En los últimos años, las pequeñas empresas se han visto cada vez más atacadas por ciberdelincuentes y ciberataques. Lo que antes se consideraba un problema que sólo enfrentaban las organizaciones más grandes se ha convertido en algo con lo que los propietarios de pequeñas empresas se ven obligados a lidiar a diario para mantener seguros sus negocios y sus clientes.
Los piratas informáticos y otros ciberdelincuentes tienden a preferir las pequeñas empresas porque se les considera más vulnerables a las amenazas.
Es importante que estas pequeñas organizaciones se anticipen a posibles amenazas y sean proactivas en sus estrategias de seguridad de TI. El primer lugar para comenzar es con un Auditoría de seguridad completa.
Los siguientes son algunos consejos específicos para pequeñas empresas para comenzar antes de una auditoría de seguridad de TI.
Sepa lo que necesita ser revisado y probado
Primero, necesita conocer los parámetros de su auditoría. Esto requiere delinear exactamente cuáles son sus activos. Esto incluye sus activos de hardware, como su equipo informático real, así como sus activos intangibles, que en el entorno actual basado en la nube pueden ser la mayor parte de lo que observará durante su auditoría.
Muchos profesionales de seguridad de TI recomiendan que las empresas definan lo que se llama un perímetro de seguridad, que es el límite más pequeño posible en la mayoría de los casos, que tiene los activos que necesita examinar para su negocio.
Un ejemplo de algunos de los activos a tener en cuenta incluye no sólo computadoras sino también enrutadores, equipos de red, impresoras, cámaras de correo electrónico, sistemas VoIP, sitios web, cámaras de seguridad y datos, pero esta es solo una breve lista.
¿Cómo desea realizar una auditoría?
Existen algunas opciones diferentes sobre cómo realizar una auditoría de seguridad de TI. En primer lugar, podría gestionarlo internamente, pero normalmente no se recomienda. También puede utilizar un auditor externo o puede utilizar herramientas y software de consultor de seguridad virtual que realizarán escaneo de rede identificar posibles vulnerabilidades.
La opción que elija dependerá de una variedad de factores, incluido el presupuesto y los objetivos.
Definir prioridades
Cuando usted es una pequeña empresa, probablemente tendrá que priorizar qué activos son más importantes para usted durante su auditoría, y la prioridad generalmente se define observando las amenazas que probablemente sean las más importantes para usted. Esto puede basarse en las amenazas de otras empresas o en su propia experiencia pasada con diversas amenazas.
Por ejemplo, es más probable que la información de sus clientes sea pirateada que un desastre natural que borre sus datos, así que así es como debe guiarse su auditoría.
Finalmente, cuando estés preparándose para una auditoría de seguridad, cree lo que se llama una lista de control. Esto se refiere a una lista de las personas que tienen acceso a la información. Siempre es importante saber quién puede acceder a qué durante una auditoría de seguridad y mitigar los riesgos potenciales de tener demasiadas personas con demasiado acceso.
Una vez que haya seguido los pasos anteriores, estará listo para que comience su auditoría real, ya sea que la realice internamente o un tercero.