Las amenazas en línea están en la mente de todos después de la violación de esta semana en OneLogin. La compañía de gestión de identidad y acceso con más de 2.000 clientes empresariales fue pirateada, y las consecuencias no han terminado. Durante la violación de la seguridad, los hackers aún desconocidos pueden haber obtenido información privada sobre los usuarios, las aplicaciones y varias claves. Todo lo que sabemos actualmente es lo que OneLogin ha anunciado en el blog de su empresa: es posible que se hayan recopilado datos y que el pirata informático o los hackers hayan descubierto una forma de descifrar los datos.
Si no está seguro de qué significa todo esto, No solo, muchos empresarios no se dan cuenta de que las pequeñas empresas corren el mismo riesgo de ataques cibernéticos que las grandes empresas, pero lo son. Según un informe de Keeper Security y el Instituto Ponemon, el 50 por ciento de las pequeñas empresas han sido violadas en los últimos 12 meses.
Aquí hay un resumen de todo lo que necesita saber para proteger su negocio.
En este artículo ...
Si bien las infracciones en grandes corporaciones como Target y Home Depot ocupan los titulares, las pequeñas empresas siguen siendo un objetivo para los hackers. Stephen Cobb, un investigador de seguridad de la compañía de software antivirus ESET, dijo que las pequeñas empresas caen en la ciberseguridad de los hackers: tienen más activos digitales para apuntar que un consumidor individual, pero menos seguridad que una empresa más grande.
La otra razón por la cual las pequeñas empresas hacen objetivos tan atractivos es porque los hackers saben que estas compañías son menos cuidadosas con la seguridad. Una infografía de Towergate Insurance mostró que las pequeñas empresas a menudo subestiman su nivel de riesgo, ya que el 82 por ciento de los propietarios de pequeñas empresas dicen que no son objetivos para ataques, porque no tienen nada que valga la pena robar.
En casi todos los casos, el objetivo final de un ataque cibernético es robar y explotar datos confidenciales, ya sea la información de la tarjeta de crédito del cliente o las credenciales de una persona, que se usarían para usar mal la identidad del individuo en línea.
una lista exhaustiva de ciberamenazas potenciales, especialmente a medida que las técnicas de los hackers continúen evolucionando, pero las empresas deberían al menos conocer los ataques más frecuentes.
APT: Las amenazas persistentes avanzadas o APT son objetivos a largo plazo ataques que se rompen en una red en múltiples fases para evitar su detección. Esta infografía de Symantec delineó las cinco etapas de un APT .
DDoS: Un acrónimo de denegación de servicio distribuida, los ataques DDoS ocurren cuando un servidor está sobrecargado intencionalmente con solicitudes, con el objetivo de cerrar el objetivo sitio web o sistema de red.
Ataque interno: Esto ocurre cuando alguien con privilegios administrativos, por lo general dentro de la organización, hace un uso indebido deliberado de sus credenciales para obtener acceso a información confidencial de la compañía. Los ex empleados, en particular, presentan una amenaza si abandonan la empresa en malas condiciones, por lo que su empresa debe contar con un protocolo para revocar todo acceso a los datos de la compañía inmediatamente después de la terminación de un empleado.
Malware: This umbrella término es la abreviatura de "software malicioso" y cubre cualquier programa introducido en la computadora del objetivo con la intención de causar daño u obtener acceso no autorizado. Se puede encontrar más información sobre las diferentes variedades de malware en How to Geek. Mobby Business, el sitio hermano de Tom's Guide, también desglosa los mitos y los hechos del malware.
Password attacks: Hay tres tipos principales de contraseñas: un ataque de fuerza bruta, que consiste en adivinar las contraseñas hasta que el pirata informático en; un ataque de diccionario, que utiliza un programa para probar diferentes combinaciones de palabras del diccionario; y captura de teclas, que rastrea todas las pulsaciones de teclado de un usuario, incluidos los ID de inicio de sesión y las contraseñas. Se puede encontrar más información sobre cada tipo de ataque (y cómo evitarlos) en esta publicación de blog de Scorpion Software.
Phishing: Tal vez la forma más comúnmente utilizada de cybertheft, phishing consiste en recopilar información sensible como credenciales de inicio de sesión e información de tarjetas de crédito a través de un sitio web legítimo (pero finalmente fraudulento), que a menudo se envía a personas desprevenidas en un correo electrónico. Keeper Security y el Instituto Ponemon informaron que los ataques más frecuentes contra las PYMES son la ingeniería basada en la web y el phishing / social. TechRepublic compartió 10 señales para ayudarlo a detectar un correo electrónico de phishing.
Ransomware: Ransomware es un tipo de malware que infecta su máquina y, como su nombre lo indica, exige un rescate. Normalmente, ransomware lo excluirá de su computadora y exigirá dinero a cambio de acceso o amenazará con publicar información privada si no paga una cantidad específica. Ransomware es uno de los tipos de infracciones de seguridad que más crece.
Existen algunos tipos básicos de software de seguridad en el mercado que ofrecen distintos niveles de protección. Antivirus < El software es el más común y protegerá contra la mayoría de los tipos de malware. Para una comparación lado a lado de los mejores programas de software antivirus para pequeñas empresas, visite nuestro sitio hermano Top Ten Reviews.
