Proteja las computadoras y las redes.

Instale software de seguridad y antivirus que proteja contra malware o software malicioso, que puede acceder a un sistema informático sin el consentimiento del propietario para una variedad de usos, incluido el robo de información. Además, utilice un programa de cortafuegos para evitar el acceso no autorizado. Las opciones de protección varían, así que encuentre una que sea adecuada para el tamaño y la complejidad de su empresa. Actualice el software, según corresponda, para mantenerlo actualizado. Por ejemplo, configure el software antivirus para que ejecute un análisis después de cada actualización. Si utiliza una red inalámbrica (Wi-Fi), asegúrese de que sea segura y esté cifrada. Proteja el acceso al enrutador usando contraseñas seguras. 

Requerir autenticación fuerte.

Asegúrese de que los empleados y otros usuarios que se conectan a su red utilicen identificaciones de usuario y contraseñas seguras para computadoras, dispositivos móviles y cuentas en línea mediante el uso de combinaciones de letras mayúsculas y minúsculas, números y símbolos que sean difíciles de adivinar y que se cambien regularmente. Considere implementar la autenticación multifactor que requiere información adicional más allá de una contraseña para obtener acceso. Consulte con los proveedores que manejan datos confidenciales para ver si ofrecen autenticación multifactor para acceder a sistemas o cuentas. 

Controle el acceso a datos y computadoras y cree cuentas de usuario para cada empleado.

Tome medidas para limitar el acceso o el uso de las computadoras comerciales a las personas autorizadas. Guarde bajo llave las computadoras portátiles cuando no estén en uso, ya que pueden ser fácilmente robadas o perdidas. Requerir que cada empleado tenga una cuenta de usuario separada y prohibir que los empleados compartan cuentas. Solo proporcione a los empleados acceso a los sistemas de datos específcos que necesitan para hacer su trabajo y no les permita instalar software sin permiso. Además, asegúrese de que solo los empleados que necesitan privilegios administrativos, como el personal de TI y el personal clave, los tengan y revise regularmente su necesidad continua de acceso. 

Enseñar a los empleados los conceptos básicos.

Establezca prácticas y políticas de seguridad para los empleados, como pautas adecuadas de uso de Internet, y establezca expectativas y consecuencias para las violaciones de las políticas. Establezca una cultura corporativa de arriba hacia abajo que enfatice la importancia de una fuerte ciberseguridad, especialmente cuando se trata de manejar y proteger la información del cliente y otros datos vitales. Asegúrese de que todos los empleados sepan cómo identificar y reportar posibles incidentes de seguridad. 

Capacite a los empleados para que tengan cuidado de dónde y cómo se conectan a Internet.

Los empleados y terceros solo deben conectarse a su red mediante una conexión segura y de confianza. Es posible que las computadoras públicas, como las de un cibercafé, el centro de negocios de un hotel o la biblioteca pública, no sean seguras. Además, sus empleados no deben conectarse a la red de su empresa si no están seguros de la conexión inalámbrica que están utilizando, como es el caso de muchas redes Wi-Fi gratuitas en "puntos de acceso" públicos. Puede ser relativamente fácil para los ciberdelincuentes interceptar el tráfico de Internet en estos lugares. 

Capacite a los empleados sobre los peligros de los correos electrónicos sospechosos.

Los empleados deben sospechar de los correos electrónicos no solicitados que les piden que hagan clic en un enlace, abran un archivo adjunto o proporcionen información de la cuenta. Es fácil para los ciberdelincuentes copiar el logotipo de una empresa u organización de renombre en un correo electrónico de phishing. Al cumplir con lo que parece ser una simple solicitud, sus empleados pueden estar instalando malware en su red. La estrategia más segura es ignorar las solicitudes no solicitadas, sin importar cuán legítimas parezcan. 

Parchea el software de manera oportuna.

Los proveedores de software proporcionan regularmente parches o actualizaciones a sus productos para corregir fallas de seguridad y mejorar la funcionalidad. Una buena práctica es descargar e instalar estas actualizaciones de software tan pronto como estén disponibles. Puede ser más eficaz configurar el software para instalar dichas actualizaciones automáticamente.

Realice copias de seguridad de sistemas y datos importantes.

Realice copias de seguridad periódicas de los datos de los ordenadores utilizados por su empresa. Recuerde aplicar las mismas medidas de seguridad, como el cifrado, a sus datos de respaldo que aplicaría al original. Además de las copias de seguridad automáticas, haga copias de seguridad periódicas de los datos comerciales confidenciales en un dispositivo de almacenamiento en una ubicación secundaria que sea segura.

Preste mucha atención a sus cuentas bancarias y esté atento a los retiros no autorizados.

Establezca controles adicionales, como llamadas de confirmación antes de que se autoricen las transferencias financieras con la institución financiera. En los últimos años, ha habido un aumento en las transferencias electrónicas no autorizadas realizadas desde cuentas bancarias de empresas. Una estafa común es la apropiación de una cuenta en la que los ciberdelincuentes usan software malicioso, como registradores de pulsaciones de teclas, para obtener los ID y las contraseñas de las cuentas bancarias en línea y luego realizar retiros. Otra estafa llamada Business Email Compromise se dirige a las empresas al falsificar solicitudes de pago para proveedores legítimos y dirigir los fondos a la cuenta del ciberdelincuente. Las empresas generalmente no están cubiertas por las protecciones federales al consumidor contra las transferencias electrónicas de fondos no autorizadas. Por lo tanto, es posible que su institución financiera no sea responsable de reembolsar las pérdidas asociadas con el robo si la negligencia por parte de su negocio, como computadoras no seguras o caer en estafas comunes, fueron factores en la pérdida. 

No te olvides de las tabletas y los teléfonos inteligentes.

Los dispositivos móviles pueden ser una fuente de desafíos de seguridad, especialmente si contienen información confidencial o pueden acceder a la red de su empresa. Si sus empleados conectan sus dispositivos a la red de la empresa, solicíteles que protejan con contraseña sus dispositivos, cifren sus datos e instalen aplicaciones de seguridad para evitar que los delincuentes accedan al dispositivo mientras está conectado a redes públicas. Asegúrese de desarrollar y hacer cumplir los procedimientos de notificación de equipos perdidos o robados. 

Tenga cuidado con las transacciones y facturas fraudulentas.

Las estafas pueden variar desde pagos con un cheque sin valor o una tarjeta de crédito o débito falsa hasta devoluciones fraudulentas de mercancías. Asegúrese de tener un seguro para protegerse contra los riesgos. Además, asegúrese de informar cualquier irregularidad de inmediato. 

Edúcate tu mismo.

Para obtener más información sobre cómo proteger su empresa, visite la sección “Stop. Pensar. Conectar." recursos para pequeñas empresas en https://www.dhs.gov/publication/stopthinkconnect-small-business-resources.