Cinco mejores prácticas de ciberseguridad para proteger los datos de su empresa
Publicado: 2024-03-05Solo en 2022, la Oficina Federal de Investigaciones recibió 800.944 quejas de empresas estadounidenses que fueron víctimas de ciberataques.
Si bien es cierto que los ciberataques van en aumento, su empresa no tiene por qué ser víctima de un ataque. Por el contrario, puede tomar la iniciativa implementando medidas de ciberseguridad para protegerse contra los numerosos peligros de seguridad en el ciberespacio.
A continuación se presentan cinco mejores prácticas esenciales de ciberseguridad que puede implementar para mantener seguros los datos de su empresa.
1. Habilite la autenticación de dos factores
La autenticación de dos factores (también llamada "autenticación multifactor") es una de las mejores prácticas de ciberseguridad más comunes que puede implementar para mantener a raya las amenazas cibernéticas. Empresas como Microsoft y Google lo utilizan para mantener seguros los datos de sus clientes y está recomendado por legislación como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
Esta sencilla medida de ciberseguridad puede proteger los datos de su empresa al exigir que sus empleados proporcionen un segundo factor de autenticación (distinto de sus contraseñas) antes de que se les otorgue acceso a sus cuentas. La información adicional de verificación de identidad podría ser:
- contraseñas de un solo uso de seis dígitos enviadas a su número de teléfono cada vez que inician sesión
- sus datos biométricos (p. ej., huellas dactilares, escaneo de retina o escaneo de reconocimiento facial)
- la voz del empleado
La cualidad que hace que la autenticación de dos factores sea efectiva es la capa adicional de seguridad que proporciona.
Antes de su implementación, los nombres de usuario y las contraseñas eran actores maliciosos necesarios para obtener acceso a los datos de una empresa. Ahora, incluso si los piratas informáticos logran adquirir los nombres de usuario y contraseñas de sus empleados, no podrán acceder a las cuentas sin sus teléfonos o datos biométricos.
Pero eso no es todo: la autenticación de dos factores también puede alertarte sobre actividades sospechosas a medida que ocurren en tiempo real. En algunos casos, sus empleados recibirán correos electrónicos cuando usuarios no autorizados intenten iniciar sesión con sus credenciales desde un dispositivo no reconocido. El correo electrónico puede solicitarles que confirmen si reconocen un intento de inicio de sesión. Vea este correo electrónico de muestra enviado por Google para confirmar un inicio de sesión:
Considere utilizar la autenticación multifactor si tiene una fuerza laboral distribuida y sus empleados inician sesión desde dispositivos fuera de su red corporativa. Esta medida de ciberseguridad es sencilla de implementar y no afectará su presupuesto de ciberseguridad.
2. Aplicar una política de contraseñas seguras
Los ciberdelincuentes emplean varias técnicas, como ingeniería social y ataques de fuerza bruta, para comprometer las cuentas de los empleados. Las contraseñas débiles aumentan sus probabilidades de éxito y la probabilidad de que los propietarios de empresas como usted experimenten una violación de seguridad.
Por lo tanto, otra forma de mantener sus datos a salvo de las amenazas de ciberseguridad es aplicar una política de contraseñas segura en su lugar de trabajo.
Hacer cumplir una política de contraseñas segura implica crear un conjunto de reglas básicas que sus empleados seguirán al configurar contraseñas para sus cuentas. Las reglas típicas pueden incluir el uso de contraseñas separadas para cada cuenta y la creación de contraseñas largas y seguras que incluyan una combinación de letras (mayúsculas y minúsculas), números y símbolos.
Por cierto, deberá educar a sus empleados sobre los criterios que deben cumplir sus contraseñas para ser consideradas seguras. El gigante de los motores de búsqueda Google ofrece consejos sobre cómo establecer una contraseña segura. Dice que deberías:
- ser único (y no reutilizarse para las cuentas personales de un empleado)
- ser memorable
- excluir patrones comunes (p. ej., “1234”)
- excluir información personal (por ejemplo, el cumpleaños de una pareja)
Las contraseñas que cumplan con los criterios anteriores deberían funcionar como primera línea de defensa contra el acceso no autorizado a la propiedad intelectual de su empresa. Si quieres estar absolutamente seguro de que las contraseñas son difíciles de descifrar, pídeles también que utilicen esta tabla como guía a la hora de elegir:
Fuente: CDN
Sea consciente de las desventajas de esta estrategia de ciberseguridad y de los remedios disponibles.
