Las excepciones a nivel de permisos, la poca planificación de los procesos de seguridad y la falta de capacitaciones dirigidas al usuario estándar, convierten a las pequeñas y medianas empresas (pymes) en objetivos fáciles para el código malicioso y la fuga de información.
Así lo afirmó el coordinador de Awareness & Research para Latinoamérica de la empresa de seguridad ESET, Sebastián Bortnik, quién visitó el país en mayo para participar en las actividades del Technology Day .
¿Cuáles son los ataques que más afectan la seguridad informática de las pymes ?
Lo que golpea directamente son los ataques automatizados, los códigos maliciosos y la fuga de información, especialmente porque las pymes tienen grandes diferencias entre lo que representan los problemas de seguridad actualmente y la cantidad de recursos que pueden invertir para protegerse.
Respecto a las fugas de información, ¿Qué errores las facilitan?
Lo principal es que no hay una evaluación de la información. La mayoría de pymes improvisan la seguridad, nunca se sientan a ver qué información tienen, cuánto vale y cómo protegerla, eso provoca diversas irregularidades, como que se protege toda la información con recursos iguales, cuando no tiene el mismo valor y se le asignan controles muy limitados al usuario estándar, pero permisos administrativos a los gerentes o a los empleados de IT.
¿Falta capacitación para el usuario estándar?
Es un punto clave, ya que la mayoría de ataques se están basando en la ingeniería social, pero según nuestros estudios, menos del 50% de las empresas tienen planes periódicos de educación en seguridad.
¿Cómo afecta que en la mayoría de pymes la seguridad esté en manos del departamento de IT?
En la medida de lo posible, la seguridad nunca debería depender exclusivamente de IT, es un problema grave porque provoca un cruce de objetivos, por ejemplo: ¿Qué es más importante, que un servidor esté funcionando o que esté seguro? El responsable de seguridad no puede ser también responsable de usabilidad.
¿Cómo puede desarrollar una pyme un plan exitoso de seguridad?
Lo más importante es que vean esto como un proceso y no como un proyecto, en seguridad de la información, uno no puede decir: “Voy a proteger en este momento mi empresa”, porque dentro de tres meses hay nuevos ataques. Además, deben entender que la seguridad no es solo un problema tecnológico, deben haber procesos de gestión, de política, de educación, etc.
“Finalmente, algunos consejos que no son optativos, son tener tecnologías básicas de protección, mantener los sistemas actualizados y no tener usuarios con permisos administrativos”.
Fuente: elfinancierocr.com
No hay comentarios:
Publicar un comentario