Maximizar la seguridad y minimizar los costos: Consejos de un profesional de ciberseguridad en startups
Gestionar los riesgos de ciberseguridad es complicado para empresas de cualquier tamaño. Pero puede ser especialmente desafiante para startups con personal y recursos financieros limitados para invertir en un software de ciberseguridad robusto—un hecho que conozco bien por mi experiencia ayudando a supervisar la ciberseguridad de una startup en el sector de gestión de costes en la nube.
Por suerte, encontrar formas de estirar los presupuestos de ciberseguridad es factible. Comienza aprovechando "los frutos más fáciles": acciones que las empresas pueden llevar a cabo para mejorar la seguridad y que son de bajo coste pero de alto impacto.
A continuación, te mostramos ejemplos de estas prácticas y las razones por las que las startups que cuidan sus costes deberían adoptarlas como una manera de reducir riesgos sin poner freno al crecimiento.
Want more from The CTO Club?
Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.
Have an account? Log In
Por qué las startups tienen dificultades con la ciberseguridad
Antes de hablar de los pasos rentables que pueden tomar las startups para reducir los riesgos de seguridad, consideremos por qué las startups suelen carecer de un historial excelente en ciberseguridad.
La razón principal es sencilla: la mayoría de las startups están en modo de crecimiento y es muy tentador dejar la seguridad en segundo plano frente al crecimiento. Con el afán de lanzar productos al mercado y generar o aumentar ingresos, las startups suelen relegar la seguridad a un segundo plano.
Además, la mayoría de las startups simplemente carecen de dinero y personal suficiente para abordar los retos de seguridad. Esto significa que, incluso si se toman en serio la seguridad, puede que no siempre tengan los medios para implementar prácticas de seguridad con la rigurosidad que desearían.
Lograr el mayor rendimiento en ciberseguridad con tu presupuesto
Pero el hecho de que la seguridad suela ser un reto para las startups no significa que tengan que exponerse a un riesgo innecesario. Incluso las empresas nuevas con recursos muy limitados pueden aprovechar prácticas como las siguientes para mejorar la seguridad a un coste bajo o nulo.
1. Impartir formación en concienciación sobre seguridad
El phishing sigue siendo uno de los tipos más comunes de amenazas de ciberseguridad, con más del 90 por ciento de empresas enfrentando un ataque de phishing en 2023.
La buena noticia es que la formación en concienciación sobre seguridad para los empleados es eficaz para reducir el riesgo de que una empresa sea víctima de ataques de phishing. Tampoco es muy costosa—especialmente para empresas pequeñas. La formación puede consistir en presentaciones breves a cargo del personal de seguridad, y las pruebas pueden incluir el envío de mensajes de phishing simulados a los empleados para ver quién hace clic en contenido malicioso.
He implementado esta práctica en mi startup y me alegra decir que, tras varias rondas de formación, hemos logrado una tasa de clics del cero por ciento en los contenidos de phishing simulados—lo que significa que todos nuestros empleados demuestran plenamente la conciencia de seguridad que nuestra formación buscaba inculcar.
2. Activa complementos de seguridad gratuitos
Muchas aplicaciones y servicios ofrecen funciones de seguridad que puedes activar de forma gratuita para aumentar la protección. Por ejemplo, la mayoría de los proveedores de nube ofrecen funciones opcionales de Autenticación Multifactor (MFA) sin coste adicional. También puedes activar funciones como cifrado de datos por defecto o desactivar el acceso público a los recursos a menos que lo configures explícitamente.
Utilizar estos complementos es una forma sencilla y prácticamente gratuita de mejorar la seguridad. Tu único coste es el tiempo mínimo que se dedica a activar las funciones, y esa pequeña inversión de tiempo merece mucho la pena si mejora tu postura general de seguridad.
3. Aplica parches, parches y más parches
Más del 50 por ciento de los ciberataques exitosos ocurren por un fallo simple: software sin parchar, es decir, aplicaciones que las empresas no mantienen actualizadas.
