Las 5 Capas de Seguridad que Faltan en la Mayoria de los Negocios Pequenos

La mayoria de los negocios pequenos que conocemos no son descuidados con la seguridad. Les importa mucho. El problema es que la construyeron como la mayoria construye algo — una herramienta a la vez, cuando hubo tiempo, y casi siempre despues de un susto.

Un firewall nuevo despues de un susto. Proteccion de endpoint porque un cliente la pidio. MFA en el correo despues de un casi-incidente. Cada herramienta ayuda. Pero juntas, dejan brechas en lugares que nadie revisa.

Asi es como una estrategia de seguridad termina "casi puesta" en lugar de "realmente funcionando." No es la gente. Es como crece la mayoria de los negocios pequenos.

El cambio que mas ayuda: dejen de contar herramientas y empiecen a preguntar que se supone que tiene que *hacer* cada parte del dia.

NIST tiene un marco gratis para esto — el Cybersecurity Framework 2.0. Agrupa la seguridad en seis trabajos simples:

Gobernar — quien decide que esta permitido?
Identificar — saben que estan protegiendo?
Proteger — que detiene que un mal dia empiece?
Detectar — que tan rapido saben que algo anda mal?
Responder — cuando pasa, quien hace que?
Recuperar — como vuelven a la normalidad?

La mayoria de los negocios pequenos son fuertes en *Proteger*. Tienen firewall, MFA, antivirus. Las brechas casi siempre aparecen en *Gobernar*, *Detectar*, *Responder* y *Recuperar* — las partes que no vienen en una caja.

Ninguna requiere una plataforma nueva enorme.

1. Inicios de sesion resistentes a phishing. El MFA es bueno. El MFA que no se puede enganar con una pagina de login falsa es mejor. Resistente a phishing quiere decir llaves fisicas (FIDO2 / WebAuthn) para las cuentas que mas importan — cuentas de administrador y cualquiera con acceso a datos sensibles. El MFA normal se queda en todo lo demas.

2. Confianza en el dispositivo + reglas claras de BYOD. La mayoria de los equipos saben que laptops son suyas. Pocos tienen reglas escritas de que cuenta como dispositivo "de confianza," o que hacer cuando uno se atrasa con sus actualizaciones. Si dejan a la gente trabajar en laptops personales, las reglas tienen que vivir donde alguien las pueda leer.

3. Frenos de seguridad en el correo (no solo entrenamiento). Entrenar a la gente a detectar phishing esta bien. Apostarle todo, no. Las herramientas de correo que ya pagan pueden hacer mucho mas — marcar remitentes externos, bloquear dominios falsos, atrapar enlaces a sitios malos conocidos. La mayoria de estas opciones llegan apagadas. Una configuracion de 30 minutos atrapa mucho.

4. Parchado que de verdad se verifica. Casi todos dicen que parchan. Muy pocos pueden mostrar que se parcho el mes pasado, que no, y por que. La pila del "por que" es donde vive el problema. Una revision mensual simple lo saca de la oscuridad.

5. Un plan real de "y ahora que." La deteccion solo importa si alguien actua. Dos o tres runbooks cortos para los casos mas comunes — reporte de phishing, dispositivo actuando raro, registro de admin inesperado — cubre mas de lo que la gente espera.

No intenten arreglar las cinco a la vez. Escojan la capa que mas les preocupa, arreglenla, y pasen a la siguiente.

Si no saben por donde empezar, el orden que normalmente sugerimos es: cierren bien los inicios de sesion (capa 1), activen los frenos del correo (capa 3), y escriban que es un dispositivo de confianza (capa 2). El parchado y los planes de "y ahora que" siguen, en cualquier orden.

El punto no es comprar mas herramientas. Es asegurarse que las que ya tienen jalan juntas.