La realidad es que las pymes son cada vez más un objetivo para el cibercrimen y deben hacer frente a ciberamenazas que ponen en riesgo sus negocios.
• No disponer de un análisis de riesgos sobre los datos de negocio y de gestión imposibilita establecer las prioridades de protección de datos y de los activos de información.
• La dotación insuficiente de recursos financieros para la protección de los datos no permite implantar las soluciones necesarias imprescindibles de protección.
• La falta de protección de la información de la empresa y de la propiedad intelectual puede provocar un debilitamiento de la marca y de la reputación, y la pérdida de ventas.
• No disponer de procedimientos y alertas para hacer frente a intrusiones de tipo ingeniería social como son las trampas y el engaño que se lleva a cabo mediante correo electrónico.
• No proteger suficientemente la infraestructura de red externa de internet y entornos web para evitar ataques de denegación de servicio (DDoS).
• No disponer de un plan de copia y restauración de los datos de la empresa y del negocio, lo que impide recuperar los datos en caso de pérdida por causas diversas, como un error humano o una intrusión de encriptación de datos en software de rescate (ransomware).
• No tener un plan de contingencias para hacer frente a eventuales desastres de amplio alcance, tales como catástrofes naturales, incendios o inundaciones, que pudieran acabar interrumpiendo las operaciones de negocio e impidiendo la prestación de servicios a los clientes.
• Sensibilizar a los directivos y empleados en la importancia de llevar a cabo buenas prácticas de seguridad sobre el tratamiento de datos y hacerles conocedores de cómo utilizar correctamente los mecanismos de gestión de contraseñas y de protección de acceso a los datos con identificación de doble factor, y que lo hagan y lo practiquen con responsabilidad.
• Tener el software y el hardware informáticos protegidos con firewall, programas antimalware y antivirus.
• Tener habilitadas herramientas de detección de escape de datos como las llamadas DLP (Data Leak Prevention), que evitan la extracción de datos por cualquier mecanismo automatizado, programa, algoritmo o persona interna o externa no autorizada.
• Actualizar constantemente los conocimientos de los empleados en materia de ciberseguridad, porque las amenazas y las intrusiones están sujetas a un ciclo de cambio y evolución extremadamente dinámico.
• Maximizar la protección mediante herramientas como el uso de VPN, entre otros.
• Implementar las soluciones de informática en la nube, lo que ofrece resiliencia en la disponibilidad de la infraestructura de almacenamiento y del procesamiento seguro de datos.
• Contratar soluciones y servicios a empresas especializadas en servicios de ciberseguridad que dispongan de profesionales certificados en las distintas competencias de seguridad que puedan ayudar a responder en caso de contingencia.