Siempre es importante que las empresas se aseguren de que sus empleados trabajan de forma segura, tanto en la oficina como en casa, ya que los actores de amenazas buscan continuamente formas de atacar.
Sin embargo, ayudar a los empleados a trabajar de forma segura mientras están a distancia es más crítico que nunca debido al impacto de dos tendencias: el espectacular aumento de personas que trabajan desde casa y el impacto de las filtraciones de datos, en particular el aumento de los costes de las filtraciones de datos.
Con más personas trabajando a distancia, los entornos centrados en Internet de la oficina y el hogar introducen un nuevo conjunto de vulnerabilidades de seguridad. Según un informe publicado por Malwarebytes, el 20 % de los responsables de ciberseguridad afirman haberse enfrentado a una brecha de seguridad a causa de un trabajador remoto en 2020.
Mientras tanto, el costo de mitigar una violación de datos para las pequeñas y medianas empresas (PYMES) es mucho más alto que el área de la mayoría de los líderes empresariales conscientes. Según AppRiver Software, 149.000 dólares fue el coste medio de una violación de datos para una PYME en 2019. Sin embargo, la mayoría de los líderes de las pymes estiman que el costo de una violación de datos es de alrededor de $ 10,000. Solo el 19% de los encuestados reconoció que los costes podrían superar los 100.000 dólares.
El lema del Mes de la Concienciación sobre la Ciberseguridad de este año es "Haz tu parte. #BeCyberSmart", es un buen momento para centrarse en el impacto de las filtraciones de datos en las pymes y en la importancia de proteger los datos de los empleados. Es vital que los empleados sean conscientes de las vulnerabilidades para su propia seguridad y la de su empresa.
Ciberseguridad y ciberresiliencia de las PYME
En algunas PYME existe la idea de que son demasiado pequeñas para ser atacadas porque su información tiene menos valor. Esto no es cierto. De hecho, las pequeñas empresas tienen más probabilidades de sufrir un ataque de ransomware. Según Infrascale, el 46% de las pequeñas empresas han sido objeto de un ataque de ransomware. De las empresas afectadas por un ataque de ransomware, casi tres cuartas partes (73%) han pagado un rescate.
Ahora que muchas empresas se están viendo afectadas por las restricciones de la COVID-19, las PYME se encuentran mal preparadas para abordar los problemas de ciberseguridad.
- Según el testimonio de la Asociación Nacional de Pequeñas Empresas ante el Comité del Senado de los Estados Unidos sobre Pequeñas Empresas en marzo de 2019, solo el 14% de las pequeñas empresas calificaron de útil su capacidad para mitigar el riesgo cibernético y las vulnerabilidades.
- En un estudio del Cyber Readiness Institute (CRI), la mitad de las pequeñas empresas entrevistadas expresaron su preocupación por el hecho de que el trabajo a distancia provoque más ciberataques. Solo el 22% de las empresas con menos de 20 empleados había ofrecido formación adicional en ciberseguridad antes de iniciar operaciones de trabajo a distancia.
- El informe de Malwarebytes muestra que el 18% de los encuestados de PYMES y organizaciones de escala empresarial admitieron que la ciberseguridad no era una prioridad, y el 5% admitió que sus empleados suponían un riesgo para la seguridad y eran ajenos a las mejores prácticas de seguridad.
- El veintiocho (28) por ciento de los encuestados admitió utilizar dispositivos personales para actividades relacionadas con el trabajo más que sus dispositivos de trabajo, lo que crea una importante vulnerabilidad de ciberseguridad.
Medidas que deben adoptarse
Aunque existe la impresión de que las pymes son demasiado pequeñas para ser atacadas, no todos los propietarios de negocios piensan así. Según un testimonio del Comité del Senado de Estados Unidos sobre la Pequeña Empresa en marzo de 2019, el 62% de los propietarios de pymes expresaron que están muy preocupados de que su negocio pueda ser vulnerable a un ciberataque, tanto en términos de ser blanco de un ciberataque, así como la posibilidad de cargas regulatorias innecesarias que podrían acompañar a los esfuerzos para frenar los ataques en línea.
Para proteger sus datos y los de sus clientes, las empresas deben:
- Desarrollar políticas de seguridad más sólidas. Cuanto más sólidas sean las políticas, más difícil le resultará atacar a un ciberatacante.
- Formar a los empleados en ciberseguridad. Las empresas deben enseñar a sus empleados qué hacer, qué evitar y a qué prestar atención. La formación puede adaptarse a cada empleado y a sus respectivos departamentos.
Empleados deberían:
- Actualice todo su software, incluido el sistema operativo y las aplicaciones. Mantener el software actualizado reduce la probabilidad de que se produzca un ataque.
- Añada una frase de contraseña más segura a su Wi-Fi doméstico y a sus redes cableadas. Una frase de contraseña fuerte puede ser muy difícil de descifrar para un hacker.
- Mantenga separadas sus contraseñas de trabajo y personales para reducir el riesgo de un ataque de relleno de credenciales. Si se utiliza la misma contraseña, un pirata informático podría acceder a varias cuentas.
- Añada la autenticación de dos factores (2FA) a las cuentas personales y de empresa siempre que sea posible. Esto ayuda a garantizar que cualquier intento de acceder a un inicio de sesión protegido es realmente usted.
- No haga clic en ningún enlace, abra ningún archivo adjunto ni descargue ningún archivo de un correo electrónico que no espera. Los estafadores intentan atacar con todo tipo de timos COVID-19. Los consumidores deben ir directamente a la fuente para verificar la validez del mensaje.
Recursos para PYME sobre la filtración de datos
En estos momentos, es vital centrarse en el impacto de las filtraciones de datos en las PYMES y en la seguridad de sus empleados. Para acceder a la información más reciente sobre filtraciones de datos y conocer mejor su impacto, los empleados y las empresas deberían visitar la nueva herramienta de seguimiento de filtraciones de datos del Centro de Recursos contra el Robo de Identidad (ITRC), notificadoTM. Se actualiza diariamente y es gratuita para los consumidores. Las organizaciones que necesiten información exhaustiva sobre las violaciones para la planificación empresarial o la diligencia debida pueden acceder hasta a 90 puntos de datos a través de una de las tres suscripciones de pago a notified. Las suscripciones ayudan a garantizar la gratuidad de los servicios de lucha contra los delitos de identidad del ITRC.
El programa CyberSecure My Business de la National Cyber Security Alliance cuenta con una biblioteca de recursos gratuitos, que incluye vídeos, hojas de consejos, infografías y mucho más, todo ello diseñado para la comunidad de pequeñas empresas. Puede acceder a estos recursos aquí.
Si tiene más preguntas, puede hablar con un asesor experto del ITRC en el sitio web a través del chat en directo, o llamando al número gratuito 888.400.5530. Las víctimas de una violación de datos pueden descargar la aplicación gratuita ID Theft Help para acceder a asesores, recursos, un registro de casos y mucho más.