Trabajando en una startup, sé lo saturados que pueden estar los equipos de TI y entiendo por qué a veces no priorizan la aplicación de parches. Pero teniendo en cuenta que los parches de muchas aplicaciones pueden configurarse para instalarse automáticamente, realmente no hay una buena razón para evitar la actualización.
También es importante establecer un proceso de aplicación de parches que permita a tu equipo revisar y probar los parches antes de implementarlos mediante herramientas automáticas. Una vez más, la pequeña cantidad de tiempo invertido en configurar y mantener una rutina de parches dará enormes beneficios gracias a la protección adicional que aporta.
4. Etiqueta los recursos
Etiquetar los recursos —que significa aplicar etiquetas para identificar para qué sirve el recurso, quién lo creó, etc.— es una buena práctica básica para controlar costes porque facilita determinar si estás pagando por recursos que no necesitas.
Pero la etiquetación también juega un papel importante en la seguridad. Cuando tus recursos están bien etiquetados, puedes determinar rápidamente quién es el "propietario" en caso de que necesites realizar algún cambio en respuesta a un riesgo de seguridad. Así, el etiquetado ofrece una forma de bajo coste para reducir el Tiempo Medio de Remediación (MTTR), una métrica clave de la eficacia en ciberseguridad.
5. Activa RBAC
El Control de Acceso Basado en Roles, o RBAC, es otra característica de la mayoría de las aplicaciones o plataformas de software que puedes activar de forma gratuita, pero que las startups suelen descuidar. En lugar de otorgar a cada usuario un nivel de acceso alineado con sus roles basados en el principio del menor privilegio, las startups tienden a hacer cosas como dar acceso de administrador a todos porque es más rápido y sencillo.
Pero, una vez más, el esfuerzo necesario para hacer lo más seguro —habilitar RBAC y configurar controles de acceso granulares por usuario— es mucho menor que el tiempo y costo de una brecha ocasionada por cuentas de usuario con excesivos permisos. Sin importar lo pequeña que sea tu empresa, aprovecha RBAC.
6. Optimizar la gestión de contraseñas
La forma ideal de gestionar las contraseñas es implementar una solución de inicio de sesión único (SSO) que permita a los empleados conectarse a todas tus aplicaciones y servicios con solo un inicio de sesión, reduciendo así la superficie de ataque relacionado con credenciales que debes proteger. Sin embargo, los servicios SSO pueden ser costosos, y puede que las empresas requieran recursos de desarrollo para integrar dichos servicios con sus aplicaciones. Por estas razones, SSO no siempre es una solución viable para startups.
Los gestores de contraseñas son la siguiente mejor opción. Generan automáticamente contraseñas para aplicaciones individuales y las desbloquean usando una contraseña maestra que ingresan los empleados. La mayoría de los gestores de contraseñas tienen un costo, pero son menos caros que los servicios SSO y no requieren soporte de desarrolladores.
El punto aquí es que, incluso si tienes un presupuesto limitado, deberías tomar medidas para reducir el riesgo de que los atacantes abusen de credenciales de acceso —si no es mediante SSO, entonces a través de un gestor de contraseñas.
Haciendo más con menos
En un mundo perfecto, cada startup tendría recursos ilimitados para invertir en seguridad. Pero en el mundo real, pocas startups cuentan con ese lujo, y por eso deben centrarse en acciones que ofrezcan los mayores beneficios al menor costo.
Al adoptar este enfoque, las pequeñas empresas no solo minimizan sus riesgos, sino que también ayudan a proteger sus perspectivas de crecimiento a largo plazo. Después de todo, la capacidad de demostrar cumplimiento con las mejores prácticas de ciberseguridad suele ser importante al relacionarse con inversores y clientes empresariales, así como para obtener las certificaciones necesarias para lanzar productos al mercado.
Esto significa que invertir en prácticas de ciberseguridad rentables no solo es bueno desde el punto de vista de la seguridad, sino que también es un movimiento empresarial inteligente para startups.
Para más consejos de ciberseguridad, suscríbete al boletín de The CTO Club.
