Volver a Noticias y blog
Guía de ciberseguridad para empresas
Publicado el 8 de julio de 2020
Con frecuencia, en las noticias aparecen delitos relacionados con la informática que afectan a empresas y consumidores. Si bien se exige a las instituciones financieras con seguro federal que cuenten con sólidos programas de seguridad de la información para proteger los datos financieros, los clientes comerciales de instituciones financieras también deben saber mantenerse a salvo de estafadores.
Proteja computadoras y redes
Instale software de seguridad y antivirus que proteja de malware, o software malicioso, que puede acceder a los sistemas informáticos sin el consentimiento de su propietario para una variedad de fines, incluso el robo de información. Además, se recomienda usar un programa de firewall para evitar el acceso no autorizado. Las opciones de protección varían, por lo tanto, busque lo adecuado para el tamaño y la complejidad de su empresa. Actualice el software, según corresponda, para mantenerlo en vigencia. Por ejemplo, configure su software antivirus para que se active después de cada actualización. En caso de que usted utilice una red inalámbrica (Wi-Fi), debe ser segura y estar codificada. Proteja el acceso al enrutador por medio de contraseñas fuertes.
Exija una autenticación sólida
Asegúrese de que sus empleados y otros usuarios que se conectan a su red utilicen contraseñas e ID de usuario sólidas en computadoras, dispositivos móviles y cuentas en línea, combinando mayúsculas y minúsculas, números y símbolos que sean difíciles de adivinar y que se cambien con regularidad. Considere la posibilidad de implementar métodos de autenticación de múltiples factores que soliciten información adicional además de una contraseña para obtener acceso. Consulte a sus proveedores que utilizan información confidencial y averigüe si brindan autenticación de múltiples factores para acceder a sus sistemas o cuentas.
Controle el acceso a los datos y las computadoras, y cree cuentas de usuario para cada empleado.
Tome medidas para limitar el acceso o el uso de computadoras de la empresa a personas autorizadas. Guarde las laptops cuando no están en uso, ya que pueden ser robadas o se pueden perder con facilidad. Solicite a cada empleado que mantenga cuentas de usuario individuales y prohíba a los empleados compartir cuentas. Solo dé acceso a sus empleados a los sistemas de información específicos que necesitan para hacer su trabajo; no permita que instalen software sin su permiso. Además, asegúrese de que solo los empleados que necesiten privilegios de administración, tales como personal clave y de TI, cuenten con ellos y revise con regularidad su constante necesidad de acceso.
Enseñe lo básico a los empleados
Establezca políticas y prácticas de seguridad para empleados, como pautas para el uso adecuado de Internet, dé indicaciones y defina consecuencias en caso de violaciones a las políticas. Defina una cultura corporativa de arriba hacia abajo que ponga énfasis en la importancia de una sólida ciberseguridad, en especial, en lo que se refiere a la manipulación y protección de la información de clientes y de otros datos fundamentales. Asegúrese de que todos los empleados sepan cómo identificar e informar posibles incidentes de seguridad.
Capacite a sus empleados para que sean cuidadosos respecto del lugar y la forma de conectarse a Internet
Los empleados y terceros solo deben conectarse a su red a través de una conexión segura y de confianza. Las computadoras públicas, como en cafés con Internet, centros de negocios en hoteles o bibliotecas públicas, pueden no ser seguras. Además, sus empleados deben conectarse a la red de su empresa si dudan de la conexión inalámbrica que están usando, como es el caso de numerosas redes Wi-Fi gratis de "hotspots" públicos. Puede ser relativamente fácil para ciberdelincuentes interceptar el tráfico de Internet en estos lugares.
Enseñe a sus empleados los peligros que conllevan los correos electrónicos sospechosos
Los empleados deben sospechar de correos electrónicos no solicitados que indiquen hacer clic en un enlace, abrir un archivo adjunto o brindar información de cuentas. Los ciberdelincuentes pueden copiar fácilmente el logotipo de organizaciones o compañías de buena reputación en correos electrónicos para el robo de identidad. Al completar lo que parece una simple solicitud, sus empleados pueden instalar malware en su red. La estrategia más segura es ignorar solicitudes no realizadas, sin importar cuán legítimas parezcan.
Aplique parches informáticos oportunamente
Con cierta regularidad, los proveedores de software proporcionan parches o actualizaciones para sus productos que permiten corregir fallas de seguridad y mejorar su funcionalidad. Una buena práctica es descargar e instalar estas actualizaciones de software tan pronto como estén disponibles. Resulta mucho más eficiente configurar el software para que instale esas actualizaciones automáticamente.
Haga copias de resguardo de datos y de sistemas importantes
Con cierta frecuencia, haga copias de resguardo de los datos de las computadoras utilizadas en su empresa. Recuerde aplicar las mismas medidas de seguridad que aplicó a sus datos originales, como la codificación, a sus datos de resguardo. Además de las copias de resguardo automatizadas, haga con regularidad copias de resguardo de datos comerciales confidenciales y protéjalos en un dispositivo de almacenamiento en una ubicación secundaria que sea segura.
Preste suma atención a sus cuentas bancarias y controle para evitar retiros no autorizados
Establezca controles adicionales, tales como llamadas de confirmación a las instituciones financieras antes de autorizar transferencias de dinero. Recientemente, se registró un incremento de transferencias electrónicas no autorizadas realizadas de las cuentas bancarias de las empresas. Un engaño habitual es obtener el control de cuentas, donde los ciberdelincuentes usan software malicioso, como keyloggers (registrador de teclas), para obtener las identificaciones y contraseñas para cuentas bancarias en línea y luego hacer los retiros. Otra estafa, denominada Business Email Compromise, se enfoca en las empresas y falsifica solicitudes de pago de proveedores legítimos y dirige los fondos a la cuenta del ciberdelincuente. Las empresas, en general, no están cubiertas por la protección federal de consumidores frente a las transferencias de fondos electrónicas no autorizadas. Por lo tanto, su institución financiera puede no ser responsable del reembolso de pérdidas relacionadas con robos si se detectó negligencia de parte de su empresa, como computadoras inseguras o el hecho de ser víctima de engaños comunes, como factores de la pérdida.
No olvide las tabletas y los smartphones
Los dispositivos móviles pueden ser una fuente de desafíos de seguridad, en especial si mantienen información confidencial o si pueden acceder a su red comercial. Si sus empleados conectan sus dispositivos a la red de la empresa, solicíteles que protejan sus dispositivos con contraseña, que codifiquen sus datos e instalen aplicaciones de seguridad para evitar que los delincuentes accedan al dispositivo mientras se conectan a redes públicas. Asegúrese de desarrollar y aplicar procedimientos de información para equipos perdidos o robados.
Controle las facturas y transacciones fraudulentas
Las estafas pueden hacerse de varias maneras, desde pagos con cheques sin valor y tarjetas de débito o crédito falsas hasta devoluciones fraudulentas de mercadería. Tenga seguro para protegerse de riesgos. Además, recuerde informar toda irregularidad de inmediato.