Incluso si tienes una pequeña empresa, como una panadería, no llegarás muy lejos sin una computadora. Cuando menos, la compra y la venta en estos días no es posible sin una computadora, así que no contar con una es inconcebible, por no decir nada de los dispositivos móviles, que no sólo están en todas partes, sino que son esenciales. Por lo tanto, será mejor que una persona que emprenda un negocio sepa manejar la tecnología moderna. Aquí analizamos los errores de ciberseguridad más comunes que hemos visto en los dueños de las pequeñas empresas.
1. Contraseñas en notas adhesivas
Irónico y divertido, sí, pero desgraciadamente cierto: a menudo, las contraseñas de todo tipo de recursos compartidos en todas las organizaciones terminan escritas en notas adhesivas pegadas en las pantallas de los monitores de los empleados, donde cualquier visitante casual puede verlas. Esto es un mal uso de las contraseñas. Las consecuencias dependen mucho de los recursos a los que se acceden con estas contraseñas: el host de tu sitio web, el sistema de contabilidad o la computadora donde se almacena la base de datos de los clientes; pero el resultado común de dicha negligencia es el robo de información o dinero.
Solución: Asegúrate de que todas las computadoras y los dispositivos de los empleados de la oficina estén protegidos con una contraseña única. Utiliza un administrador de contraseñas con el fin de evitar que tus contraseñas sean débiles, se reutilicen o se olviden. Los usuarios de nuestra solución de seguridad para pequeñas empresas también puede usar el mismo código de licencia para activar el administrador de contraseñas.
2. Contraseñas compartidas
Algo más sobre la seguridad de las contraseñas: mantenlas en secreto. Cuando algunos empleados tienen más derechos de acceso que otros, a veces los comparten por comodidad o por necesidad. “Oye, Chris, estoy en cama por un resfriado. ¿Le enviarías un archivo al jefe desde mi computadora? Aquí está mi contraseña”. Después, Chris renuncia enfadado, e incluso si su contraseña se revocó oportunamente, ella conoce las credenciales de inicio de sesión del colega, con lo cual puede provocar daño en la ciberseguridad de la empresa.
Solución: enfatiza entre el personal la importancia de la seguridad de las contraseñas y usa el método de autenticación de dos factores siempre que sea posible para mejorar la ciberseguridad de la empresa.
3. Contraseñas simples
Si la contraseña del correo electrónico de tu contador es password123 o similar, quebrar una contraseña débil de acceso de una computadora doméstica toma cerca de seis segundos. Algo como MyPaSsWoRd123 toma dos días para descifrar, lo cual tampoco es nada seguro. Sin embargo, algo como P’@’s’s’w’0’r’d o similar, puede tomar más de 3,000 años para descifrarse (al menos, sin acceso al nivel de potencia computacional de los centros de acceso). Un cibercriminal que intente un ataque de fuerza bruta contra esa contraseña simplemente no tiene todo ese tiempo.
Solución: Otro consejo de ciberseguridad en las empresas es que las contraseñas también deben ser diferentes entre sí, lo cual hace que sean difíciles de recordar. Usa algún tipo de regla mnemotécnica o instala un administrador de contraseñas y olvídate de todo con tranquilidad. A decir verdad, incluso las contraseñas sofisticadas pueden filtrarse, así que debes recurrir a la autenticación de dos factores siempre que puedas, la cual te ofrece protección en caso de una filtración.
4. No realizar copias de seguridad
Tus bases de datos, tu contabilidad, tus gráficas importantes y tus otros documentos imprescindibles se almacenan en otra parte, ya sea una computadora personal, un servidor o en otro sitio. Por motivos de seguridad, también crea copias de seguridad periódicamente en otro lugar, pues si un disco duro queda inutilizable o si un servidor se ve comprometido, tus archivos todavía estarán seguros. Tu sitio web también necesita copias de seguridad periódicas.
Dicho esto, es una lata realizar copias de seguridad y es fácil dejarlo para después. Pero en verdad necesitas realizar copias de seguridad con frecuencia. Nadie puede prever una emergencia, pues un día, el conserje desconectará el conector múltiple o el disco duro (y la base de datos del sistema de contabilidad que se encuentra adentro) se estropeará, o te atacará el malware cifrador de archivos más importantes. ¿Sucederá esto mañana, en un año y treinta y tres días? Nadie lo sabe, pero apostamos que ese “algo”, no se pueda anticipar. Tu conserje actual puede ser cuidadoso, ¿pero ¿qué hay de su reemplazo eventual? El área de contabilidad puede contar con computadoras nuevas, pero cada disco duro tiene un ciclo de vida. ¿Qué tal si una tubería se rompe justo encima del cuarto del servidor? La idea es que puedes estar preparado para toda suerte de posibilidades, pero nada puede prever lo inesperado.