La principal desventaja de que un empleado utilice una contraseña compleja es que puede escribirla y guardar el papel cerca de su espacio de trabajo. Puede desalentar esta práctica implementando administradores de contraseñas que les ayuden a almacenar y recordar sus contraseñas. Estas herramientas también serán útiles si exige que sus empleados cambien sus contraseñas cada tres a seis meses.
3. Crear copia de seguridad de datos
Hacer copias de seguridad de sus datos con regularidad es una buena idea desde el punto de vista empresarial, pero también es una de las mejores prácticas de ciberseguridad más inteligentes. La razón es que puede recurrir a sus copias de seguridad de datos en caso de un ataque de ransomware.
Los ataques de ransomware se encuentran entre los ciberataques más comunes realizados por delincuentes durante una violación de seguridad. Implican el uso de software malicioso (ransomware) para secuestrar los archivos en las computadoras de la empresa y retenerlos para pedir un rescate. En 2022, el ransomware se utilizó en cerca del 68% de todos los ciberataques registrados en todo el mundo.
Si bien la esperanza es que sus políticas de ciberseguridad impidan que los empleados caigan en el ransomware, solo hace falta un clic en un enlace malicioso para que se convierta en un incidente de seguridad. Las estadísticas de gestión del tiempo muestran que, en promedio, los empleados revisan su correo electrónico cada hora y 40 minutos. Dado que se ha descubierto que el phishing por correo electrónico es el método de entrega más común de ransomware y que los correos electrónicos enviados parecen legítimos a primera vista, aumenta la probabilidad de que se produzca un ataque.
Consulte este ejemplo de un correo electrónico de phishing enviado a un empleado:
Fuente: Seguridad SSL barata
La única forma de concluir que se trata de un correo electrónico de phishing es si lo examina detenidamente. Tenga en cuenta que se supone que el remitente del correo electrónico es Damco con sede en Camboya. Sin embargo, el registro del dominio de la dirección de correo electrónico del remitente se realizó en China (.cn). Luego está el uso del logotipo de Maersk Line. Esa empresa, aunque legítima, tiene su sede en Dinamarca.
Además, pregúntese: ¿por qué un asociado de servicio al cliente enviaría un correo electrónico que supuestamente contiene documentos de exportación?
Supongamos que usuarios no autorizados obtienen acceso a sus datos después de que un empleado desprevenido hace clic en un correo electrónico de phishing como el anterior. En ese caso, las copias de seguridad periódicas garantizarán que su negocio pueda funcionar con normalidad.
En cuanto a cómo puede hacer una copia de seguridad de los datos de su empresa, considere utilizar la regla 3-2-1. Tenga en todo momento tres copias de sus datos. Haga una copia de seguridad de dos versiones en dispositivos de almacenamiento separados y la versión final fuera del sitio.
Tiene muchas opciones de dispositivos físicos de respaldo. Los discos duros externos (ya sean de estado sólido o de disco duro) y las unidades flash USB pueden funcionar. Su capacidad de almacenamiento puede variar desde 500 gigabytes hasta dos terabytes y más. Además, los medios ópticos como DVD o CD son útiles para almacenar copias de seguridad de archivos más pequeños.
En cuanto a las soluciones externas, el almacenamiento en la nube es inmejorable. Puede almacenar los archivos de su empresa en un servidor remoto y acceder a ellos con una conexión a Internet por una tarifa mensual. Servicios como Google Drive, OneDrive y Dropbox se encuentran entre los más populares.
4. Capacitar a los empleados sobre ciberseguridad
También puede combatir las vulnerabilidades de seguridad educando a sus empleados sobre la seguridad de la red.
Los programas y cursos que brindan certificaciones de seguridad para principiantes pueden ayudar a sus empleados a aprender. Como mínimo, sus empleados aprenderán sobre correos electrónicos de phishing, estafas de phishing y otros trucos que utilizan los ciberdelincuentes para comprometer sistemas críticos. Además, aprenderán cómo se producen estas violaciones de ciberseguridad en el lugar de trabajo y cómo los malos actores aprovechan las brechas de seguridad.
