Por: Vasu Jakkal, vicepresidenta corporativa de seguridad, cumplimiento, identidad y gestión.
Dirigir un negocio requiere mucha determinación y, a veces, un salto de fe. Cada día trae un nuevo desafío, y muchas veces puede parecer que el estrés y la incertidumbre son demasiado. Ahí es cuando se recuerdan por qué dieron el salto, la satisfacción de realizar su propia visión, y siguen adelante.
Con ese tipo de compromiso, su negocio casi puede sentirse como un segundo hogar. Y al igual que protegen su hogar físico con un sistema de seguridad actualizado y cerraduras resistentes, es fundamental modernizar la ciberseguridad para su negocio. El cuarenta y tres por ciento de todos los ataques cibernéticos ahora se dirigen a pequeñas empresas y, por desgracia, el 60 por ciento de esas empresas cerrarán sus puertas de forma permanente dentro de los seis meses posteriores al ataque.1 Esas son estadísticas asombrosas, y es por eso que elegimos incluir Microsoft Defender for Business con cada suscripción a Microsoft 365 Business Premium, porque cada negocio merece acceso a una seguridad integral de nivel empresarial.
Nuestra ambición siempre es hacer que la tecnología sea un ecualizador, permitir que una pequeña empresa compita con una empresa más grande con el poder de la tecnología y cerrar esa brecha. —Brad Smith, presidente en Microsoft
Como parte del Mes de Concientización sobre Seguridad Cibernética, el presidente de Microsoft, Brad Smith, se unió a la Administradora de la Administración de Pequeñas Empresas (SBA, por sus siglas en inglés) de los Estados Unidos, Isabella Casillas Guzmán, en la Cumbre Cibernética de Pequeñas Empresas inaugural en octubre de 2022 para una charla íntima. Los dos discutieron cómo las pequeñas y medianas empresas (PyMEs) pueden fortalecer sus capacidades de ciberseguridad con un presupuesto limitado. Con ese objetivo en mente, me gustaría extender una invitación para una consulta de evaluación de seguridad gratuita para saber dónde su empresa podría aumentar la protección. Además, este blog presenta cinco sencillas acciones que pueden ayudar a cualquier empresa a protegerse contra los ataques cibernéticos, a partir de hoy.
Índice
1. Supervisar todo las 24 horas
Durante su charla con la administradora Guzmán, Brad Smith destacó cómo pasar a la seguridad basada en la nube le da a su empresa una ventaja en términos de hacer que la protección sea una cosa menos de la que preocuparse. “Si todos intentan ejecutar su software en su propio hardware en sus propias cuatro paredes, significa que tienes que hacer todo lo posible para mantener ese hardware”, explicó Brad Smith. “Mientras que si te mudas a la nube, ese se convierte en nuestro problema”.
La Nube de Microsoft en la actualidad rastrea y analiza 43 billones de señales de amenazas a diario.2 Eso incluye 35 familias de ransomware y más de 250 estados-nación únicos, ciberdelincuentes y otros actores de amenazas. Esa enorme amplitud y profundidad de protección están integradas en Microsoft 365 Business Premium, que brinda protección de nivel empresarial contra virus, spam, archivos adjuntos no seguros, enlaces sospechosos y ataques de phishing. También obtendrán protección constante contra ataques de ransomware y malware en sus dispositivos, junto con capacidades integradas de detección y respuesta antivirus y de terminal. De esa manera, pueden concentrarse en hacer que su negocio sea un éxito en lugar de perseguir las ciberamenazas.
2. Actualizar las cerraduras
Los robos en el vecindario a menudo nos dan el empujón que necesitamos para reemplazar las cerraduras desgastadas o agregar una luz de seguridad (o dos). Del mismo modo, proteger su negocio de los ataques cibernéticos comienza con un simple paso: actualizar sus sistemas existentes. Microsoft y otras empresas de tecnología publican actualizaciones el martes de parches (el segundo martes de cada mes, a partir de las 10:00 a. m., hora del Pacífico), o cuando se detectan vulnerabilidades. “Estas [actualizaciones] están disponibles de forma gratuita”, enfatizó Brad Smith. “Pero asegúrense de que sus computadoras estén configuradas para que se descarguen. Esa es una de las cosas más importantes que las personas pueden hacer para protegerse”.
