En las últimas semanas están apareciendo cada vez más noticias y advertencias acerca de la vulnerabilidad de las PYMES frente a ciberataques y lo atractivas que son para los ciberdelincuentes.
En su momento hicimos también un análisis sobre las principales causas de esta situación de debilidad. En este sentido, según un estudio de Kaspersky Labs, por falta de medios o de conocimientos adecuados un 32% de las empresas con menos de 50 empleados, confían su ciberseguridad a empleados sin experiencia en este campo.
Otro estudio elaborado por la misma empresa, ofrece un dato curioso que confronta la percepción que tienen las PYMES respecto a su ciberseguridad versus la realidad: la mayoría (72%) pensaba que estaban adecuadamente protegidas y, sin embargo, casi la mitad de las PYMES (42%) sufrió, al menos, una brecha de seguridad.
Protege tu PYME
Y es que las PYMES son igual o más atractivas para los ciberdelincuentes que una gran empresa: son mucho más fáciles de atacar y las ganancias pueden ser muy jugosas si sumamos pequeñas cantidades de muchas víctimas.
Entonces, ¿qué puedes hacer para proteger tu PYME de un ciberataque?
Muchos empresarios ya protegen sus activos físicos: puertas de seguridad, control de accesos, alarmas, seguros, etc… pero todavía no han tomado conciencia que los activos digitales son igual de importantes. En este sentido, es prioritario que la ciberseguridad forme parte de la agenda de cualquier empresario.
Al igual que se establecen políticas de seguridad física es necesario hacerlo para la seguridad digital, las cuales deben fundamentarse en tres pilares básicos:
- Organización y RRHH: medidas orientadas a formar y concienciar a los empleados en buenas prácticas, así como establecer los procedimientos básicos de seguridad
- Tecnología y herramientas: con qué herramientas y tecnología es necesario contar para estar suficientemente protegido
- Plan de continuidad de negocio: definir los procesos y medidas para que la empresa pueda responder adecuadamente y ponerse en marcha de nuevo tras un ataque.
Organización y RRHH
Las medidas que englobamos en este apartado son:
CONTROL DE ACCESO E IDENTIDAD DIGITAL
Hay que definir un sistema de control de acceso seguro a los sistemas que permita identificar correctamente a cada usuario, determinando cuáles son sus privilegios de acceso. Es decir, igual que en un espacio físico determinamos quién puede acceder a qué partes, en el entorno digital funciona igual.
En este sentido, es necesario promover el uso de contraseñas complejas y robustas y únicas para cada sistema, que, además, deben ser actualizadas con regularidad.
Un buen sistema de control de acceso y de gestión de identidades digitales evitará la suplantación de identidad y que usuarios no autorizados accedan a sistemas o información que no le corresponden.
CONCIENCIACIÓN Y FORMACIÓN
El eslabón más débil en la cadena de la ciberseguridad es el factor humano, principal causante de la mayoría de los desastres de seguridad digital. Por tanto, formar adecuadamente a los empleados en buenas prácticas de ciberseguridad es una de las primeras medidas que cualquier empresa debe tomar.
Enseñar a identificar las principales técnicas de ingeniería social, desconfiar de ofertas «demasiado buenas para ser verdad», no descargar archivos de fuentes desconocidas son algunas de las cosas que todos debemos saber.
Los empleados con mayor responsabilidad dentro de la empresa, que manejen datos financieros o con capacidad para realizar transferencias, deben ser especialmente formados, ya que suelen ser el principal objetivo de ataques de phishing o de la «estafa del CEO».
POLÍTICAS DE SEGURIDAD
Las barreras que separan el entorno laboral del personal son cada vez más difusas. Desde prácticas como el teletrabajo hasta políticas como BYOD (acrónimo de Bring Your Own Device – «traiga sus propios dispositivos») en las que se permite a los empleados utilizar sus propios equipos personales para uso profesional.
En este sentido, se pueden producir situaciones que ponen en riesgo la seguridad de todos los sistemas de la empresa, como por ejemplo:
- Una conexión remota desde la casa de un empleado desde su ordenador personal
- Conexión de un móvil a la WiFi de la empresa
- Conectar un dispositivo externo como un USB a un ordenador.
Si cualquiera de estos dispositivos, fuera del control de la empresa, tuvieran algún tipo de malware, existen altas probabilidades de que, si no hay medidas de seguridad adicionales, la infección se pueda extender a toda la empresa.
