Skip navigation

Ciberseguridad en tu empresa o negocio

btn_ciberseguridad-300x35

Ciberseguridad en tu empresa o negocio

Portadas_Mesa-de-trabajo-copia-7-2048x614

Las micros, pequeñas y medianas empresas tienen distintos retos en materia de ciberseguridad, por lo que es necesario implementar las mejores
prácticas en un trabajo constante que involucra procesos, tecnologías y personas.

Recurso-1-8

A. Personal

  • Establece procesos de contratación que investiguen adecuadamente a las y los candidatos, que considere verificar la información de empleos
    anteriores, comprobantes de estudios, antecedentes penales, exámenes toxicológicos y registros de seguridad social.
    Instaura controles de acceso a la información de clientes y de la empresa de acuerdo a su área de responsabilidad y asegúrate de que ya sea por
    renuncia o despido, sus cuentas de acceso queden canceladas.
    • Recuerda además que la capacitación en seguridad informática es un aspecto indispensable, a fin de prevenir errores involuntarios y detectar
    vulnerabilidades en los sistemas.
Recurso-11-8

B. Seguridad en dispositivos móviles

Si tu empresa utiliza dispositivos móviles para acceder al correo electrónico, levantar pedidos o acceder a cartera de clientes, es importante que
implementes medidas de protección sobre el aparato y su información.
• Procura utilizar un software de seguridad también en los teléfonos inteligentes y que siempre esté actualizado.
• Al reemplazar los equipos, ejecuta la opción de resetear el equipo, a fin de que se borren todos los datos. Además, elimina y destruye las tarjetas SIM.
• Implementa como política el uso de contraseñas de inicio al aparato, así como la verificación de dos pasos al acceder a servicios de mensajería.
Genera un protocolo para las y los empleados, así como para la gerencia de qué hacer en caso de robo o extravío del aparato, que incluya la denuncia
ante las autoridades.

Recurso-3-8-150x150

C. Seguridad en la Red

Asegúrate que en la red de tu compañía puedas identificar todos los dispositivos y conexiones en la red, establece límites entre los sistemas de tu
compañía y otros, así como contar con controles en caso de un uso no autorizado o indebido para que pueda frustrarse, contenerse y recuperarse de
forma rápida.
Actualiza todas las aplicaciones y software, de ser posible de forma automática.
Establece autorizaciones de acceso a internet y a páginas de acuerdo a la función de las y los empleados, a fin de evitar que accedan a sitios
maliciosos.
• Si requieres acceso remoto la red corporativa a través de internet, crea un sistema de Red Privada Virtual o VPN, con una práctica de doble
autenticación.
• Asegúrate que las y los empleados no se conecten dispositivos de almacenamiento externo a los equipos de cómputo, como USB o disco externo y en
dado caso, establece una política para ello.
• Establece una política de contraseñas seguras de doble autenticación entre las y los empleados, que cumplan con características mínimas de
seguridad.
• Considera respuestas especializadas como un control de acceso y cifrado de la red inalámbrica, cifrar datos sensibles de la compañía, además de
asegurar la red interna y servicios de la nube.

Recurso-8-8

D. Prevención de fraude electrónico

Cuando los delincuentes utilizan el nombre de tu negocio para cometer un fraude, dañan también tu reputación, por lo que es necesario contar con un
plan de prevención de estafas y fraudes electrónicos.

  • Capacita a las y los empleados para reconocer la ingeniería social, que se refiere a una técnica de engaño para obtener información personal y
    comercial, así como para instalar software malicioso. Puede ocurrir tanto vía telefónica como en línea, así como incluso con la información publicada en
    redes sociales y sitios web.
    • Advierte a tus clientes que la empresa no solicita información personal o datos confidenciales a través de correo electrónico, redes sociales u otras
    vías de comunicación; dales a conocer líneas telefónicas de atención directa para cualquier aclaración o duda.
    Instala y actualiza un software contra el malware, que es un programa malicioso que incluso puede obtener contraseñas, números de tarjetas de
    crédito y otros datos personales de los equipos de tu empresa.
    Protege a tu empresa y a tus clientes contra el phishing, lo que implica que no se solicite a los clientes información sensible por medio de correos
    electrónicos o por teléfono. De igual forma, las y los empleados no deben responder a mensajes que soliciten información o datos personales y que es
    necesario verificar la identidad de la compañía con la que se está tratando antes de compartir cualquier información. A ello se suma la concientización de
    no abrir enlaces contenidos en correos electrónicos.
Recurso-14-8