Solución: realiza copias de seguridad de toda la información importante y actualiza con regularidad todo el firmware y el software, lo que al menos reducirá al mínimo la cantidad de agujeros en el sistema y el software, a través de los cuales un intruso puede ganar acceso a la red de trabajo. Utiliza una solución de seguridad dedicada a la creación de copias de seguridad. Si ya usas Kaspersky Small Office Security, entonces ya cuentas también con una herramienta automática confiable de creación de copias de seguridad.
5. Derechos de acceso olvidados
Los empleados y las empresas a menudo finalizan la relación laboral en malos términos. Por ejemplo, si un desarrollador de sitios web renuncia airadamente, entonces posiblemente pueda eliminar partes del sitio. La revocación de accesos es una parte crítica de toda terminación, pero incluso antes de eso, limita el acceso de los empleados a esos recursos que necesitan para hacer su trabajo.
Solución: si un miembro del personal renuncia, cambia de puesto o se le solicita su renuncia, evalúa de inmediato sus derechos de acceso a recursos y revócalos o transfiérelos, según sea necesario.
6. Configuración predeterminada
Incluso una panadería necesita un enrutador. ¿El tuyo está bien configurado? En muchos casos, la prioridad de un empleado de ISP (proveedor de servicios de internet) es solamente que tengas conexión, así que se basan en las configuraciones del ISP y se retira. Pero las combinaciones administrativas de inicios de sesión y contraseñas predeterminadas básicamente dejan tu red de trabajo abierta. Que te hackeen y te añadan a un botnet de envío de spam o de malware no es lo peor que puede pasar. Por ejemplo, alguien pudo haber instalado un sniffer (una herramienta que escanea todo tu tráfico) en cuyo caso, ninguna contraseña, por compleja que sea, te salvará. En resumen, es vital cambiar las configuraciones del enrutador predeterminadas y otros dispositivos de la red, y es buena idea hacerlo para cada dispositivo.
Solución: configura adecuadamente tu enrutador y red de trabajo. No es divertido, pero es rápido y ayuda a garantizar la ciberseguridad de la empresa. Al menos, cambia el nombre y la contraseña del administrador, pero también invierte unos minutos en asegurarte de que tu red de trabajo usa el protocolo de cifrado WPA2 e inhabilita la administración remota del enrutador y verifica (e instala) todas las actualizaciones del firmware disponibles.
7. No cuentas con la protección de un antivirus
Es un pensamiento tentador y popular creer que eres demasiado pequeño para ser un objetivo de interés. Otras excusas engañosas incluyen: “Soy inteligente y estoy seguro, así que nada malo me pasará” y “tengo un equipo Mac, no puedo infectarme”. Es bueno ser inteligente y usar un sistema más seguro que es objeto de ataques de pocos programas de malware. Pero todos tus empleados deben ser inteligentes y estar seguros, pues el malware es tan solo uno de muchos peligros que amenazan la ciberseguridad de la empresa. Al menos, considera el phishing, que es tan peligroso para las Mac como para las Windows, por no decir que es infinitamente popular con los estafadores dedicados a atacar empresas.
Solución: instala y configura una solución de seguridad fuerte y confiable como Kaspersky Small Office Security. Configúralo para que verifique e instale actualizaciones de seguridad de modo automático. Esta solución de seguridad, diseñada específicamente para las pequeñas empresas, cuenta con un módulo antiphishing que te ayuda a evitar las páginas web dedicadas a robar tus credenciales de inicio de sesión y otros datos.
8. Empleados mal informados
El primer paso es entender que tienes un problema; es improbable que los empleados que desconocen los protocolos de seguridad moderna siquiera perciban el problema de ciberseguridad, si es que acaso tienen conciencia de él. ¡Así pues, buen trabajo si ya identificaste un problema grave! Sin embargo, a menos que transmitas tu conocimiento a cada persona que trabaja contigo (de un modo comprensible y utilizable) mediante capacitaciones en ciberseguridad, uno de ellos terminará siendo el eslabón más débil.
Solución: capacitar en ciberseguridad a los empleados que ya tienes, así como a los nuevos apenas se incorporen. Los fundamentos del alfabetismo digital seguro incluyen no abrir archivos adjuntos de los correos electrónicos provenientes de remitentes anónimos, no hacer clic en enlaces sin verificar sus destinos, usar servicios en la nube confiables con autenticación de dos factores fuentes dudosas o ilegales, entre otros. ¿No tienes tiempo para esta capacitación en ciberseguridad? Usa una plataforma de aprendizaje automático.