Highland House Cyber Knowledge center

Bienvenido al Knowledge Center de Highland House, en esta sección encontrará información útil para conocer más sobre los riesgos que se nos presentan en el mundo digital y cómo educarnos contra el crimen cibernético. Adquiera uno de nuestros planes y manténgase protegido.
Mejores prácticas de seguridad cibernética
Es fácil pensar que debido a que tienes una pequeña empresa, los ciberdelincuentes dejarán de atacar a tu empresa. La mentalidad de “no hay mucho que robar” es común entre los propietarios de pequeñas empresas en lo que respecta a la seguridad cibernética, pero también es completamente incorrecta y no está sincronizada con las mejores prácticas de seguridad cibernética actuales.
En realidad, el Comité de Pequeñas Empresas del Congreso de EE. UU. Encontró que el 71 por ciento de los ataques cibernéticos ocurrieron en empresas con menos de 100 empleados. Aún más preocupante, el Informe del estado de la ciberseguridad de las PYMES de 2016 de Ponemon y @Keeper encontró que el 50 por ciento de las PYMES han tenido una brecha de seguridad en el último año.
Pero, ¿por qué se ataca a las pequeñas empresas con más frecuencia que a las grandes? Casi todos los ciberataques son para obtener datos personales para usar en tarjetas de crédito o identificar robos. Si bien las empresas más grandes suelen tener más datos para robar, las pequeñas empresas tienen redes menos seguras, lo que facilita la violación de la red. El artículo de CSO.com de IDG “Por qué los delincuentes se meten con las pequeñas empresas” dice que mediante el uso de ataques automatizados, los ciber delincuentes pueden violar miles o más de pequeñas empresas, haciendo que el tamaño sea un problema menor que la seguridad de la red.
¿Cómo puede su empresa evitar ser víctima de un ciberataque? Aquí hay 8 mejores prácticas de seguridad cibernética para empresas que puede comenzar a implementar hoy.
Utilice un firewall
Una de las primeras líneas de defensa en un ciberataque es un firewall. La Comisión Federal de Comunicaciones (FCC) recomienda que todas las pymes instalen un firewall para proporcionar una barrera entre sus datos y los ciber delincuentes. Además del firewall externo estándar, muchas empresas están comenzando a instalar firewalls internos para brindar protección adicional. También es importante que los empleados que trabajan desde casa también instalen un firewall en su red doméstica. Considere proporcionar software de firewall y soporte para redes domésticas para garantizar el cumplimiento.
Documente sus políticas de ciberseguridad
Si bien las pequeñas empresas a menudo operan de boca en boca y con conocimiento intuitivo, la seguridad cibernética es un área en la que es esencial documentar sus protocolos. El portal de ciberseguridad de la Small Business Administration (SBA) proporciona capacitación en línea, listas de verificación e información específica para proteger las empresas en línea. Cyberplanner 2.0 de la FCC proporciona un punto de partida para su documento de seguridad. Considere también participar en el Programa voluntario C3 para pequeñas empresas, que contiene un conjunto de herramientas detallado para determinar y documentar las mejores prácticas y políticas de seguridad cibernética.
Planifique para dispositivos móviles
Con el 59 por ciento de las empresas que actualmente permiten BYOD, de acuerdo con Tech Pro Research 2016 BYOD, Wearables and IoT: Strategies Security and Satisfaction, es esencial que las empresas tengan una política BYOD documentada que se centre en las precauciones de seguridad. Con la creciente popularidad de los dispositivos portátiles, como los relojes inteligentes y los rastreadores de actividad física con capacidad inalámbrica, es esencial incluir estos dispositivos en una política. Norton by Symantec también recomienda que las pequeñas empresas exijan a los empleados que configuren actualizaciones de seguridad automáticas y que la política de contraseñas de la empresa se aplique a todos los dispositivos móviles que acceden a la red.
Eduque a todos los empleados
Los empleados a menudo tienen muchos roles en las PYMES, por lo que es esencial que todos los empleados que acceden a la red estén capacitados en las mejores prácticas de seguridad cibernética de la red y las políticas de seguridad.
