Si la amenaza de una filtración de datos no lo deja dormir por la noche, no está solo en absoluto. En una encuesta realizada por la Cámara de Comercio de los Estados Unidos en 2024, el 60 % de los propietarios de pequeñas empresas mencionaron las amenazas de ciberseguridad como la principal amenaza que enfrenta su empresa, pues son incluso más latentes que la amenaza de otra pandemia.[1]
Desafortunadamente, estas preocupaciones están bien fundamentadas. El costo promedio de una filtración de datos sigue aumentando, pues alcanzó los $4.88 millones en 2024[2], es decir, más que suficiente para llevar a muchas pequeñas empresas al éxito o al fracaso. Y también hay otros costos que se deben considerar. Una filtración de datos puede perjudicar las relaciones con sus clientes de forma permanente, pues reduce la confianza incluso de sus clientes más leales.
Sin embargo, hay varias medidas que puede tomar para proteger su empresa. Estas son algunas medidas a considerar a medida que protege sus datos.
1. Realice el cifrado de los datos confidenciales
El cifrado brinda un sólido nivel de defensa contra las filtraciones de datos. Este codifica la información para ocultar su verdadero contenido, y la información solo puede ser “decodificada” mediante el uso de una clave de descifrado en posesión de una parte autorizada, lo que hace que la información sea inútil para los terceros que pudieran interceptar los datos.
Este es un ejemplo de cómo funciona el cifrado en la práctica durante una transacción con tarjeta de crédito:
1. Un cliente realiza una compra en un punto de venta usando su tarjeta de crédito.
2. Se realiza el cifrado de la información de la transacción (que incluye los datos de pago de la tarjeta) y luego se envía al procesador de pagos.
3. El procesador de pagos realiza el descifrado de la información de pago para autorizar la transacción.
4. La transacción concluye correctamente.
El cifrado de datos se puede usar para proteger los datos confidenciales de su empresa, como la información de pago, desde luego, pero también la información de identificación personal de usted y sus empleados, así como la propiedad intelectual de su empresa.
Consejos profesionales:
- Cuando seleccione una solución de procesamiento de pagos, asegúrese de elegir una solución que cumpla con las normas del PCI. Esto significa que el sistema cumpla con las normas de seguridad de toda la industria a fin de proteger la información de pago de sus clientes.
- Considere seleccionar una solución que le permita aceptar billeteras digitales, como Apple Pay y Google Pay. Las billeteras digitales brindan un nivel de seguridad adicional durante las transacciones, lo que permite que los clientes realicen una compra sin tener que compartir su información directamente con los comerciantes.
- Asegúrese de configurar una red privada virtual (Virtual Private Network, VPN) para todo acceso a Internet desde una computadora. Esto le permite cifrar todas las comunicaciones en línea, pues las envía a través de un túnel para generar un nivel de privacidad adicional.
2. Mantenga sus sistemas actualizados
Los ciberdelincuentes constantemente están ideando nuevas maneras para robar los datos confidenciales, lo que significa que aparecen nuevas amenazas de seguridad diariamente. Como resultado, el uso de tecnologías obsoletas o el hecho de no mantenerse al día con las actualizaciones de software puede provocar que usted quede vulnerable ante un ataque cibernético.
Mantener su tecnología actualizada ayuda a garantizar que pueda acceder a la protección más reciente de forma continua. Revise y actualice los sistemas, aplicaciones y dispositivos con regularidad para eliminar las vías vulnerables. Si no está familiarizado para hacer esto usted mismo o no cuenta con un experto en TI en su equipo, considere elaborar un presupuesto para un consultor de TI que verifique la condición de sus sistemas ocasionalmente y administre la seguridad. También se recomienda que adquiera productos estándar que habiliten elementos como firewalls y detección de virus. Estos sistemas ayudan a incorporar niveles de protección y monitorean las anomalías.
3. Desarrolle un plan de respuesta ante emergencias
Desde luego, incluso los sistemas que están actualizados y cumplen las normas no son capaces de eliminar por completo el riesgo de ataques cibernéticos, por lo que es importante que cuente con un plan de respuesta ante emergencias que le ayude a planificar cómo se recuperaría en caso de sufrir un ataque. Este enfoque significa que usted espera lo mejor pero planifica para lo peor.
Es fundamental que las empresas de todos los tamaños planifiquen, respondan, manejen y mitiguen eficazmente los daños provocados por los incidentes cibernéticos para ayudar a proteger los datos, los activos y las operaciones. Las acciones sencillas como conservar respaldos de datos sirven de mucho para ayudar a proteger a su empresa ante un ataque cibernético, en particular si alguien realiza un ataque y le pide el pago de un rescate por sus datos.
La planificación de respuestas ante emergencias debe delinear acciones que le permitan:
- Minimizar los daños y reducir el tiempo de recuperación y los costos.
- Proteger los datos confidenciales y mantener la confianza del cliente.
- Cumplir los requisitos legales y regulatorios.
- Asegurar la continuidad comercial.
4. Establezca comunicación con seguridad de dos vías con los empleados.
Proteger su empresa requiere el emparejamiento de las tecnologías correctas con la capacitación adecuada del personal. Casi dos terceras partes de las filtraciones de datos involucran algún tipo de elemento humano no malicioso, según el informe de Investigaciones sobre filtraciones de datos de 2024 elaborado por Verizon[3], lo que significa que usted puede ayudar a reducir el riesgo de una filtración si cuenta con la educación pertinente y un método de comunicación adecuado.
