Muchos responsables de una empresa pequeña o mediana cuando se habla de pérdidas de datos por ataques de hackers o fallos informáticos piensan en que ese riesgo es solamente para las grandes empresas. Empresas como Evernote (50 millones de datos personales en 2013) o la Fed que permitió el acceso a 4000 registros personales de ejecutivos de banca a través de su web. Esto es en parte cierto, las grandes empresas son más apetitosas para el hacker ya que normalmente tienen más valor. Pero también hay otro factor que los hackers tienen en cuenta y este es la sencillez para acceder a los datos. En este caso es mucho más sencillo atacar a una pequeña empresa en la que normalmente no existe una protección de datos y sistemas tan avanzada.
¿Que podemos hacer en caso de que tengamos una pyme?, ¿nos conformamos y esperamos no ser objetivo o podemos implementar algunas medidas para minimizar el riesgo de pérdida de datos?. La buena noticia es que podemos usar algunas técnicas para hacer que nuestra empresa sea una pieza más complicada de cazar. Para ello podemos actuar en tres frentes:
Minimizar el riesgo de exponer los datos:
-
Determinar en cada sistema cual es el sistema de seguridad y procesos internos mas adecuados para maximizar la seguridad
-
Educa a tus empleados para que no caigan en las amenazas más habituales como el phishing del email de la empresa, limitar el uso de correo electrónico y redes sociales personales los sistemas de la empresa.
-
No usar soportes para la información que puedan ser robados o perdidos de forma sencilla como discos duros portátiles, pendrive. En caso de tener que usar estos estén encriptados.
-
Permitir solo el acceso a los sistemas vitales y bases de datos a las personas que los necesiten usando una contraseña. En caso de que exista la posibilidad es buena idea usar la autenticación usando dos factores (contraseña y pin en el télefono móvil por ejemplo)
-
En caso de permitir que los empleados o proveedores conectan sus teléfonos móviles a la red de la empresa habilitar una red separada para ellos y que no esté conectada con la red empresarial
-
Es buena idea hacer limpiezas con una frecuencia definida para eliminar aquellos datos que ya no se usen y no haya razones legales o de negocio para guardar.
-
Establece cada cierto tiempo una auditoría de seguridad interna donde se revisen todos los procesos y se establezcan mejoras
-
Establece una proceso que defina cómo se harán las copias de seguridad de los datos de la empresa. Que frecuencia y medio se usará según cada tipo de datos o sistema. Trata de que cada dato se guarde en dos sistemas independientes.
Monitoriza tus sistemas
-
Usa servicios para monitorizar los riesgos más habituales. Existen incluso herramientas gratuitas para tener información del uso de la red para detectar posibles ataques de denegación de servicio y otros riesgos
-
Mantén actualizado tu software con las últimas actualizaciones de cada proveedor.
-
Elegir una persona responsable de la seguridad y que sea el contacto de los empleados para informar de cualquier intento de ataque o que resuelva sus dudas en materia de seguridad.
Minimiza los daños
A pesar de todas las medidas es posible que tengamos algún caso de pérdida de datos o de sistemas por ello es interesante establecer un plan de contingencia para poder estar preparados cuando ocurra y reducir y limitar el alcance de los daños y garantizar la continuidad de nuestros servicios
-
Ten un documento con los sistemas que actuaran como respaldo en caso de que fallen los principales. Incluye en el documento los datos de contacto de las personas clave en cada área afectada así como los proveedores de servicios para poder localizar a todo el mundo necesario lo más rápido posible.
-
Ten establecido cuál será el respaldo para cada sistema. Ten incluso si es necesario almacenados formularios en papel que permitan el recoger la información necesaria en caso de una caída de sistemas (por ejemplo poder hacer una factura en papel)
-
Preparar una proceso para manejar las posibles quejas de clientes por los problemas en nuestro servicio. Que tengan formas de recibir información alternativas en caso de que las principales no funcionan (por ejemplo what’s up o sms en caso de que la web no funcione)
-
Disponer de un seguro que cubra los riesgos debidos a la pérdida de datos ya sea accidental o intencionada. En caso de tener proveedores tener información de si estos disponen de dicho seguro para poder reclamarlo. Es interesante tener una cobertura tanto para los daños propios como aquellos que se puedan derivar de reclamaciones de terceros.
Montymarq Asociados dispone de los seguros DataGuard y RC para empresas tecnológicas ya sea su empresa dependiente de la tecnología o proveedores de servicios, desarrolladores de software, consultoras informáticas.