Además, asegúrense de que su empresa mantenga un inventario de TI actualizado. Con el paso al trabajo remoto e híbrido, el fenómeno de traer su propio dispositivo (también conocido como «BYOD») ahora es común. El uso de más dispositivos, en especial de redes domésticas, crea una superficie de ataque más grande con más puntos finales y vulnerabilidades potenciales. Como parte de Microsoft 365 Business Premium, Defender for Business tiene integrada la gestión de amenazas y vulnerabilidades, lo que les permite proteger varios dispositivos con una sola herramienta.
Las empresas pueden protegerse aún más con copias de seguridad periódicas de los datos. Los ataques de ransomware aumentaron un 300% en 2021.3 El fenómeno del ransomware como servicio (RaaS) muestra que los malos actores ahora tienen la confianza suficiente para llevar sus operaciones al por menor, como un negocio legítimo.4 Pero los ataques de ransomware contra los datos de su empresa pueden frustrarse a través de la creación, de manera periódica, de copias de seguridad de sus archivos importantes. La automatización de sus copias de seguridad de acuerdo con un cronograma establecido puede ayudar a su empresa a maximizar los recursos limitados y evitar posibles errores humanos.
3. Esconder bien sus llaves
La mayoría de nosotros guardamos una llave de casa de repuesto escondida debajo de una roca o una maceta, pero todos saben que es mejor no poner la llave debajo de la alfombra. Es lo mismo con las contraseñas: si es fácil, alguien lo encontrará. “No debería ser ABC123”, como lo resumió la Administradora Guzmán. Sin embargo, una encuesta reciente encontró que, entre las contraseñas más comunes que aún se usan, «contraseña» y «Qwerty» están en la parte superior de la lista.5 Hoy en día, en el conjunto de herramientas de todos los ciberdelincuentes, se encuentra un tipo de ataque de fuerza bruta conocido como spray de contraseñas.6 De manera sencilla, es cuando un atacante adquiere una lista de cuentas y ejecuta una larga lista de contraseñas comunes que intentan obtener una coincidencia. Dado que la mayoría de las empresas tienen un estándar de nombres para los empleados (por ejemplo, nombre.apellido@empresa.com), los adversarios a menudo pueden llegar a la mitad de camino de su puerta con sólo usar la información que se encuentra en su sitio web.
Los navegadores de Internet populares, como Microsoft Edge, vienen con un generador de contraseñas integrado que creará y recordará una contraseña segura para ustedes. O su empresa puede optar por eliminar las contraseñas por completo con una solución como Windows Hello o las claves de seguridad FIDO2 que permiten a los usuarios iniciar sesión mediante datos biométricos o una clave física o un dispositivo. Además de no tener contraseña, la autenticación multifactor, también conocida como autenticación de dos factores, es su mejor apuesta para generar un acceso seguro para su empresa. La autenticación multifactor requiere que los usuarios verifiquen su identidad a través de un factor adicional, como una contraseña de un solo uso (OTP, por sus siglas en inglés) enviada por correo electrónico o mensaje de texto. Otros factores de verificación incluyen responder preguntas de seguridad personal o usar reconocimiento facial o de voz.
4. No abrir la puerta a cualquiera
Hay una razón para la popularidad de los timbres de video: no es prudente abrir la puerta de entrada sin saber quién está al otro lado. Por la misma razón, todas las empresas deben mantenerse actualizadas sobre las últimas estafas de phishing y de ingeniería social que los malos utilizan para intentar ingresar a su negocio. En 2022, las causas más comunes de los ataques cibernéticos todavía son el malware (22 por ciento) y el phishing (20 por ciento).7 Los actores de amenazas han descubierto que las personas son el eslabón débil: el 85 por ciento de las infracciones ahora involucran un elemento humano, y la frecuencia y la sofisticación de sus ataques van en aumento.8 Sin embargo, la mayoría de los correos electrónicos de phishing todavía se basan en «ganchos» reconocibles que todos podemos aprender a detectar, como:
- Solicitud de credenciales de usuario o Información de pago. Nunca hagan clic en el enlace. En su lugar, escriban la URL de la empresa en su navegador y vayan directo a su cuenta.
- Un tono o saludo desconocidos. Los correos electrónicos de phishing a menudo se crean en el extranjero, así que busquen una sintaxis irregular o un tono que sea demasiado formal, demasiado familiar o una mezcla extraña de ambos.