Dado que las políticas están evolucionando a medida que los ciber delincuentes se vuelven más inteligentes, es esencial tener actualizaciones periódicas sobre los nuevos protocolos. Para responsabilizar a los empleados, haga que cada empleado firme un documento que indique que ha sido informado de las políticas y comprende que se pueden tomar acciones si no siguen las políticas de seguridad.
 hacer cumplir las prácticas seguras de contraseñas
Sí, a los empleados les resulta complicado cambiar las contraseñas. Sin embargo, el Informe de Investigaciones de Violación de Datos de Verizon 2016 encontró que el 63 por ciento de las violaciones de datos ocurrieron debido a contraseñas perdidas, robadas o débiles. Según Keeper Security and Ponemon Institute Report, el 65 por ciento de las PYMES con políticas de contraseñas no las aplican. En el mundo BYOD actual, es fundamental que todos los dispositivos de los empleados que acceden a la red de la empresa estén protegidos con contraseña.
En el artículo de Business Daily "Cybersecurity: A Small Business Guide", Bill Carey, vicepresidente de marketing y desarrollo comercial de Siber Systems, recomendó que se requiera que los empleados usen contraseñas con letras mayúsculas y minúsculas, números y símbolos. Él dice que las PYMES deberían exigir que todas las contraseñas se cambien cada 60 a 90 días.
Realice copias de seguridad de todos los datos con regularidad
Si bien es importante prevenir tantos ataques como sea posible, aún es posible que se infrinja independientemente de sus precauciones. La SBA recomienda hacer copias de seguridad de los documentos de procesamiento de texto, hojas de cálculo electrónicas, bases de datos, archivos financieros, archivos de recursos humanos y archivos de cuentas por cobrar / pagar. Asegúrese también de hacer una copia de seguridad de todos los datos almacenados en la nube. Asegúrese de que las copias de seguridad se almacenen en un lugar separado en caso de incendio o inundación. Para asegurarse de tener la última copia de seguridad si alguna vez la necesita, verifique su copia de seguridad con regularidad para asegurarse de que esté funcionando correctamente.
Instale software anti-malware
Es fácil asumir que sus empleados saben que nunca deben abrir correos electrónicos de phishing. Sin embargo, el Informe de Investigaciones de Violación de Datos de Verizon 2016 encontró que el 30 por ciento de los empleados abrieron correos electrónicos de phishing, un aumento del 7 por ciento con respecto a 2015. Dado que los ataques de phishing implican instalar malware en la computadora del empleado cuando se hace clic en el enlace, es esencial tener un software anti-malware instalado en todos los dispositivos y la red. Dado que los ataques de suplantación de identidad (phishing) a menudo se dirigen a roles específicos de empleados de PYMES, utilice las tácticas específicas del puesto descritas en el artículo de Entreprenuer.com “5 tipos de empleados a los que a menudo se dirigen los ataques de suplantación de identidad” como parte de su capacitación.
Utilice la identificación multifactorial
Independientemente de su preparación, es probable que un empleado cometa un error de seguridad que pueda poner en peligro sus datos. En el artículo de la Semana de la PC "10 pasos de seguridad cibernética que su pequeña empresa debería tomar ahora mismo", Matt Littleton, director regional de ciberseguridad y servicios de infraestructura de Azure en Microsoft, afirma que usar la configuración de identificación multifactor en la mayoría de los principales productos de red y correo electrónico es fácil de hacer y proporciona una capa adicional de protección. Él recomienda usar los números de celular de los empleados como una segunda forma, ya que es poco probable que un ladrón tenga tanto el PIN como la contraseña.
La seguridad es un objetivo en movimiento. Los ciberdelincuentes avanzan cada día más. Para proteger sus datos tanto como sea posible, es esencial que todos y cada uno de los empleados hagan de la seguridad cibernética una prioridad máxima. Y lo más importante, que se mantenga al tanto de las últimas tendencias en ataques y la tecnología de prevención más reciente. Tu negocio depende de ello.
 
 
10 mejores prácticas de ciberseguridad que todo empleado debe conocer
Si es un empleado, está en la primera línea de la seguridad de la información. Su empresa puede tener políticas integrales de ciberseguridad para que usted y sus compañeros de trabajo las sigan. Pero incluso con estas protecciones, es importante mantenerse alerta para ayudar a garantizar que los datos y la red de su empresa estén seguros y protegidos.
