La protección de los datos es un habilitador de negocios. Descubre cómo proteger el activo más grande de tu startup, cumplir las regulaciones y crecer sin límites.
Tiempo de lectura: 5 minutos
Si trabajas en la industria fintech o con instituciones financieras (lo que es muy probable), seguro que tu preocupación principal es el incremento de las ventas y la satisfacción de tus clientes.
Aunque no es todo lo que importa, ya que por la naturaleza de tu negocio, tratas con muchos datos: desde la identidad de tus usuarios, hasta los inevitables documentos digitales que tus empleados te envían: comerciales, financieros, técnicos, jurídicos y, más aún, confidenciales.
Y ¿no valen las empresas más por sus datos que por su negocio? Desde la era del Internet, los datos valen tanto o más que el oro y la responsabilidad de protegerlos es mayor si tu negocio se centra en otorgar seguridad de identidad a quienes transaccionan periódicamente en tu plataforma. Pero no solo eso.
Imagina un segundo que estás negociando con una financiera o banco, y cuando estás apunto de cerrar ese gran trato, descubres que uno de los requisitos es cumplir con varias políticas de seguridad… y tú no cumples ninguna. Todo se detiene por meses. Es por esto que tenerlas implementadas de antemano te dará una mejor capacidad de respuesta a los incidentes, hará más escalable tu negocio y te evitará pérdidas económicas y de reputación.
Y es que hay algo que debes saber: cumplir con estos requerimientos básicos de ciberseguridad es lo más importante para cualquier contratación con bancos, corporativos o incluso para estar alineado a los requerimientos en materia de protección de datos de la CMF en Chile, CNBV en México o la SFC de Colombia.
Según Cisco, más de un tercio de las startups que sufrieron una importante violación en su seguridad perdieron más del 20 por ciento de sus ingresos, clientes u oportunidades de negocio. Esto demuestra claramente que una startup tiene mucho más que datos en juego cuando se trata de seguridad. En pocas palabras, al no tomar medidas para mantener su organización segura, se arriesga el crecimiento.
¿Cómo hacerlo en tu startup? Aquí hay algunos consejos para mejorar tu ciberseguridad y planificar con más confianza (y de una vez por todas) la expansión de tu negocio.
Comprender los datos
Parece cliché, pero el primer paso es detectar qué tipo de datos manejamos, porque clasificar la información te permitirá conocer cuál es su nivel de confidencialidad: si son sensibles, privados o públicos.
Muchas veces nos limitamos a proteger los datos de los clientes, y dejamos de lado el cuidado de datos de nuestros empleados y proveedores o hasta incluso los financieros.
En este caso, pensar en acuerdos de confidencialidad es redundante, pero es nuestra principal herramienta legal para protegernos ante un mal uso o comunicación de los datos.
Ubicación y acceso a los datos
Muchas startups caen en la afirmación errónea de que la protección más importante la debe tener la base de datos. Sin embargo, el intercambio de datos confidenciales se da de forma frecuente por email o por Google Drive y eso las convierte en la principal puerta de ataque. Por ello ten en cuenta que todo ese envío y recepción de datos es un punto muy importante a cuidar.
Incluso si alguna vez por apuros o corridas, envías documentos equivocados por email o te llevas archivos para terminar en casa por falta de tiempo, podrías causar una filtración de datos o brecha de seguridad, aun cuando pongas todo el cuidado de tu parte.
Hace un año, la plataforma de exchange de criptomonedas, BitMex, fue hackeada y eso generó una puerta de ataque enorme tras enviar accidentalmente un mensaje a la mayoría de sus usuarios con las direcciones de correo de otros usuarios. Esto fue debido a que no aplicaron un protocolo de copia oculta (cco) a sus servidores y afectaron la seguridad de 22.000 personas, exponiendolas al spam, el phishing y a los hackers que tienen repositorios gigantes de contraseñas que la gente suele utilizar.
El fallo también afectó la reputación de BitMex, y la razón es simple: la confianza es primordial en la industria fintech.
Aquí es importante evaluar dónde residen los datos y/o por donde son transmitidos, así tendrás noción de las medidas que puedes tomar para garantizar su seguridad: desde cómo los transmitimos a los clientes y proveedores hasta cómo cifrarlos.
Por otro lado, debes saber quién tiene acceso a la información y cómo puede verla (esto es conocer el esquema de accesos) para evitar una posible filtración de datos. Pero también, hay algunos puntos claves que no debes olvidar para esto, como el de retirar los permisos de acceso a documentos que sean confidenciales, otorgarle la protección por contraseñas necesaria a los documentos privados o sensibles, y cifrar mediante criptografía sólida la información de la base de datos.
Capacitar e incentivar a los empleados
Aunque parezca menor, capacitar a nuestros empleados en ciberseguridad es importante para tratar de que la falla humana sea la menor posible.
Los empleados pueden compartir mucha información sobre la empresa sin darse cuenta, es por ello que debes dar a conocer tanto las reglas básicas de seguridad como la responsabilidad que cada uno tiene de ponerlas en práctica.
Desde hoy tienes que saber lo siguiente: todos tenemos el papel de protagonista en la ciberseguridad y protección de los datos de nuestra empresa.
Déjales presente a tus empleados siempre consejos básicos como el no utilizar la misma contraseña para todos los sitios, generar contraseñas sin datos predecibles (como fechas de cumpleaños, nombres y apellidos, etc.) o almacenar datos sólo en servicios de la nube con doble autenticación.
Siempre un Plan B
Debes tener un Plan B para saber cómo reaccionar ante cualquier ataque o infiltración.
En septiembre de 2017, debido a un fallo de seguridad en Equifax, fueron filtrados los datos de 143 millones de personas. La gestión de la crisis desbordó a la empresa y su manejo no fue el mejor: en lugar de notificarle a las víctimas del robo, la empresa subió una página web, con todavía más vulnerabilidades, para que los clientes lo comprobaran por sí mismos.
Este triste evento finalizó con un acuerdo donde Equifax tuvo que llegar al acuerdo de pagar entre 300 y 425 millones de dólares a las víctimas y otros 275 millones por multas civiles.
Aquí es clave activar un plan de contingencia y saber cuál es la capacidad de respuesta ante los incidentes se torna primordial. También, preguntarnos cómo recuperaremos los datos (y la operación) ante cualquier ciberataque o incidente que suceda en el peor escenario.
Puede comenzar por realizar un backup diario de los datos para poder restaurarlos y comenzar a operar inmediatamente luego de un incidente. Esto demostrará que tienes una buena capacidad de respuesta ya que tu negocio puede desarrollarse correctamente pese a los problemas e incidentes.
¿Estoy en riesgo?
Recientemente, IBM presentó un informe que demuestra que las empresas vulneradas que probaron de forma extensiva un plan de respuesta ante incidentes se ahorraron costos por 3,58 millones de dólares en promedio.
Si comienzas por estos pasos detallados arriba podrás evitar la exposición de tus datos e identificar si cumples con las medidas básicas de ciberseguridad. Ya puedes notar que entre mayor sea la capacidad de respuesta ante incidentes de ciberseguridad, mayor será el ahorro de costos de brechas de seguridad.
Estas medidas debieran estar en un marco de políticas de seguridad de la información y ciberseguridad implementadas de forma meticulosa y con una revisión que garantice su mantenimiento a lo largo del tiempo. Si quieres conocer más sobre cómo crear una estrategia sencilla y completa que se adapte a tu negocio o estás por crear negocios bajo nuevas regulaciones, contáctanos para que podamos ayudarte. Somos Hackmetrix. Somos ciberseguridad para startups.