El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) generó la guía “Seguridad de la Información para pequeñas empresas: Los fundamentos» que tiene como objetivo proporcionar recomendaciones de seguridad cibernética básicas para las pequeñas empresas a través de un proceso de evaluación de riesgos.

«Las empresas de todos los tamaños se enfrentan a riesgos potenciales, por lo tanto deben tener en cuenta su seguridad cibernética», mencionó Pierluigi Paganini. «Las pequeñas empresas pueden incluso ser vistas como blancos fáciles para conseguir de las grandes empresas cadenas de suministro o portales de pago».

«Muchas pequeñas empresas piensan que la ciberseguridad es demasiado cara o difícil, la guía Seguridad de la información en pequeñas empresas está diseñada para estas», dijo NIST al presentar la guía. «De hecho, es posible que tengan más que perder las organizaciones grandes, porque los eventos de seguridad pueden ser costosos y poner en peligro su supervivencia.» El NIST encontró que 60% de las pequeñas empresas cerró dentro de los seis meses después de un ataque cibernético.

Esta guía es un ejercicio importante para los propietarios de pequeñas empresas que no tienen experiencia en seguridad cibernética, se les explica cómo proteger sus sistemas de información de las amenazas informáticas.

La seguridad de la información para empresas pequeñas propone un enfoque clásico que sigue los pasos de identificar/proteger/detectar/responder/recuperar la comprensión y la gestión de riesgos en las pequeñas empresas. La guía también incluye hojas de trabajo que podrían ser utilizadas por las pequeñas empresas para identificar la información que manejan. Es esencial evaluar los activos de información e identificar los riesgos potenciales a la misma.

La guía se basa en el marco de NIST para proveer ciberseguridad en las infraestructuras críticas, que se publicó en 2014.

El NIST ha destacado que la nueva guía describe cómo:

  • Limitar el acceso de los empleados a los datos y la información
  • Capacitar a los empleados acerca de la seguridad de la información
  • Crear políticas y procedimientos de seguridad de la información
  • Cifrar datos
  • Instalar filtros web y de correos electrónicos
  • Parches o actualización en sistemas operativos y aplicaciones.

La guía también sugiere instalar protectores de sobretensión y sistemas de alimentación ininterrumpida, teniendo en cuenta la transferencia de riesgos de seguridad cibernética y encontrar contratistas de seguridad cibernética de buena reputación.

Fuente: UNAM 15/11/2016