¿Hace alguna diferencia trabajar para una empresa pequeña o mediana? Los piratas informáticos a menudo se dirigen a organizaciones grandes, pero las organizaciones más pequeñas pueden ser incluso más atractivas. ¿Por qué? Los ciberdelincuentes pueden pensar que las pequeñas empresas tienen menos controles y podrían ser más fáciles de infiltrar.
Su empresa puede tener el mejor software de seguridad y las políticas de oficina más completas, pero sus acciones juegan un papel importante para ayudar a mantener los datos seguros. Considere esto: un solo empleado podría cometer un error al compartir información confidencial de la empresa en su teléfono inteligente o hacer clic en un enlace corrupto, y eso podría conducir a una violación de datos.
Cuando trabaja en una empresa pequeña o mediana, es inteligente aprender sobre las mejores prácticas de ciberseguridad. Si se informa sobre las pequeñas cosas que contribuyen a la ciberseguridad, puede ayudar mucho a proteger su organización.
10 mejores prácticas de ciberseguridad
Las mejores prácticas de ciberseguridad abarcan algunas de las mejores prácticas generales, como ser cauteloso al participar en actividades en línea, respetar las reglas de la empresa y pedir ayuda cuando encuentre algo sospechoso. A continuación, se incluye un análisis más profundo de las 10 mejores prácticas de ciberseguridad para empresas que todos los empleados deben conocer y seguir.
Proteja sus datos
En su vida diaria, probablemente evite compartir información de identificación personal como su número de Seguro Social o número de tarjeta de crédito al contestar un correo electrónico, una llamada telefónica, un mensaje de texto o un mensaje instantáneo no solicitado. Es importante tener la misma precaución en el trabajo. Tenga en cuenta que los ciberdelincuentes pueden crear direcciones de correo electrónico y sitios web que parezcan legítimos. Los estafadores pueden falsificar la información del identificador de llamadas. Los piratas informáticos pueden incluso hacerse cargo de las cuentas de redes sociales de la empresa y enviar mensajes aparentemente legítimos.
Puede parecer obvio, pero es importante no filtrar los datos, información confidencial o propiedad intelectual de su empresa. Por ejemplo, si comparte una imagen en línea que muestra una pizarra o la pantalla de una computadora de fondo, podría revelar accidentalmente información que alguien ajeno a la empresa no debería ver.
Del mismo modo, tenga cuidado de respetar la propiedad intelectual de otras empresas. Incluso si es accidental, compartir o usar la propiedad intelectual o secretos comerciales de otras empresas podría causarle problemas a usted y a su empresa.
Su empresa puede ayudar a proteger a sus empleados, clientes y datos mediante la creación y distribución de políticas comerciales que cubran temas como cómo destruir datos que ya no se necesitan y cómo informar correos electrónicos sospechosos o ransomware.
Evite las ventanas emergentes, los correos electrónicos desconocidos y los enlaces.
Tenga cuidado con el phishing. Los phishers intentan engañarlo para que haga clic en un enlace que puede resultar en una violación de seguridad.
Los phishers se aprovechan de los empleados con la esperanza de que abran ventanas emergentes u otros enlaces maliciosos que podrían tener virus y malware incrustados. Por eso es importante tener cuidado con los enlaces y archivos adjuntos en los correos electrónicos de remitentes que no reconoce. Con solo un clic, podría permitir que los piratas informáticos se infiltraran en la red informática de su organización.
Aquí hay una regla a seguir: nunca ingrese información personal o de la compañía en respuesta a un correo electrónico, una página web emergente o cualquier otra forma de comunicación que no haya iniciado. El phishing puede conducir al robo de identidad. También es la forma en que ocurren la mayoría de los ataques de ransomware. 
Su empresa puede ayudar empleando tecnología de autenticación de correo electrónico que bloquea estos correos electrónicos sospechosos. Por lo general, se le notificará que el correo electrónico se envió a una carpeta de cuarentena, donde puede verificar si es legítimo o no.
Ser cauteloso. Si no está seguro de la legitimidad de un correo electrónico u otra comunicación, siempre comuníquese con su departamento de seguridad o líder de seguridad.
