El mayor problema de seguridad de la información para las pequeñas empresas es sobrellevar la complejidad de sus sistemas cuando no tienen a nadie con el conocimiento especializado sobre cómo proteger los datos, y tal vez ningún especialista de TI..

Louise Bennett, Presidenta del Grupo de Especialistas en Seguridad de la Información del Chartered Institute for IT (BCS), dice que es un problema importante. Hay fuentes de información en la web para tratar la mayoría de los problemas, y siempre existe la opción de contratar a un consultor, pero cualquier empresa que quiera mantener sus datos confidenciales necesita un nivel básico de entendimiento interno..

Hay evidencia de que las pequeñas empresas están sufriendo; en abril, el Departamento de Negocios y Habilidades (BIS) publicó la Encuesta anual sobre violaciones a la seguridad de la información, que muestra que el 87% de las pequeñas empresas había sufrido una violación en el año anterior, con un número medio que aumentó de 11 a 17.

Bennett dice que cree que es realista para una pequeña empresa desarrollar el entendimiento para ubicarse en la minoría que no está afectada.

Preguntas obvias

"Es perfectamente razonable sentarse y hacerse las preguntas obvias", dice ella. "Primero, ¿mi negocio se verá afectado negativamente si pierdo mis activos de TI o si mi internet se cae o lo que sea??

"Para algunas empresas, es posible que no cause un problema, pero es muy probable que esté utilizando Internet para adquirir productos y pagar. Hay investigaciones confiables que demuestran que para las empresas en las que la información es una parte importante de su negocio, si su TI cae por más de una semana, entonces un número significativo quedará fuera del negocio.

"Creo que todas las pequeñas empresas son capaces de hacer ese tipo de evaluación de riesgos, preguntándome qué significa eso para mí y demostrando que entiendes que comprendes esa parte lo suficientemente bien, y si no lo haces, recibes ayuda".

El primer paso debe ser evaluar los riesgos para la empresa si se pierden, se roban o se vuelven inaccesibles diferentes tipos de datos debido a fallas de TI. Bennett dice que el Instituto de Directores proporciona información útil sobre gestión de riesgos y seguridad para pequeñas empresas, y la Oficina del Comisionado de Información proporciona orientación sobre temas de protección de datos.

Tecnología directa

El lado tecnológico es bastante sencillo, incluso si muchas pequeñas empresas no prestan suficiente atención.

"Cuando compra su sistema informático, debe comprar un producto de seguridad de buena calidad y mantenerlo actualizado", dice ella. "Si recopila datos personales o tiene alguna propiedad intelectual que proteger, necesita hacer un cifrado básico, y eso puede hacerse de manera razonablemente fácil y sensata".

A veces, las versiones gratuitas de antivirus o antispyware pueden hacer el trabajo, pero ella dice que para la mayoría de los propósitos es necesario invertir en herramientas de nivel superior que ofrezcan una protección más completa..

BCS publicó recientemente consejos sobre seguridad de TI en forma de una guía gratuita que cubre 10 áreas: seguridad perimetral; seguridad física; autenticación de acceso; gestión de privilegios; comercio en línea; redes sociales; computación móvil y comunicaciones; grupos vulnerables; cumplimiento de las leyes de confidencialidad; y la recolección de evidencia.

Bennett dice que dos de los sobresalientes reflejan los puntos ya señalados sobre las evaluaciones de riesgos y el software de seguridad, y el tercero es garantizar que cualquier acceso móvil a una empresa esté bien asegurado.

Fideicomiso para e-business

Hay otro paso relevante para el negocio electrónico que le gustaría ver que a menudo no es una opción en el Reino Unido; el uso de cuentas de depósito en garantía para garantizar que ambas partes son buenas para una transacción.

"No se usa mucho en este país, sin embargo, es algo muy sensato, especialmente cuando empiezas a tener una relación", dice. "Para asegurarse de que recibe el pago y todo está bien, es bastante sensato solicitar que se lo ponga en garantía".

Ella ha sugerido que BIS se establece como un tercero de confianza en el patrocinio de acuerdos de custodia para ayudar a las empresas más pequeñas a lidiar con clientes extranjeros de manera más segura. Por el momento es una idea que parece estar lejos de la fructificación..

También se pregunta cuánto dinero debe gastar una empresa para garantizar su seguridad. A veces se afirma que la seguridad de TI es un costo que debe equilibrarse con el riesgo relevante.

Bennett dice que no hay una relación clara aquí, y que todo es muy específico al contexto: algunas empresas operan en mercados donde sus datos son más atractivos para los delincuentes cibernéticos. Pero ella afirma que en la mayoría de los casos se trata más de planificar que de gastar..

"La gran mayoría se reduce a planificar, analizar las cosas, entender a partir de su modelo de negocio donde tiene riesgos", dice. "No necesariamente tienes que gastar una fortuna en ello, haces las cosas sensatas.

"Pero si se trata de llegar a un área que no entiendes, debes gastar algo de dinero para obtener ayuda y consejos".