Tu empresa puede sufrir un ciberataque y lo sabes: 10 consejos para no ponerlo fácil

Ciberseguridad

No solo las grandes empresas, entidades financieras y organismos públicos son susceptibles de ser objetivos de los hackers, cada vez son más frecuentes los ciberataques a pymes y a particulares, de hecho, más de la mitad de las pymes reconocen haber sufrido algún ciberataque.

Para sus ataques, los hackers utilizan todo tipo de técnicas para hacerse con información confidencial, destruirla o encriptarla. Para encriptar la información utilizan virus del tipo ransomware (bloqueador de sistemas), que se introducen de forma ilegal en el sistema operativo del usuario a través de mensajes de correo electrónico infectados o descargas, para exigir después el pago de un rescate para desencriptarlos.

La información que se almacena en las empresas, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. En la era de la digitalización, en la que cada vez estamos más inmersos, la confidencialidad, integridad y disponibilidad de la información es esencial para cualquier organización, de manera que la pérdida de información sensible puede afectar de manera muy negativa a su competitividad, imagen y rentabilidad, además de exponerla a sanciones por incumplimientos en el RGPD.

Beneficios de aplicar buenas prácticas en materia de ciberseguridad

Según el INCIBE, son múltiples los beneficios asociados a la implementación de buenas prácticas en materia de ciberseguridad en la empresa, entre los que destacan los siguientes:

  • Mejora de la imagen corporativa, tanto a nivel interno, como externo, mejorando la confianza de clientes y proveedores.
  • Se evitan pérdidas de servicio derivadas de una caída o mal funcionamiento, lo cual, además de generar pérdidas económicas, puede afectar negativamente a la imagen de la empresa.
  • Cumplir con el RGPD y evitar sanciones administrativas.

10 consejos para mejorar la ciberseguridad de tu empresa

La adaptación de las empresas al mundo virtual no está exenta de riesgos, por lo que antes de acometer cualquier transformación, debemos tener presente la seguridad de los sistemas informáticos de la empresa y de la información que en estos se alberga, identificando los riesgos y localizando los puntos débiles, con el fin de reducirlos o mitigarlos. Para garantizar la ciberseguridad de una empresa se pueden seguir los siguientes consejos:

Definición de políticas y normativa

Definir, documentar y difundir políticas de seguridad. Partiendo de las políticas, se definirán las normas y procedimientos a seguir, en los cuales se recogerán las obligaciones de los usuarios en lo que respecta al tratamiento y seguridad de la información. Ejemplos de políticas serían las relativas a: aplicaciones permitidas, uso de dispositivos personales (BYOD), uso de wifis externas o de conexión desde el exterior, almacenamiento (local, red corporativa, dispositivos externos y en la nube) y copias de seguridad, gestión de soportes, borrado seguro y de destrucción de la información, uso del correo electrónico, contraseñas y actualizaciones.

Control de acceso

Todo empresario se asegura de dejar bien cerrado su negocio por las noches y la alarma conectada, pero, ¿estamos seguros de que están controlados los accesos a los sistemas informáticos de la empresa y a la información sensible de la empresa? Es fundamental una correcta definición de qué usuarios pueden acceder a determinada información, desde dónde y por qué motivo.

Copias de seguridad

La información de una empresa debe estar protegida, garantizarse su disponibilidad, integridad y confidencialidad, siendo las copias de seguridad la forma más extendida de evitar pérdidas de información en las organizaciones. La frecuencia, los soportes y los procedimientos para realizar las copias de seguridad pueden ser distintos en función del tamaño y necesidades de la empresa.

Protección antimalware

La seguridad antimalware debe aplicarse a la totalidad de los equipos y dispositivos de la organización, incluidos los dispositivos móviles y los medios de almacenamiento externo como USB, discos duros portátiles, etc. Estos dispositivos deben contar con las medidas necesarias para prevenir, detectar y contener cualquier tipo de amenaza a la que se vea expuesta la organización. Todo antimalware que se precie debe de ser ágil y capaz de poder detectar todo tipo de amenazas en tiempo real.

Actualizaciones

Para evitar vulnerabilidades de las aplicaciones y dispositivos de la empresa, es fundamental mantener constantemente actualizado y parcheado todo el software, tanto de los equipos como de los dispositivos móviles para mejorar su funcionalidad y seguridad, evitando riesgos como el robo de información, pérdida de privacidad, perjuicio económico, suplantación de identidad, etc.

Seguridad en la red

Se debe restringir y controlar al máximo el acceso externo a la red corporativa, haciendo especial hincapié en el uso de dispositivos de almacenamiento extraíbles.

Dispositivos de movilidad

Cada vez es más necesario trabajar y acceder a la información del trabajo desde cualquier lugar, de manera inmediata, rápida y ágil, para lo cual utilizamos dispositivos móviles, ya sean de uso corporativo o personal. Estos dispositivos facilitan acceder y compartir la información de trabajo con otros compañeros, clientes, proveedores, etc. desde cualquier lugar o dispositivo autorizado, ya sea desde dentro de la empresa o desde fuera de ella, pero también abren la puerta a la pérdida de información o al robo de dispositivos y credenciales. Se debe, por lo tanto, extremar la vigilancia sobre estos dispositivos para garantizar la seguridad de la información fuera de las instalaciones de la empresa.

Registro de actividad

La monitorización de los sistemas de información de la empresa es fundamental, para saber lo que ocurre en los sistemas de información y redes corporativas. Para prevenir y estudiar situaciones excepcionales en los sistemas de la empresa, se deben recabar los detalles más relevantes sobre los eventos más trascendentes de los sistemas de información tales como arranque de sistemas, inicios y accesos a aplicaciones, modificación o borrado de información sensible, etc.

Continuidad del negocio

Las empresas deben estar preparadas para prevenir, protegerse y reaccionar ante incidentes de seguridad que puedan afectarles y que podrían impactar en sus negocios. Por ello, deben proteger los principales procesos de negocio a través de un conjunto de tareas que permitan a la organización recuperarse tras un incidente grave en un plazo de tiempo que no comprometa su continuidad. De esta forma se garantiza poder dar una respuesta planificada ante cualquier fallo de seguridad.

Denunciar a las autoridades

Siempre que detectemos una amenaza o un intento de acceso no autorizado a los sistemas de información de la empresa, se debe denunciar a la policía, para que intente localizar el origen de los ciberataques y de esta manera evitar que los ataques se repitan o que otros usuarios puedan sufrir ataques similares.

Mantener el nivel de seguridad en una empresa es una responsabilidad que deberá ser compartida por todos los empleados. Por este motivo, desarrollar una cultura de seguridad y formar al personal en ciberseguridad será un factor determinante para el éxito de las organizaciones.

Con el objeto de ayudar a reducir los riesgos de ciberataques el CEF.- pone a disposición de los interesados el Curso Monográfico en Ciberseguridad , un completo programa formativo con el que alcanzar un conocimiento práctico que permita abordar la solución de problemas reales en materia de seguridad informática y seguridad de la información en empresas y de particulares.

José Ramón Fernández de la Cigoña Fraga
Colaborador del CEF.-