Utilice una sólida protección y autenticación con contraseña
Las contraseñas seguras y complejas pueden ayudar a evitar que los ladrones cibernéticos accedan a la información de la empresa. Las contraseñas simples pueden facilitar el acceso. Si un ciberdelincuente descubre su contraseña, podría darle acceso a la red de la empresa. La creación de contraseñas únicas y complejas es fundamental.
Una contraseña segura contiene al menos 10 caracteres e incluye números, símbolos y letras mayúsculas y minúsculas. Las empresas también deben pedirle que cambie sus contraseñas con regularidad. Cambiar y recordar todas sus contraseñas puede ser un desafío. Un administrador de contraseñas puede ayudar.
Las empresas también pueden requerir autenticación multifactor cuando intenta acceder a áreas de red sensibles. Esto agrega una capa adicional de protección al pedirle que realice al menos un paso adicional, como proporcionar un código temporal que se envía a su teléfono inteligente, para iniciar sesión.
Conéctese a una red Wi-Fi segura
Las redes Wi-Fi de Office deben ser seguras, encriptadas y ocultas. Si está trabajando de forma remota, puede ayudar a proteger los datos utilizando una red privada virtual, si su empresa tiene una. Una VPN es fundamental cuando se trabaja fuera de la oficina o en un viaje de negocios. Las redes Wi-Fi públicas pueden ser peligrosas y hacer que sus datos sean vulnerables a ser interceptados.
Pero tenga en cuenta que algunas VPN son más seguras que otras. Si su empresa tiene una VPN en la que confía, asegúrese de saber cómo conectarse y utilizarla. Norton Secure VPN proporciona una potente protección VPN que puede ayudar a mantener la privacidad de su información en redes Wi-Fi públicas.
Habilite la protección con firewall en el trabajo y en casa
Tener un firewall para la red de la empresa y su red doméstica es una primera línea de defensa para ayudar a proteger los datos contra los ciberataques. Los cortafuegos evitan que usuarios no autorizados accedan a sus sitios web, servicios de correo y otras fuentes de información a las que se puede acceder desde la web.
No confíe únicamente en el firewall de su empresa. Instale uno en su red doméstica si trabaja desde casa. Pregunte a su empresa si ofrecen software de firewall.
 Invertir en sistemas de seguridad
Las empresas más pequeñas pueden dudar al considerar el costo de invertir en un sistema de seguridad de calidad. Eso generalmente incluye protecciones como una fuerte detección de malware y antivirus, discos duros externos que respaldan los datos y la ejecución de verificaciones regulares del sistema. Pero realizar esa inversión temprano podría salvar a las empresas y empleados de los posibles costos financieros y legales de ser violados.
Todos los dispositivos que usa en el trabajo y en casa deben tener la protección de un software de seguridad sólido. Es importante que su empresa proporcione seguridad de datos en el lugar de trabajo, pero avise a su departamento de TI o al gerente de seguridad de la información si ve algo sospechoso que pueda indicar un problema de seguridad. Puede que exista una falla en el sistema que la empresa necesite parchear o corregir. Cuanto antes informe un problema, mejor.
Instale actualizaciones de software de seguridad y haga una copia de seguridad de sus archivos.
Seguir las mejores prácticas de seguridad de TI significa mantener su software de seguridad, navegadores web y sistemas operativos actualizados con las últimas protecciones. Las protecciones antivirus y antimalware se revisan con frecuencia para apuntar y responder a nuevas ciberamenazas.
Si su empresa envía instrucciones para actualizaciones de seguridad, instálelas de inmediato. Esto también se aplica a los dispositivos personales que usa en el trabajo. La instalación de actualizaciones rápidamente ayuda a defenderse de las últimas ciberamenazas.
Las amenazas cibernéticas a menudo apuntan a sus datos. Por eso es una buena práctica proteger y realizar copias de seguridad de los archivos en caso de una filtración de datos o un ataque de malware. Es probable que su empresa tenga reglas sobre cómo y dónde realizar copias de seguridad de los datos. Los archivos importantes pueden almacenarse fuera de línea, en un disco duro externo, o en la nube.
