Ayudar a los empleados a trabajar de forma segura de manera remota es más importante que nunca debido al impacto de dos tendencias: el drástico aumento de personas que trabajan desde casa y el impacto de las filtraciones de datos, en particular el aumento en los costos de dichas filtraciones.

Con más personas trabajando de forma remota, los entornos centrados en Internet de la oficina y del hogar introducen un nuevo conjunto de vulnerabilidades de seguridad. Según un informe publicado por Malwarebytes, el 20 por ciento de los líderes de ciberseguridad dice que en 2020 enfrentó una brecha de seguridad debido a un trabajador remoto.

Mientras tanto, el costo de mitigar una filtración de datos para las pequeñas y medianas empresas (PYMEs) es mucho más alto de lo que la mayoría de los líderes empresariales se da cuenta. Según AppRiver Software, $149,000 fue el costo promedio de una filtración de datos para una PYME en 2019. Sin embargo, la mayoría de los líderes de PYMEs estima que el costo de una filtración de datos es de alrededor de $10,000. Solo el 19 por ciento de los encuestados reconoció que los costos podrían superar los $100,000.

Con el tema de este año de Mes de la Concientización sobre la Ciberseguridad siendo “Haz tu parte. #BeCyberSmart”, es un gran momento para enfocarse en el impacto de las filtraciones de datos en las PYMEs y en la importancia de proteger los datos de sus empleados. Es vital que los empleados sean conscientes de las vulnerabilidades para su propia seguridad y la de su empresa.

Ciberseguridad y resiliencia cibernética de las PYMEs

Existe la idea entre algunas PYMEs de que son demasiado pequeñas para ser atacadas porque su información tiene menos valor. Simplemente no es cierto. De hecho, es más probable que las pequeñas empresas sean blanco de un ataque de ransomware. Según Infrascale, el 46 por ciento de todas las pequeñas empresas ha sido blanco de un ataque de ransomware. De las empresas afectadas por un ataque de ransomware, casi tres cuartas partes (73 por ciento) han pagado un rescate.

Ahora, como muchas empresas están siendo afectadas por las restricciones de COVID-19, las PYMEs se encuentran mal preparadas para abordar los problemas de ciberseguridad.

• Según el testimonio de la National Small Business Association ante el Comité de Pequeñas Empresas del Senado de EE. UU. en marzo de 2019, solo el 14 por ciento de las pequeñas empresas calificó su capacidad para mitigar el riesgo cibernético y las vulnerabilidades como útil.

• En un estudio del Cyber Readiness Institute (CRI), la mitad de las pequeñas empresas entrevistadas expresó su preocupación por que el trabajo remoto condujera a más ciberataques. Solo el 22 por ciento de las empresas con menos de 20 empleados había ofrecido capacitación adicional en ciberseguridad antes de comenzar operaciones de trabajo remoto.

• El informe de Malwarebytes muestra que el 18 por ciento de los encuestados en PYMEs y organizaciones de escala empresarial admitió que la ciberseguridad no era una prioridad, y el cinco por ciento admitió que sus empleados representaban un riesgo de seguridad y desconocían las mejores prácticas de seguridad.

• El veintiocho (28) por ciento de los encuestados admitió usar dispositivos personales para actividades relacionadas con el trabajo más que sus dispositivos proporcionados por la empresa, lo que crea una importante vulnerabilidad de ciberseguridad.

Acciones que tomar

Aunque existe la impresión de que las PYMEs son demasiado pequeñas para ser atacadas, no todos los dueños de negocios piensan así. Según un testimonio ante el Comité de Pequeñas Empresas del Senado de EE. UU. en marzo de 2019, el 62 por ciento de los dueños de PYMEs expresó estar muy preocupado de que su negocio pudiera ser vulnerable a un ciberataque, tanto en términos de ser un objetivo de un ciberataque como por la posible carga regulatoria innecesaria que podría acompañar los esfuerzos para frenar los ataques en línea.

Para proteger sus datos y los de sus clientes, las empresas deben:

• Desarrollar políticas de seguridad más sólidas. Cuanto más sólidas sean las políticas, más difícil será para un atacante cibernético lograr un golpe.

• Capacitar a los empleados en ciberseguridad. Las empresas deben mostrarles a sus empleados qué hacer, qué evitar y qué vigilar. Las capacitaciones pueden adaptarse a los empleados individuales y a sus respectivos departamentos.

Los empleados deben:

• Actualizar todo su software, incluido el sistema operativo y las aplicaciones. Mantener el software actualizado reduce la probabilidad de un ataque.

• Agregar una frase de contraseña más segura a sus redes Wi-Fi domésticas y cableadas. Una frase de contraseña fuerte puede ser muy difícil de descifrar para un hacker.

• Mantener separados sus contraseñas del trabajo y sus contraseñas personales para reducir el riesgo de un ataque de relleno de credenciales. Usar la misma contraseña podría permitir que un hacker obtenga acceso a varias cuentas.

• Agregar autenticación de dos factores (2FA) a las cuentas personales y empresariales donde sea posible. Esto ayuda a garantizar que cualquier intento de iniciar sesión en un acceso protegido realmente seas tú.

• No hacer clic en ningún enlace, abrir ningún archivo adjunto ni descargar ningún archivo de un correo electrónico que no esperen. Los estafadores están intentando actuar con todo tipo de estafas de COVID-19. Los consumidores deben ir directamente a la fuente para verificar la validez del mensaje.

Recursos sobre filtraciones de datos para PYMEs

Ahora mismo, es vital enfocarse en el impacto de las filtraciones de datos en las PYMEs y en proteger a sus empleados. Para acceder a la información más reciente sobre filtraciones de datos y aprender más sobre el impacto de las filtraciones de datos, los empleados y las empresas también deben visitar la nueva herramienta de seguimiento de filtraciones de datos del Identity Theft Resource Center (ITRC), notifiedTM. Se actualiza a diario y es gratuita para los consumidores. Las organizaciones que necesiten información integral sobre filtraciones para la planificación empresarial o la diligencia debida pueden acceder a hasta 90 puntos de datos a través de una de las tres suscripciones pagadas de notified. Las suscripciones ayudan a garantizar que los servicios de delito de identidad del ITRC sigan siendo gratuitos.

El programa CyberSecure My Business de la National Cyber Security Alliance tiene una biblioteca de recursos gratuitos, incluidos videos, hojas de consejos, infografías y más, todos diseñados para la comunidad de pequeñas empresas. Puede acceder a esos recursos aquí. 

Si tiene preguntas adicionales, puede hablar con un asesor experto de ITRC en el sitio web mediante chat en vivo, o llamando gratis al 888.400.5530. Las víctimas de una filtración de datos pueden descargar la aplicación gratuita ID Theft Help para acceder a asesores, recursos, un registro del caso y mucho más.