pequeña empresa, especialmente si la infracción incluye información confidencial.
Por eso es importante considerar la compra de una póliza de seguro cibernético como última línea de defensa. Estas pólizas pueden cubrir muchos de los gastos incurridos por una startup mientras se recupera de un ataque, reduciendo así las pérdidas financieras y asegurando la continuidad.
Arranque seguro
Estas medidas preventivas abordan los puntos débiles comunes que hacen que las pequeñas empresas sean un objetivo atractivo y pueden ayudarlo a recuperarse del peor de los casos. Si bien esto a menudo no es una prioridad para muchos propietarios de negocios, no espere hasta que sea demasiado tarde.