Más importante aún, sus empleados necesitan saber cómo sus acciones pueden contribuir involuntariamente a actividades maliciosas. Por ejemplo, la capacitación en ciberseguridad puede enfatizar la importancia de acceder a los datos de la empresa a través de redes privadas y evitar el uso de redes públicas (por ejemplo, las redes Wi-Fi públicas en cafeterías).
Es esencial que integre la capacitación en ciberseguridad en sus operaciones comerciales.
En lugar de enviar correos electrónicos ocasionales y organizar sesiones de capacitación cada año impar, considere invitar a profesionales de la ciberseguridad a hablar con sus empleados a intervalos regulares.
Incluso podrías incentivar la asistencia a cursos de ciberseguridad haciéndolos parte del desarrollo continuo de tus empleados. Cuando un empleado está convencido de que su conocimiento de la ciberseguridad ayudará a sus perspectivas profesionales y se traducirá en habilidades listas para el trabajo, puede estar más inclinado a internalizar y poner en práctica lo que aprende.
Si dirige una empresa de tecnología, considere enseñar a sus empleados cómo la inteligencia artificial puede ayudar a defenderse contra los ciberataques impulsados por la IA.
5. Realizar auditorías periódicas de ciberseguridad
Realizar auditorías periódicas de ciberseguridad lo ayudará a identificar vulnerabilidades de seguridad y riesgos de ciberseguridad para su negocio.
Una auditoría de ciberseguridad implica evaluar las políticas de seguridad de su empresa mientras intenta descubrir amenazas o áreas de mejora.
Durante una auditoría, determinará si su empresa cumple con las normas de ciberseguridad y evaluará su postura de seguridad, entre otras cosas. Auditorías más frecuentes examinarán la validez de su software antivirus (es decir, si está actualizado). No es raro cambiar de socio de ciberseguridad durante el proceso.
Hay dos tipos de auditorías de ciberseguridad que puede realizar:
- Auditoría interna : cuando realiza una auditoría interna, el personal de ciberseguridad de su empresa se encarga de las comprobaciones. Este tipo de auditoría es común en empresas más pequeñas.
- Auditoría externa : una auditoría externa invita a auditores que no están afiliados a la empresa a realizar las verificaciones. Las empresas más grandes suelen elegir estos tipos de auditoría.
La frecuencia con la que realice las auditorías dependerá de su negocio.
Por ejemplo, si almacena información confidencial en sus sistemas informáticos, necesitará auditorías frecuentes para garantizar su seguridad. También puede tener en cuenta si la auditoría será perjudicial para el negocio o no.
Los factores adicionales a considerar al realizar auditorías incluyen:
- Alcance : ¿Qué tan completa desea que sea la auditoría? ¿Debería brindarle una imagen completa de la postura de ciberseguridad de su empresa o centrarse en aspectos particulares de su negocio?
- Amenazas y respuestas: si descubre amenazas a su negocio, ¿cómo responderá?
Una vez que concluya una auditoría, tendrá una idea más clara de qué tan segura (o no) es su empresa frente a las amenazas cibernéticas. Y si descubre alguna amenaza, puede tomar medidas para neutralizarla.
Siga los consejos de ciberseguridad para proteger los datos comerciales
Si desea mantener seguros los datos de su empresa, deberá implementar dos o más de las mejores prácticas de ciberseguridad que se analizan en el artículo. Las estadísticas son claras: el cibercrimen va camino de dispararse en el futuro, lo que significa que las empresas deben estar preparadas.
En resumen, considere habilitar la autenticación de dos factores y aplicar una política de contraseñas segura. Haga una copia de seguridad de sus datos con regularidad y capacite a sus empleados sobre ciberseguridad para reducir los riesgos causados por errores humanos. Por último, realice auditorías periódicas de ciberseguridad para mantenerse actualizado sobre la seguridad de su empresa frente a las ciberamenazas.
Encuentre expertos en ciberseguridad que puedan proteger los datos de su empresa de los atacantes. Conéctese con una empresa de ciberseguridad en The Manifest.