Por tanto, es necesario establecer políticas que regulen este tipo de prácticas: conexiones remotas, crear redes virtuales para la conexión de dispositivos no corporativos, BYOD, etc…
ACTUALIZACIÓN DE SISTEMAS
Las vulnerabilidades en los sistemas suelen ser una de las vías de acceso de ciberataques, por eso una de las formas de protegerse de ataques es mantener siempre actualizados con los parches de seguridad que las corrigen.
Estos errores pueden pasar inadvertidos durante mucho tiempo y a veces son detectados por los atacantes que explotan esas vulnerabilidades para introducirse en los sistemas. Por eso, en cuanto los fabricantes los corrigen y envían actualizaciones a todos los usuarios es necesario instalarlas de inmediato.
Herramientas y tecnología
Todas las empresas deben contar con, al menos, las siguientes herramientas para protegerse digitalmente:
ROUTER WiFi AVANZADO
Un alto porcentaje de PYMES utiliza el router WiFi que les proporciona el proveedor de Internet. Pero estos dispositivos suelen ser de gamas bajas y con muchas deficiencias. Esto es algo que ya comentamos en este post, pero, recientemente, un estudio realizado por el American Consumer Institute determina que entre los routers WiFi más populares del mercado, sólo el 17% son completamente seguros.
El router WiFi es la puerta de entrada y salida a Internet y, por tanto, es recomendable que inviertas en un router WiFi que pueda proveerte con mejores niveles de seguridad y control sobre tu red corporativa. Además, recomendamos que sigas estos consejos para configurarlo correctamente e incrementar aún más la seguridad de tu red WiFi corporativa.
ANTIVIRUS, CORTAFUEGOS Y HERRAMIENTAS DE FILTRADO
Un buen antivirus es imprescindible hoy día. Aunque son conocidos como «antivirus», casi cualquier opción que puedes encontrar en el mercado te protegerá ante un amplio espectro de ataques y programas maliciosos, no sólo virus (que sólo son uno de los posibles tipos de malware).
Otra herramienta necesaria en tu red WiFi corporativa son los cortafuegos o firewalls que actúan bloqueando accesos o tráfico no autorizado y permitiendo comunicaciones autorizadas.
Junto con antivirus y cortafuegos, es de gran utilidad contar con herramientas de filtrado IDS/IPS diseñadas para monitorizar el tráfico en la red y generar alarmas en caso de que dicho tráfico no sea el esperado. Actúan conjuntamente con el cortafuegos, de forma que éste último hace un primer filtrado por origen, destino y puertos y posteriormente el IDS/IPS refina el filtrado según el contenido.
Plan de continuidad de negocio
Pensar que nunca vas a ser atacado es de gran ingenuidad, por lo que debes preparar a tu empresa no sólo para prevenir ataques, sino también para sobreponerte rápidamente si no se ha podido evitar.
Por eso es necesario que definas el protocolo de copias de seguridad y el plan de recuperación.
COPIAS DE SEGURIDAD
Hacer copias de seguridad, a ser posible diarias, te va a permitir minimizar el impacto de un ataque. Si existe un respaldo de los datos solo es cuestión de tiempo poder recuperarlos y continuar la operativa diaria.
Para que una copia de seguridad sea efectiva, es necesario que esté almacenada en soportes independientes de los utilizados a diario y estar físicamente en otro sitio. Hoy día, los servicios de almacenamiento en la nube han facilitado mucho esta operativa, haciéndolo muy asequible a todo tipo de empresas por pequeñas que sean.
PLAN DE RECUPERACIÓN
Cuando has sido objeto de un ataque, es crítico que el proceso de recuperación sea lo más rápido posible para que el impacto en las operaciones diarias y en el servicio al cliente sea mínimo.
Para ello es necesario tener previsto un plan de acción que incluya:
- Una clasificación de datos, sistemas y aplicaciones en función de lo críticas que sean para el negocio en términos de sensibilidad, confidencialidad o privacidad
- Un procedimiento de gestión de crisis
- Un equipo de colaboradores que se encargue de liderar el proceso de recuperación
En definitiva, como dice el refranero, más vale prevenir que curar, pero si hubiera que curar ten preparado un plan de acción que te permita recuperarte lo antes posible. Con estas medidas básicas podrás proteger tu PYME de ciberataques.
Por último, en el Instituto Nacional de Ciberseguridad (INCIBE), puedes ampliar información acerca de más medidas para proteger tu PYME ante un ciberataque.
