Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Realiza capacitaciones continuas sobre seguridad informática y prevención de ciberataques a todo el personal de tu empresa para que sepan no solo cómo identificar correos electrónicos sospechosos, sino también los protocolos que deben seguir para reportarlos oportunamente.
Una parte fundamental de la prevención del phishing es el desarrollo de sentido común y una mente escéptica. Es necesario que cada colaborador sea capaz de detectar pequeños detalles sospechosos (como errores ortográficos) o incongruencias (como que una entidad bancaria solicite tu número de tarjeta de crédito a través de correo electrónico) para evitar ser víctima de un ataque.
Configura filtros de correo electrónico en la red empresarial para bloquear correos sospechosos o spam. Estos filtros utilizan información sobre estafas de phishing conocidas y, mediante el uso de inteligencia artificial, son capaces de evitar que aparezcan correos electrónicos con características similares en tu bandeja de entrada.
Adicionalmente, es importante que cualquier dirección de correo electrónico que parezca sospechosa sea marcada como spam, especialmente si contiene archivos adjuntos o enlaces. De esta forma se desviarán correos potencialmente maliciosos de forma automática hacia la bandeja de spam.
Implementa autenticación de dos factores para el acceso a cuentas empresariales, especialmente aquellas que tienen acceso a datos confidenciales o sensibles. Esta barrera adicional de seguridad requiere que cumplas con un segundo paso luego de haber colocado tu contraseña de forma correcta, por lo que aunque un ciberdelincuente logre obtener la contraseña, no podrá acceder a la información que desea.
Usualmente el segundo factor de autenticación consiste en recibir un código por mensaje de texto o correo electrónico, el uso de biometría (como la aplicación de huellas dactilares) o de aplicaciones llamadas autenticadores.
Mantén el software y los sistemas operativos al día con las últimas actualizaciones de seguridad. Esto es de gran importancia, pues cada actualización incluye seguridad más robusta y correcciones de vulnerabilidades que podrían ser aprovechadas por ciberdelincuentes para llevar a cabo un intento de phishing.
De acuerdo a una encuesta de Google sobre ciberseguridad, alrededor del 33% de los usuarios no actualizan periódicamente sus aplicaciones y sistemas operativos, o no recuerdan si lo hicieron o no. De no disminuir este porcentaje en el ambiente empresarial, el riesgo de sufrir un intento de phishing es muy alto.
Instala programas antimalware en todos los dispositivos de la empresa y asegúrate de que estén actualizados y activados. El antimalware está diseñado para detectar sitios web maliciosos y evitar que se descargue malware de forma inadvertida. Algunas de las mejores opciones de antimalware actualmente son las que ofrecen SentinelOne y Malwarebytes.
Una buena opción para complementar las funciones de los programas antimalware o antivirus es el uso de firewalls y complementos del navegador que bloqueen el acceso a sitios web sospechosos y marquen como spam mensajes de correo electrónico maliciosos.
Las políticas de contraseñas consisten en especificar las reglas con las que deben cumplir las contraseñas de la empresa para ser consideradas seguras. Esto puede incluir la cantidad y tipo de caracteres que deben utilizarse, así como términos prohibidos y el tiempo durante el cual será válida la misma. Asegúrate de que todos los empleados las cumplan y sepan cómo crear contraseñas seguras.
Otro punto importante es evitar que las contraseñas sean compartidas o reusadas. Según la misma encuesta de Google, hasta un 52% de los usuarios utilizan la misma contraseña para múltiples cuentas, una práctica que crea brechas críticas en la ciberseguridad de las empresas.
Promueve que se utilicen únicamente cuentas de correo electrónico empresariales, pues son estos los que han sido preparados con filtros y contraseñas seguras, lo cual no está garantizado en las cuentas de correo personales de cada empleado.
A su vez, es ideal que el correo empresarial sea utilizado solo para intercambios relacionados con la empresa, y no para enviar información personal o resolver asuntos no relacionados con la empresa. Un mayor flujo de mensajes en la bandeja de entrada dificulta que mantengas un buen control sobre los correos maliciosos.
Educa a todo el personal sobre la importancia de no hacer clic en enlaces o descargar archivos adjuntos de correos electrónicos sospechosos o desconocidos, incluso si parecen provenir de una fuente conocida. Si desean acceder a una plataforma conocida, lo ideal es que ingresen buscándola directamente en el navegador.
Por otra parte, es importante que sepan reconocer cuándo un sitio web es seguro y auténtico. Para ello, es necesario revisar si la dirección web a la que desean acceder posee un certificado SSL/TLS vigente.
Realiza simulaciones de phishing para evaluar la efectividad de las políticas de seguridad que se han implantado y la capacitación del personal. Lo ideal es que estas pruebas sean llevadas a cabo por expertos en materia de ciberseguridad.
Aunque se apliquen todas las técnicas de protección, existe la posibilidad de que un ciberataque sumamente sofisticado logre romper con las defensas y acceda a información confidencial de la empresa. Por ello, es necesario estar preparados para cualquier escenario, y esto implica el desarrollo de planes de respuesta a incidentes, planes de recuperación de desastres (DRP) y planes de continuidad del negocio (BCP).
De esta manera, la empresa puede actuar rápidamente en caso de un ataque de phishing o ante cualquier otra brecha de seguridad y evitar graves consecuencias.
Aplicando estos diez consejos, puedes disminuir de manera importante la probabilidad de que tu empresa sufra un ataque de phishing. Sin embargo, no todas las empresas cuentan con los conocimientos, la preparación o los recursos para hacerlo de la mejor forma posible.
En Delta Protect podemos ayudarte a evaluar a tus colaboradores simulando correos de suplantación de identidad, y también podemos asesorarte para crear un BCP y un DRP que se adapten a tu empresa y te permitan estar preparado para responder ante cualquier emergencia.
Los ataques de phishing han aumentado considerablemente en los últimos años. Según datos del sitio web CompariTech, las pymes y startups reciben proporcionalmente más mensajes de phishing que las grandes empresas, haciéndolas más susceptibles a ser víctimas de este tipo de ataques.
Por otra parte, de acuerdo con un reporte de la versión latinoamericana del sitio web SecureList, la mayoría de los ataques de suplantación de identidad que ocurrieron en el 2022 se relacionaron con servicios de entrega, tiendas en línea, sistemas de pago e instituciones bancarias.
En este contexto, es necesario contar con una estrategia que te permita proteger tus datos personales (como tus cuentas bancarias y tus redes sociales) y la información de tu empresa.
Comienza hoy agendando una demo de Apolo con nuestros expertos y te ayudamos a automatizar y simplificar la ciberseguridad y cumplimiento de tu pyme o startup, para que tú puedas enfocarte en lo más importante: hacerla crecer.