Habla con tu departamento de TI
Su departamento de TI es su amigo. Comuníquese con el equipo de soporte de su empresa sobre seguridad de la información. Puede que tengas mucho de qué hablar. 
Es una buena idea trabajar con TI si algo como una actualización de software tiene un problema. No permita que un problema simple se vuelva más complejo al intentar "solucionarlo". Si no está seguro, TI puede ayudar.
También es inteligente informar a TI las advertencias de seguridad de su software de seguridad de Internet. Es posible que no estén al tanto de todas las amenazas que ocurren. 
También es importante mantenerse en contacto cuando viaja. Informe a su departamento de TI antes de ir, especialmente si va a utilizar una red Wi-Fi pública. Que tengas un buen viaje, pero no olvides tu VPN.
Recuerde asegurarse de que TI sea, bueno, TI. Tenga cuidado con las estafas de soporte técnico. Es posible que reciba un correo electrónico de phishing de alguien que dice ser de TI. El objetivo es engañarlo para que instale malware en su computadora o dispositivo móvil, o proporcione datos confidenciales. ¿Qué hacer? No proporciones ninguna información. En su lugar, comuníquese con su departamento de TI de inmediato.
Emplear controles de terceros
He aquí un hecho que podría resultar sorprendente. Es común que las violaciones de datos comiencen desde dentro de las empresas. Es por eso que las organizaciones deben considerar y limitar el acceso de los empleados a los clientes y la información del cliente.
Puede ser un empleado a cargo de acceder y utilizar la información confidencial de clientes, clientes y otros empleados. Si es así, asegúrese de implementar y seguir las reglas de la empresa sobre cómo se almacena y utiliza la información confidencial. Si está a cargo de proteger las copias impresas o impresas, es el defensor de estos datos frente a terceros no autorizados.
Las empresas y sus empleados también pueden tener que controlar a terceros, como consultores o ex empleados, que tienen acceso temporal a la red informática de la organización. Es importante restringir el acceso de terceros a ciertas áreas y recordar desactivar el acceso cuando terminen el trabajo.
Adoptar la educación y la formación
Las empresas inteligentes se toman el tiempo para capacitar a sus empleados. Su responsabilidad incluye conocer las políticas de ciberseguridad de su empresa y lo que se espera de usted. Eso incluye seguirlos. Si no está seguro acerca de una política, pregunte.
He aquí un ejemplo. Tal vez uses un reloj inteligente en el trabajo. Es importante proteger los dispositivos personales con la seguridad más actualizada. También querrá conocer y seguir la política de uso electrónico aceptable (AEU) de su empresa. Cuando traiga su propio dispositivo, también conocido como BYOD, pregunte a su departamento de TI si su dispositivo tiene permiso para acceder a los datos corporativos antes de cargar algo en él. Asegúrese siempre de utilizar aplicaciones autorizadas para acceder a documentos confidenciales.
Un poco de conocimiento técnico también ayuda. Aprender el proceso para permitir que TI se conecte a sus dispositivos, junto con los términos básicos de hardware de computadora, es útil. Ese conocimiento puede ahorrarle tiempo cuando se pone en contacto con el soporte y ellos necesitan información y acceso rápido para resolver un problema. 
Si desea realizar una copia de seguridad de los datos en la nube, asegúrese de hablar primero con su departamento de TI para obtener una lista de los servicios de nube aceptables. Las organizaciones pueden incluir esto en su política de AEU. La violación de la política puede ser motivo de despido.
Puede prevenir una violación de datos
Tener el conocimiento adecuado, como las 10 mejores prácticas de ciberseguridad que todo empleado debe conocer, puede ayudar a fortalecer las vulnerabilidades de brecha de su empresa. Recuerde: un solo clic en un enlace corrupto podría dejar entrar a un pirata informático. Una sola falla para corregir una falla rápidamente podría dejar a su empleador vulnerable a un ciberataque.
Es parte de su trabajo participar en un comportamiento seguro en línea y comunicarse con su departamento de TI cuando encuentra algo sospechoso o necesita ayuda.
Mantenerse al tanto de estas prácticas de ciberseguridad podría ser la diferencia entre una empresa segura y una a la que un pirata informático podría apuntar.