Solo 41% de las pequeñas y medianas empresas (Pymes) cuenta con un plan activo de gestión de crisis, pues de acuerdo con el 18% de las compañías, no necesitan un plan de recuperación de desastres informáticos, porque no consideran que sean objetivo de un ciberataque, señaló un estudio de la compañía de ciberseguridad, Kaspersky.
El estudio “Ciberresistencia durante una crisis”, expuso que un 10% carece de los conocimientos necesarios para preparar un plan de gestión de crisis, y no todos están conscientes del manejo de la información de la compañía, pues el análisis destacó que casi la mitad de las Pymes no están seguras de que sus empleados despedidos pueden seguir accediendo a la información de la compañía.
Lo anterior porque si un exempleado accede a los servicios de trabajo o sistemas de información puede “hacer mucho daño tanto a su antigua empresa como a su jefe”, señaló Kaspersky, que agregó, con el acceso a bases de datos con información personal de clientes, se pueden filtrar al dominio público o venderlos en la Dark Web, dañando así la reputación de la organización.
En ese caso, los clientes podrían tomar acciones legales y en consecuencia, la empresa recibiría multas; mientras que, en otros casos, si las autoridades reguladoras descubren que alguien ajeno a la compañía tiene acceso a información confidencial, la situación derivaría en una sanción, por ello, es indispensable tomar cartas en el asunto de manera que se disminuyan los riesgos.
Al respecto, el Director de Seguridad de la Información de Kaspersky, Alexey Vovk, compartió algunas medidas que las Pymes pueden aplicar para cuidar sus datos de los exempleados:
- conocer los riesgos y estar al día en materia de ciberseguridad para saber si la solución de seguridad disponible proporciona la protección necesaria
- minimizar el número de personas con acceso a datos corporativos importantes y mantener un registro de estas
- hacer una lista de contactos clave para saber a quién recurrir en caso de un ciberataque e implementar un sistema de comunicación rápida y segura con ellas
- enseñar a los empleados a detectar un incidente, por ejemplo, con el funcionamiento lento de los ordenadores, bloqueo de cuentas de usuarios o la imposibilidad de acceder a documentos
- realizar simulacros internos de emergencia de forma periódica
- mantener los planes de acción y comunicación en situaciones de crisis fuera de línea, ya que los sistemas informáticos pueden no estar disponibles
- desarrollar y aprobar por adelantado plantillas de comunicados de prensa para distintos tipos de incidentes y emergencias
- establecer estrictas políticas de acceso a los recursos corporativos, entre ellos el correo electrónico, las carpetas compartidas y los documentos en línea
- establecer instrucciones claras para crear y cambiar las contraseñas
- Al despedir a un empleado, retirarles todas sus claves de acceso