La seguridad de la información y las start-ups

17 Abr 2019

Las empresas emergentes o start-ups suelen surgir de alguien que tiene una idea y que quiere ponerla en práctica lo antes posible. Como norma general, el presupuesto es ajustado y los gastos se disparan, debido al desarrollo del producto, la promoción y todo lo demás. A la hora de gestionar las prioridades, a menudo estos empresarios descuidan la seguridad de la información y hoy vamos a explicar en esta publicación por qué esto no debería ser así.

La salvación del ciberdelincuente es la condena de la start-up

Muchas empresas emergentes intentan ahorrar en seguridad, confiando en que una empresa pequeña con pocos recursos no atraerá la atención de los delincuentes. Pero lo cierto es que cualquiera puede acabar siendo víctima del cibercrimen. En primer lugar, esto se debe a que muchas amenazas se distribuyen en masa, los desarrolladores van a lo grande e intentan alcanzar al máximo de empresas con la esperanza de que al menos alguna le genere beneficios. Y, en segundo lugar, como no suelen estar bien protegidas, se convierten en un objetivo muy atractivo para los ciberdelincuentes.

Si tenemos en cuenta que a las grandes empresas a veces les cuesta meses recuperarse de un ciberataque, una pequeña podría no llegar ni a sobrevivir. Por ejemplo, en el 2014, un grupo de ciberdelincuentes provocó el cierre de una start-up llamada Code Spaces, un proveedor de alojamiento con herramientas para la gestión conjunta de proyectos. Los atacantes accedieron a los recursos en la nube de la compañía y destruyeron una parte considerable de los datos de sus clientes. Los propietarios del servicio restauraron todos los datos que pudieron, pero les fue imposible volver a la actividad normal.

Errores que podrían acabar con tu empresa

Dado el presupuesto limitado, para proteger tu empresa emergente en perfectas condiciones puedes desarrollar un modelo de amenazas antes de su lanzamiento, de esta forma podrás conocer los riesgos a los que se enfrentaría tu negocio. A continuación, vamos a echarte una mano recopilando algunos de los errores más comunes de los emprendedores.

1.Desconocimiento de las leyes de procesamiento y de almacenamiento de datos personales

Muchos gobiernos intentan proteger la seguridad de sus ciudadanos. Por ejemplo, Europa cuenta con el RGPD y en Estados Unidos hay diferentes legislaciones dependiendo de la industria y del estado. Todas estas leyes se aplican, independientemente de si las has leído o no.

La sanción por el incumplimiento de los requisitos jurídicos correspondientes puede variar, pero lo más probable es que esta negligencia te cueste mucho dinero, de hecho, la pena mínima es una multa, una de las grandes. En el peor de los casos, te verás obligado a suspender la actividad hasta cumplir por completo con las leyes pertinentes.

Otro dato importante es que a veces la ley cuenta con una cobertura más amplia de la que crees. Por ejemplo, el RGPD se aplica a todas las compañías que manejan datos de ciudadanos europeos, incluso aquellas de Rusia o Estados Unidos. Por tanto, la mejor política sería atender tanto las regulaciones nacionales como las de tus clientes y socios.

2.Una protección débil de los recursos en la nube

Muchas empresas emergentes confían en los servicios en la nube públicos, como Amazon AWS o Google Cloud, pero no todos utilizan los parámetros de seguridad apropiados para este tipo de almacenamiento. En muchos casos, la única protección de los contenedores que almacenan datos de clientes o códigos de aplicación web consiste en contraseñas débiles, además, los documentos corporativos internos quedan accesibles a través de enlaces directos y son visibles para los motores de búsqueda.

3.Falta de preparación frente a los ataques DDoS

Los ataques DDoS son una forma de derribar un recurso de Internet. En la darknet, estos servicios son relativamente baratos y, por tanto, resultan asequibles tanto para la competencia como para los ciberdelincuentes, que los necesitan para cubrirse en los intentos de ataque más sofisticados.

En el 2016, un servicio de monedero electrónico de criptomonedas llamado Coinkite se vio obligado a cerrar debido a los continuos ataques DDoS. Según sus desarrolladores, no han vivido ni un solo momento de calma desde que lanzaron el servicio. Tras aguantar varios años, finalmente la empresa se rindió y se volvió a entrar en los monederos físicos.

4.Los empleados están poco concienciados

Los trabajadores suelen ser el eslabón más débil de cualquier empresa. Los atacantes lo saben y utilizan estrategias de ingeniería social para penetrar en la red corporativa o interceptar información confidencial.

Esta falta de concienciación es aun más peligrosa para las empresas que contratan a autónomos, ya que es todo un desafío controlar qué dispositivos y qué redes utilizan para trabajar. Por ello, es muy importante motivar y conducir la actitud de todos los trabajadores hacia la seguridad.

Cómo mantener a flote tu start-up

Para evitar a los ciberdelincuentes y seguir en el negocio, concédele la consideración necesaria a la ciberseguridad cuando desarrolles tu estrategia empresarial:

  • En primer lugar, averigua qué recursos necesitan protección y qué herramientas de seguridad puedes asumir en las fases iniciales. De hecho, muchas de ellas no supondrán mucho gasto.
  • Utiliza contraseñas seguras para proteger tus dispositivos y cuentas del trabajo. Nuestra solución Kaspersky Small Office Security cuenta con la herramienta Kaspersky Password Manager integrada para generar contraseñas seguras y almacenarlas en contenedores cifrados. Utiliza la autentificación de doble factor, está por todos lados y podemos afirmar que funciona realmente.
  • Revisa de forma meticulosa las leyes de almacenamiento de datos de los países en los cuales tienes pensado trabajar y asegúrate de que el flujo de trabajo del almacenamiento y procesamiento de la información personal de tu compañía sea compatible con estos requisitos legales. Además, consulta con los abogados las trampas y dificultades de cada mercado en cuestión siempre que sea posible.
  • Sigue de cerca la seguridad del software y los servicios de terceros. ¿Está bien protegido el sistema de desarrollo colaborativo que utilizas? ¿Puedes confiar en tu proveedor de alojamiento? ¿Hay alguna vulnerabilidad conocida en las bibliotecas de código abierto que utilizas? Todas estas preguntas deberían interesarte al menos tanto como las propiedades de consumo del producto final.
  • Aumenta los conocimientos en ciberseguridad de tus empleados y anímalos a indagar en el tema por su cuenta. Si tu empresa no cuenta con profesionales del mundo de la ciberseguridad (lo cual es normal en una start-up), al menos busca a alguien que tenga cierto interés en el tema y que podría empezar siguiendo nuestro blog.
  • No te olvides de la protección de la infraestructura de los ordenadores. Tenemos una solución para empresas con presupuestos limitados que te ayudará a automatizar la supervisión de la seguridad en tus estaciones de trabajo y servidores y a realizar pagos online de forma segura, además, no requiere conocimientos en administración.