En el contexto del mes del emprendimiento en Chile y en el mundo, ESET compartió una guía básica de seguridad TI para pequeñas y medianas empresas, en seis pasos distintos.
Respecto a este tema, Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, comentó que “si bien las computadoras e Internet ofrecen muchos beneficios a las pequeñas empresas, estas tecnologías no están exentas de riesgos. Incluso las empresas más pequeñas manejan datos personales de clientes o proveedores que pueden ser de interés para un cibercriminal. Por más que una empresa sea pequeña, esta debe adoptar un enfoque sistemático para proteger los datos que se le confían”.
Por este motivo, ESET destacó una guía para proteger las Pymes ante las amenazas del crimen cibernético, la cual consta de seis pasos:
1. Analizar activos, riesgos y recursos: Realizar una lista con todos los sistemas y servicios informáticos que se utilizan. Asegurarse de incluir los dispositivos móviles que pueden llegar a usar para acceder a información corporativa o de los clientes. Luego, analizar los riesgos relacionados con cada elemento y los recursos disponibles para resolver los problemas de seguridad TI.
2. Crear políticas: Se debe informar al equipo que se toma en serio la seguridad y que la empresa se compromete a proteger la privacidad y la seguridad de todos los datos que maneja. Además, detallar las políticas que desea aplicar, por ejemplo, que no se permite el acceso no autorizado a los sistemas y datos corporativos, y que los colaboradores no deben desactivar la configuración de seguridad en sus dispositivos móviles.
3. Elegir controles: Utilizar controles para hacer cumplir las políticas. Por ejemplo, si desea aplicar una política para impedir el acceso no autorizado a los sistemas y datos corporativos, se puede optar por controlar todo el acceso a los sistemas de la empresa mediante la solicitud de un nombre de usuario y contraseña, y un segundo factor de autenticación (2FA). Para controlar qué programas tienen permiso de ejecutarse en los equipos de la empresa, se puede decidir no dar a todos los derechos de administrador.
4. Implementar controles: Al implementar controles, es necesario asegurarse de que funcionan correctamente. Por ejemplo, se debería tener una política que prohíba el uso de software no autorizado en los sistemas de la empresa. Entonces, uno de los controles será el software antimalware que busca códigos maliciosos.
5. Capacitar empleados, directivos y vendedores: Además de conocer las políticas y procedimientos de seguridad de la empresa, el equipo debe entender por qué son necesarias. Esto implica invertir en capacitación y concientización sobre seguridad: la medida más importante y efectiva que una empresa puede implementar.
6. Seguir evaluando, auditando y probando: La seguridad TI es un proceso continuo, no un proyecto que se ejecuta una sola vez. Es necesario actualizar las políticas de seguridad y sus controles dependiendo de los cambios en la empresa, como las relaciones con nuevos vendedores, nuevos proyectos, incorporaciones de empleados o empleados que dejan la empresa.