- Errores gramaticales y ortográficos. Las empresas legítimas se toman el tiempo de revisar sus correos electrónicos antes de enviarlos.
- Dirección de correo electrónico inconsistente o un nombre de dominio «parecido». Una dirección de correo electrónico o un dominio de phishing por lo general estarán un poco desviados (por ejemplo, microsotf.com en lugar de microsoft.com).
- Amenazas o sentido de urgencia. Los estafadores a menudo intentan asustarlos para que hagan clic en el enlace con titulares como: «¡Actualice la información de su cuenta ahora o pierda el acceso!» En caso de duda, escriban la URL en su navegador y vayan directo al sitio.
- Archivos adjuntos no solicitados. Si no esperaban un correo electrónico de este remitente, no hagan clic en el archivo adjunto. En su lugar, abran un nuevo correo electrónico (no responda) y pregunten si el correo electrónico y el archivo adjunto son genuinos.
Cuando reciban un correo electrónico de phishing (todos lo hacemos), recuerden denunciarlo. En Microsoft Outlook para empresas, solo seleccionen el mensaje sospechoso y elijan Reportar en la cinta superior, luego seleccionen Phishing. Esto eliminará el mensaje de su bandeja de entrada y nos ayudará a bloquear más correos electrónicos sospechosos. Tanto Defender for Business como Microsoft Defender for Office 365 Plan 1 brindan protección contra el phishing avanzado, el malware, el correo no deseado y el compromiso del correo electrónico comercial.9 Ambos vienen con políticas integradas para que puedan comenzar a trabajar pronto, incluida la incorporación simplificada basada en un asistente para sus dispositivos, servidores y aplicaciones de Windows.10
5. Mantenerse informados sobre cómo prevenir robos
La policía local y los grupos de vigilancia del vecindario a menudo trabajan juntos para educar a los residentes sobre los robos y cómo pueden proteger mejor sus hogares. No importa el tamaño de su empresa, también hay recursos de seguridad cibernética disponibles para ustedes.11 La SBA ofrece las mejores prácticas para prevenir ataques cibernéticos,12 que incluyen una herramienta de planificación de seguridad cibernética13 y eventos continuos de seguridad cibernética virtuales y en persona14 para su área. Incluso si su único empleado son ustedes mismos, la capacitación en seguridad cibernética no debe verse como una tarea única. Los actores de amenazas aprenden y actualizan sus habilidad de manera constante, y nosotros también deberíamos hacerlo.
La capacitación de seguridad virtual de Microsoft para PyMEs y el Centro de recursos para pequeñas empresas de Microsoft ayudan a las PyMEs a adquirir los conocimientos necesarios para prevenir ataques de phishing, proteger dispositivos remotos y protegerse contra el robo de identidad. Nuestras capacitaciones de seguridad para PyMEs también presentan estrategias sobre cómo mantenerse seguros cuando trabajan en sitio y desde el hogar, incluida la forma de colaborar con colegas de manera más segura. Como dijo Brad Smith durante su charla con la Administradora Guzmán: “Al final del día, [la seguridad cibernética] se vuelve un poco como un cinturón de seguridad: sabemos que salva vidas, pero hay que ponérselo”.
Microsoft está aquí para ustedes
El tema subyacente de la charla de Brad Smith para las PyMEs se puede resumir en pocas palabras: Microsoft los respalda. Las pequeñas empresas representan más del 99 por ciento de la economía de los Estados Unidos, por lo que estamos todos juntos en esto.15 Asegúrense de aprovechar la consulta de seguridad gratuita de Microsoft, que incluye información práctica basada en datos sobre las vulnerabilidades de seguridad en su entorno.
Para obtener más información sobre soluciones de seguridad rentables y fáciles de usar, visiten Seguridad para su pequeña o mediana empresa y descubran cómo una suscripción a Microsoft 365 Business Premium puede proporcionar seguridad integral optimizada para PyMEs (hasta 300 usuarios) , u obtengan Microsoft Defender for Business como una solución de seguridad de dispositivo independiente. Ambas soluciones se integran con Microsoft 365 Lighthouse; De esa manera, los socios del proveedor de soluciones en la nube (CSP, por sus siglas en inglés) de Microsoft pueden ver con facilidad los incidentes de seguridad entre los inquilinos en un portal unificado. Cualquiera que sea su presupuesto y donde sea que los lleve su visión, estamos aquí para ayudarlos a avanzar, sin miedo.