E. Privacidad y seguridad de datos

La seguridad de los datos es fundamental para las empresas, entre las que se incluye la propia información de las y los empleados, clientes, pagos,
archivos personales y de cuentas bancarias. No solo es imposible de reemplazar si se pierde, sino que además en manos de delincuentes, el daño puede
ser mayor.
Realiza un inventario de los activos de información que tiene tu negocio o empresa, la forma en la que se protegen y se manejan dichos datos, así
como quién tiene acceso a la información y en qué casos.
Desarrolla una política de privacidad, que implica una promesa para las y los clientes de que se les brindará la protección a sus datos que ellos esperan
y en el marco de las obligaciones legales.
Planifica para lo inesperado, como la pérdida o el robo de datos de tu empresa; respaldar la información de manera constante y cifrarla es parte de un
plan de pérdidas.
Crea una estrategia de seguridad en capas, que implique no confiarse a un solo mecanismo de seguridad como la contraseña, sino de una serie de
técnicas y procedimientos que considere el inventario de datos, su protección, control de acceso, así como cumplir con disposiciones legales en materia
de privacidad y protección de datos personales.

Recurso-13-8

F. Seguridad en los sistemas informáticos y sitios web

  • Los servidores web, donde se alojan datos y otros contenidos para los clientes en internet, pueden ser los componentes más expuestos y atacados en la
    red de una empresa. Por un lado, están los delincuentes a la búsqueda de oportunidades y por el otro, clientes que buscan sitios seguros para realizar sus
    compras en línea.
    • De no contar con la protección necesaria, pueden presentarse errores de software y programación en el servidor web que de acceso no autorizado, la
    denegación del servicio a los usuarios o que incluso el propio servidor web sea utilizado para distribución de pornografía o software pirata.
Recurso-12-8

G. Seguridad en servicios de correo electrónico

Los correos electrónicos son una importante herramienta comercial, que deben considerar principios básicos de privacidad y protección de la información
del cliente y la empresa.

  • Configura un filtro de correo electrónico no deseado, que evitará que el spam y el phishing sean un riesgo.
    • Capacita al personal en el uso responsable del correo electrónico y cuándo es necesario contactar a profesionales ante un incidente.
    Protege la información confidencial enviada por correo electrónico, con políticas y protocolos para que solo sea enviada y consultada por quienes
    tienen derecho y responsabilidad de verla.
    Establece una política de almacenamiento de correo, que considere el acopio y respaldo, así como requisitos legales y regulatorios. Muchas empresas
    implementan un estándar de almacenamiento de 60 a 90 días si no están obligados por ley a otro periodo de retención.
    Desarrolla una política de uso de correo electrónico, que sea fácil de leer, comprender, definir y cumplir, que implique el almacenamiento, la privacidad y
    el uso aceptable.
Recurso-2-8

H. Políticas de seguridad

Todas las empresas deben desarrollar y mantener políticas claras y sólidas para salvaguardar datos críticos de la empresa e información sensible, proteger
su reputación y evitar un comportamiento inadecuado de las y los colaboradores.

  • Establece una política de uso de internet para las y los empleados, que les permitan el máximo grado de libertad que requieren para ser productivos,
    pero con reglas de comportamiento que establezcan límites. Es importante que conozcan cómo y por qué se controlarán sus actividades, además de los
    sitios que son considerados como no permitidos.
    • Instaura una política de redes sociales, aspecto crucial para cualquier empresa que busque utilizarlas para promover sus actividades y comunicarse con
    sus clientes. Como mínimo debe establecerse reglas de comportamiento para no generar riesgos para la compañía, uso de contraseñas para redes
    sociales de la compañía, así como orientación sobre actividades en redes sociales y tipo de detalles que se pueden discutir en foros públicos.
Recurso-4-8

I. Respuesta a incidentes de seguridad

Existen incidentes de tipo físico como el robo y extravío de equipos, incidentes de seguridad en la red como la infección con un código malicioso e
incidentes de exposición de datos, como la divulgación de información sensible en canales inseguros.

