Ayudar a los empleados a trabajar de manera segura mientras están remotos es más crítico que nunca debido al impacto de dos tendencias: el aumento dramático de personas trabajando desde casa y el impacto de las violaciones de datos, particularmente el aumento en los costos de violaciones de datos.

Con más personas trabajando de forma remota, los entornos centrados en Internet de la oficina y el hogar introducen un nuevo conjunto de vulnerabilidades de seguridad. Según un informe publicado por Malwarebytes, el 20 por ciento de los líderes de ciberseguridad dicen que han enfrentado una violación de seguridad debido a un trabajador remoto en 2020.

Mientras tanto, el costo de mitigar una violación de datos para las pequeñas y medianas empresas (PYMES) es mucho más alto de lo que la mayoría de los líderes empresariales están conscientes. Según AppRiver Software, $149,000 fue el costo promedio de una violación de datos para una PYME en 2019. Sin embargo, la mayoría de los líderes de PYMES estiman el costo de una violación de datos en alrededor de $10,000. Solo el 19 por ciento de los encuestados reconocieron que los costos podrían superar los $100,000.

Con el tema de este año para el Mes de la Concientización sobre la Ciberseguridad siendo “Haz tu parte. #BeCyberSmart,” es un gran momento para centrarse en el impacto de las violaciones de datos en las PYMES y la importancia de asegurar los datos de tus empleados. Es vital que los empleados sean conscientes de las vulnerabilidades para la seguridad de ellos mismos y de su empresa.

Seguridad Cibernética y Resiliencia Cibernética para las PYMES

Existe la idea dentro de algunas PYMES de que son demasiado pequeñas para ser atacadas porque hay menos valor en su información. Simplemente no es cierto. De hecho, las pequeñas empresas son más propensas a ser atacadas con un ataque de ransomware. Según Infrascale, el 46 por ciento de todas las pequeñas empresas han sido los blancos de un ataque de ransomware. De las empresas atacadas con un ataque de ransomware, casi tres cuartos (73 por ciento) han pagado un rescate.

Ahora, ya que muchas empresas están siendo impactadas por las restricciones de COVID-19, las PYMES se encuentran mal preparadas para abordar problemas de ciberseguridad.

• Según el testimonio de la Asociación Nacional de Pequeñas Empresas ante el Comité del Senado de los EE.UU. sobre Pequeñas Empresas en marzo de 2019, solo el 14 por ciento de las pequeñas empresas calificaron su capacidad para mitigar riesgos cibernéticos y vulnerabilidades como útil.

• En un estudio del Instituto de Preparación Cibernética (CRI), la mitad de las pequeñas empresas entrevistadas expresaron preocupación por el trabajo remoto que lleva a más ciberataques. Solo el 22 por ciento de las empresas con menos de 20 empleados habían ofrecido capacitación adicional en ciberseguridad antes de comenzar las operaciones de trabajo remoto.

• El informe de Malwarebytes muestra que el 18 por ciento de los encuestados en PYMES y organizaciones a escala empresarial admitieron que la ciberseguridad no era una prioridad, y el cinco por ciento admitió que sus empleados eran un riesgo de seguridad que desconocían las mejores prácticas de seguridad.

• El veintiocho (28) por ciento de los encuestados admitieron usar dispositivos personales para actividades relacionadas con el trabajo más que sus dispositivos emitidos por la empresa, creando una vulnerabilidad significativa en la ciberseguridad.

Acciones a Tomar

Si bien hay una impresión de que las PYMES son demasiado pequeñas para ser atacadas, no todos los propietarios de negocios sienten eso. Según un testimonio del Comité del Senado de los EE.UU. sobre Pequeñas Empresas en marzo de 2019, el 62 por ciento de los propietarios de PYMES expresaron que están muy preocupados de que su negocio podría ser vulnerable a un ciberataque, tanto en términos de ser blanco de un ciberataque, como en el potencial de cargas regulatorias innecesarias que podrían acompañar los esfuerzos para frenar ataques en línea.

Para proteger tus datos y los de tus clientes, las empresas deberían:

• Desarrollar políticas de seguridad más robustas. Cuanto más fuertes sean las políticas, más difícil será para un atacante cibernético atacar.

• Capacitar a los empleados sobre ciberseguridad. Las empresas deberían mostrar a sus empleados qué hacer, qué evitar y en qué fijarse. Las capacitaciones pueden ser personalizadas para los empleados individuales y sus respectivos departamentos.

Los empleados deberían:

• Actualizar todo su software, incluyendo el sistema operativo y las aplicaciones. Mantener el software actualizado reduce la probabilidad de un ataque.

• Añadir una contraseña más fuerte a su Wi-Fi y redes cableadas de casa. Una contraseña fuerte puede ser muy difícil de romper para un hacker.

• Mantener sus contraseñas de trabajo y personales separadas para reducir el riesgo de un ataque de relleno de credenciales. Usar la misma contraseña podría resultar en que un hacker pueda acceder a múltiples cuentas.

• Añadir autenticación de dos factores (2FA) a cuentas personales y comerciales donde sea posible. Esto ayuda a asegurar que cualquier intento de iniciar sesión en un acceso protegido seas realmente tú.

• No hacer clic en ningún enlace, abrir ningún archivo adjunto ni descargar archivos de un correo electrónico que no esperan. Los estafadores están tratando de atacar con todo tipo de estafas de COVID-19. Los consumidores deben ir directamente a la fuente para verificar la validez del mensaje.

Recursos para Violaciones de Datos para PYMES

En este momento, es vital centrarse en el impacto de las violaciones de datos en las PYMES y asegurar a tus empleados. Para acceder a la información más reciente sobre violaciones de datos y aprender más sobre el impacto de las violaciones de datos, los empleados y las empresas también deberían visitar la nueva herramienta de seguimiento de violaciones de datos del Centro de Recursos de Robo de Identidad (ITRC), notifiedTM. Se actualiza diariamente y es gratuita para los consumidores. Las organizaciones que necesiten información completa sobre violaciones para la planificación empresarial o la diligencia debida pueden acceder a hasta 90 puntos de datos a través de una de las tres suscripciones pagadas notificado. Las suscripciones ayudan a garantizar que los servicios de crimen de identidad del ITRC sigan siendo gratuitos.

El programa CyberSecure My Business de la National Cybersecurity Alliance tiene una biblioteca de recursos gratuitos, incluidos videos, hojas de consejos, infografías y más, todo diseñado para la comunidad de pequeñas empresas. Puedes acceder a esos recursos aquí. 

Si tienes preguntas adicionales, puedes hablar con un asesor experto de ITRC en el sitio web a través de chat en vivo, o llamando sin costo al 888.400.5530. Las víctimas de una violación de datos pueden descargar la aplicación gratuita ID Theft Help para acceder a asesores, recursos, un registro de casos y mucho más.