En el caso de los empleados que trabajen digitalmente, busque capacitaciones sobre cómo identificar y denunciar los intentos comunes de suplantación de identidad (phishing). Tales capacitaciones aseguran que los empleados sean conscientes de las alertas comunes, como los enlaces o archivos adjuntos sospechosos, las solicitudes inusuales provenientes de entidades desconocidas y los correos electrónicos de direcciones de correo electrónico desconocidas que se hacen pasar por clientes o colegas.
Implemente procedimientos operativos estándar para que usted notifique a los empleados sobre cualquier amenaza y para que los empleados respondan a tales amenazas y accedan a las políticas de seguridad para identificar los mejores pasos a seguir.
Consejo profesional:
- Si su empresa sufre una filtración consumada, presente una denuncia ante el Centro de Denuncias de Delitos por Internet[4] a la brevedad posible.
Cómo puede ayudarle su banco
En última instancia, la protección de los datos de su empresa requiere de varios expertos, en particular expertos en seguridad cibernética. Sin embargo, su banco puede ayudarle a acceder a los recursos que pueda necesitar para gestionar su seguridad.
Por un lado, un banco que ofrece servicios para comerciantes puede proporcionar soluciones de procesamiento de pagos que cumplan con las normas del PCI, lo que le permite aceptar una variedad de tipos de pagos, como tarjetas de crédito, tarjetas de débito, billeteras móviles y pagos en línea, al mismo tiempo que protege la información de pago de los clientes.
También puede ayudarle a conectarse con el financiamiento que usted necesita para mejorar o dar mantenimiento a una infraestructura de TI segura, así como ayudarle a gestionar su flujo de caja para incorporar los costos de TI. Por último, un banco que ofrece beneficios de bienestar financiero puede ayudarle a crear atractivos paquetes de beneficios para atraer a los mejores talentos, incluidos los expertos de seguridad cibernética que pueden proteger a su empresa.
Si está buscando proteger los datos de su empresa, estamos aquí para ayudarle con soluciones de procesamiento de pagos que cumplen con las normas del PCI, soluciones de financiamiento flexibles y beneficios de bienestar financiero que se ajustan a sus necesidades. Para obtener más información y encontrar un experto en banca para pequeñas empresas cercano, visítenos en línea.
Transcripción de video:
Narrador: Cada compañía debe abordar la ciberdelincuencia ya que es una amenaza que siempre está presente y en constante evolución. Los ciberdelincuentes son implacables en su búsqueda para encontrar y explotar las debilidades de seguridad, lo que pone sus datos valiosos en riesgo.
Para mantenerse a la delantera en esta batalla constante, es imprescindible que su compañía realice la identificación sistemática de los posibles riesgos, documente los controles correspondientes y solucione proactivamente las brechas. El cifrado de datos, tanto los almacenados como los que se encuentran en tránsito, es una medida fundamental que hace que los datos robados sean inútiles para los ciberdelincuentes.
Aplicar parches con regularidad a los sistemas, aplicaciones y dispositivos es indispensable para eliminar las vías de filtración fáciles. Los empleados a menudo representan el enlace más vulnerable en la cadena de seguridad. Muchos no comprenden por completo las amenazas sofisticadas que están dirigidas a su organización. Es fundamental que eduque a su fuerza laboral.
Enséñeles a reconocer las características distintivas de los esquemas comunes, como los correos electrónicos de suplantación de identidad, que engañan a los empleados para que divulguen información confidencial. Además, implemente controles de acceso estrictos para asegurar que los empleados solo puedan acceder a los datos necesarios según el cargo que ocupen. Implementar un sistema de detección de intrusión (IDS) es un paso crucial para proteger su red. Un IDS monitorea su red de forma continua para detectar actividad sospechosa, generando alertas que permiten a los profesionales de seguridad examinar y responder rápidamente a las posibles amenazas. En el supuesto de un ataque de ransomware (secuestro de datos), comunicarse con las autoridades policiales federales puede ayudar a mitigar el ataque, prevenir incidentes futuros y perseguir a los infractores.
A pesar de todas las precauciones, la posibilidad de una filtración de datos sigue ahí. Una respuesta sistemática y eficiente puede minimizar el impacto de forma significativa. Es fundamental que desarrolle un plan integral de respuesta ante incidentes que delinee los pasos detallados que su organización debe seguir en el supuesto de una filtración. Realizar ensayos anuales para probar la eficacia de este plan asegura que su equipo esté preparado para actuar de forma rápida y eficiente.
Es fundamental recordar que los ciberdelincuentes tienen éxito al encontrar y explotar las vulnerabilidades de sus defensas de seguridad. Abordar estas debilidades de forma rápida y eficaz es indispensable para proteger los activos de su organización. Mantenerse informado sobre las amenazas cibernéticas más recientes y adoptar una postura de seguridad proactiva es la característica distintiva de una organización resiliente.
En el complejo panorama de la seguridad cibernética, contar con el apoyo de un experto puede marcar la diferencia. Obtenga más información en pnc.com/businessinsights.