Firewalls , que pueden implementarse con hardware o software, proporcionan una capa adicional de protección mediante evitar que un usuario no autorizado acceda a una computadora o red. En un artículo de eHow.com, el autor Sam N. Austin señaló que algunos sistemas operativos de computadoras, como Microsoft Windows, vienen con firewalls integrados. Estas protecciones también se pueden agregar por separado a los enrutadores y servidores.
Cobb, de ESET, dijo que las empresas también deberían invertir en una solución de respaldo de datos, para que cualquier información comprometida o perdida durante una violación pueda recuperarse fácilmente desde una ubicación alternativa; software de cifrado para proteger datos confidenciales, como registros de empleados, información de clientes / clientes y estados financieros; y autenticación de dos pasos o software de seguridad de contraseñas para sus programas internos para reducir la probabilidad de descifrado de contraseñas.
Es importante recordar que no existe una solución de seguridad para todos, por lo que Charles Henderson, jefe global de amenazas y pruebas de seguridad en IBM, aconsejó ejecutar una evaluación de riesgos, preferiblemente a través de una firma externa.
Una solución importante que no involucra software y que muchas pequeñas empresas pasan por alto es el seguro de seguridad cibernética. Como se mencionó anteriormente, su política de responsabilidad general no lo ayudará a recuperar pérdidas o tarifas legales asociadas con una violación de datos, por lo que una política separada que cubra estos tipos de daños puede ser de gran ayuda en caso de un ataque.
Tim Francis, cyber empresarial Lead en Travelers, un proveedor de ciberseguro, dijo que las pequeñas empresas a menudo suponen que las políticas de ciberseguro están diseñadas solo para grandes compañías, porque esas empresas son los objetivos más frecuentes de los piratas informáticos. Pero muchas aseguradoras están empezando a ofrecer cobertura a medida para que las empresas más pequeñas cumplan con sus presupuestos y niveles de exposición al riesgo, dijo.
Francis les aconsejó a los dueños de negocios que busquen una combinación de cobertura de primera y tercera parte. La cobertura de responsabilidad civil incluye los costos generales incurridos como resultado de una infracción, como la experiencia legal, las campañas de relaciones públicas, la notificación al cliente y la interrupción del negocio. La cobertura de terceros lo protege si su empresa se encuentra en el centro de una violación que expuso información confidencial. Este tipo de protección cubre los costos de defensa si las partes afectadas demandan a su empresa.
"La cobertura es más que palabras en una página", dijo Francis. "Asegúrese de que su operador sea bien considerado financieramente y tenga una buena reputación en la industria. Hay una gran variedad de políticas, [y] ... necesita un agente que entienda las diferencias".
¿Listo para proteger su negocio y sus datos? Estas mejores prácticas mantendrán a su compañía lo más segura posible.
Mantenga su software actualizado. Como se indica en este artículo de Tom's Guide, "una computadora desactualizada es más propensa a fallas, fallas de seguridad y ataques cibernéticos que una que ha sido completamente reparada". Los piratas informáticos están constantemente buscando vulnerabilidades de seguridad, dijo Cobb de ESET, y si dejas que estas debilidades se prolonguen demasiado, estás aumentando tus posibilidades de ser atacado.
Educa a tus empleados. Haz que tus empleados conozcan la formas en que los ciberdelincuentes pueden infiltrarse en sus sistemas, enseñarles a reconocer signos de incumplimiento y educarlos sobre cómo mantenerse seguros mientras usan la red de la empresa.
Implementar políticas de seguridad formales. Bill Carey, vicepresidente de marketing y negocios el desarrollo en Siber Systems, señaló que contar con políticas de seguridad en toda la empresa puede ayudar a reducir la probabilidad de un ataque. Aconsejó que se requirieran contraseñas seguras, con letras mayúsculas y minúsculas, números y símbolos, que se deberían cambiar cada 60 a 90 días. . El 65% de las PYMES que tienen una política de contraseñas no lo hacen cumplir estrictamente , de acuerdo con Keeper Security y el informe del Instituto Ponemon.
Practique su plan de respuesta a incidentes. Henderson de IBM recomendó ejecutar un simulacro de su plan de respuesta (y refinarlo, si es necesario) para que su personal pueda detectar y contener el incumplimiento rápidamente debería ocurrir un incidente.
En última instancia, lo mejor que puede hacer por su negocio es tener una mentalidad de seguridad primero, dijo Henderson. Le recordó a las pequeñas empresas que no deberían suponer que están exentas de ser víctimas de una infracción debido a su tamaño.
Para obtener más información sobre cómo manejar una violación de datos, visite esta guía de Mobby Business.
Algunos se realizaron entrevistas de fuente para una versión anterior de este artículo.
Formularios de impuestos y negocios que necesitará para iniciar una pequeña empresa
Todos los negocios, excepto las asociaciones, deben presentar una declaración anual de impuestos (las asociaciones presentan una declaración de información). El formulario que utiliza depende de cómo esté organizada su empresa. Debe pagar impuestos a medida que avanza, a medida que gana o recibe ingresos durante el año.
Propietarios de empresas eligen sus herramientas de análisis de datos favoritos
El análisis de datos es uno de los campos de más rápido crecimiento en los Estados Unidos. De hecho, los analistas de datos profesionales tienen tanta demanda que tienen una tasa de desempleo de menos del 1 por ciento, en toda la industria. Afortunadamente, los propietarios de pequeñas empresas no tienen que pelear contra las empresas de Fortune 500 para contratar a un analista de datos de primer nivel.