  • Notifica a la Policía si es necesario.
    • Al producirse un incidente, el personal técnico y responsables de la toma de decisiones deben trabajar en conjunto para decidir el plan de contención
    más práctico y efectivo, que considere la gestión de riesgo y la reputación de la compañía, así como la asistencia externa de la Policía o de una consultoría.
    • Después de que se estableció el plan de contención, es necesario implementar esfuerzos de erradicación y recuperación, que implica no esperar a que
    sea demasiado tarde, proteger la información que todavía sea posible, involucrar al personal, además de realizar esfuerzos preventivos, como simulacros
    de crisis, revisión del propio plan y estar siempre preparados.
    • Tras un incidente, siempre será muy provechoso revisar el proceso y evaluar las respuestas brindadas
Recurso-16-8

J. Seguridad en las operaciones

Se trata del proceso de negar a los ciberdelincuentes el acceso a cualquier información de la empresa.

  • Identifica la información crítica, lo que permitirá protegerla. En la lista se incluyen listas de clientes e información de contratos, contratos, patentes y
    propiedad intelectual, arrendamientos y escrituras, manuales, documentos corporativos y planes estratégicos.
    • Analiza las amenazas, al pensar para quién podría ser atractiva dicha información y cuáles son las acciones que un ciberdelicuente podría tener sobre
    ellas.
    Examina las vulnerabilidades, como los dispositivos móviles que tienen acceso a la información críticas, falta de políticas sobre el manejo de la
    información, el almacenamiento de datos en el correo electrónico e incluso qué tipo de información debe ser pública y cuál debe reservarse.
    Evalúa los riesgos de que dicha información caiga en manos equivocadas, que incluya el costo estimado de las medidas a implementar respecto a los
    efectos perjudiciales de no hacerlo.
    • Aplica medidas de seguridad en las operaciones seleccionas en la evaluación de riesgo, conociendo los objetivos de seguridad y todos los aspectos
    anteriores.
Recurso-6-8-153x300

K. Seguridad en mecanismos de pago electrónico

Si tu empresa acepta pagos con tarjetas de crédito o débito, es importante contar con medidas para garantizar la seguridad de la información de sus
clientes. A ello se suma el servicio financiero prestado por el banco o procesador del pago, que a su vez contribuyen a prevenir fraudes.

  • Realiza un directorio con los datos de pago de sus clientes y resguárdalo; determina además quien tiene acceso a esos datos.
    • Evalúa si realmente es necesario que cuentes con dicha información y procura sustituir datos bancarios con números de identificación de cliente.
    Usa herramientas y servicios seguros, como los que ofrece la industria de pagos, revisando sus políticas, condiciones y certificados de seguridad. Ya
    sea en físico o en línea, existen candados para transacciones seguras, como el número de seguridad en la tarjeta plástica o la contraseña de una cuenta
    de pago. Utilizar mecanismos seguros no solo fortalece tu prestigio, sino podría incrementar tus ventas, al contar con mecanismos confiables.
Recurso-7-8

L. Seguridad física

La seguridad física de una empresa no solo es tener control de los puntos de acceso, sino también resguardar información que es de valor para las
operaciones y funcionamiento de la misma.

  • Las y los empleados cuyas computadoras tienen acceso a información confidencial no deben tener los monitores de sus computadoras dirigidos a
    espacios públicos como áreas de recepción o salas de espera.
    • Las computadoras portátiles, tabletas electrónicas y teléfonos celulares deben ubicarse lejos de las áreas públicas.
    • En caso de almacenar información extremadamente sensible en una computadora portátil, considera agregar un dispositivo de bloqueo.
    Minimiza y protege los materiales impresos con información sensible.
    • Considera implementar sistema de identificación de las y los empleados, de acuerdo a su zona de trabajo y contraseña para su equipo.
    • Capacita al personal sobre los riesgos, las vulnerabilidades y las consecuencias de un mal manejo de la información.
    Elimina la basura de manera segura, a fin de no exponer información confidencial. Puedes hacerlo a través de una trituradora y con políticas sobre qué
    información deberá de desecharse bajo este esquema.
    Desecha la información de tu equipo de manera segura y considera que aunque vacíes la papelera de reciclaje de la computadora, es posible que la
    información no haya sido eliminada de manera correcta.

No existe empresa o negocio pequeño para la ciberseguridad. ¡Activa el Efecto Prevención!