“Proteger la información de la empresa es proteger tu negocio”

En la mentalidad de los propietarios de las PYME es frecuente encontrar la consideración de que los ciberdelincuentes no están interesados en sus empresas, así como que un ataque no les produciría grandes daños. Nada más lejos de la realidad. España es el tercer país en el mundo que más ataques cibernéticos sufre tras EEUU y Reino Unido. Debido a que los pequeños negocios invierten menos en seguridad, el 70% de los ataques los sufren las PYMES  de menos de 100 empleados y de ellas, un 60% se ve obligada a cerrar el negocio tras recibir un ataque de gran impacto.

Las PYME hoy en día no se deben plantear si recibirán o no un ciberataque sino cuando.

A continuación, presentamos una serie de recomendaciones de seguridad que esperamos sean de su utilidad:

 

  1. Antivirus: son programas que detectan la presencia de virus informáticos (malware que altera el funcionamiento normal del ordenador sin que el usuario lo sepa o consienta) y los eliminan o reparan.

Instale y mantenga un sistema antivirus actualizado no sólo en todos sus equipos informáticos sino también en los dispositivos móviles.

 

  1. Firewall: son herramientas que controlan las comunicaciones entre internet y el ordenador bloqueando accesos no autorizados.

Instale un sistema firewall en la oficina y en cada una de sus delegaciones, así como en las casas de los trabajadores que trabajen a distancia conectados a los servidores de la empresa.

 

  1. Copia de seguridad (Backup): Consiste en la replicar los datos que consideremos más importantes almacenados en el ordenador o dispositivo móvil para que, en caso de suceder un improvisto (virus, fallo eléctrico, borrado accidental, etc.) no los perdamos.

Existen programas informáticos que le ayudarán a programar copias de seguridad periódicas.

Realice copias de seguridad con la frecuencia más corta posible. Siempre será mejor que disponga de un backup diario frente a uno semanal.

Nuestros proveedores de servicios técnicos, en caso de pérdida o deterioro de los datos, trabajarán para recuperarlos y reinstalarlos lo antes posible minimizando los tiempos de parada. Si no dispone de una copia de seguridad, su reinstalación en ocasiones será imposible.

Debe almacenar las copias de seguridad en ubicaciones físicas diferentes a donde se encuentren sus servidores de datos. De esta manera, si sufre un robo, incendio, inundación, etc. reducirá el riesgo de pérdida de los datos.

  1. Claves del router:El router es la principal puerta de acceso a la red informática de la empresa y con ella a todos los dispositivos conectados. Alguien capaz de acceder a él podrá aprovecharse de la conexión a internet de la empresa, así como acceder a los dispositivos conectados a ella.

Existen listas “negras” fácilmente accesibles para los hackers con las claves de acceso a los routers de los diferentes fabricantes.

Cambie periódicamente el nombre y contraseña de sus routers así como de los que sus empleados que trabajen a distancia tengan en sus casas. El cambio se realiza de manera sencilla siguiendo las instrucciones del fabricante.

 

  1. Impresoras, equipos multifunción y cualquier equipo con conexión a la red de la empresa: Estos equipos son vías de acceso muy atractivas para los ciberdelincuentes. A través de la dirección IP de los mismos los hackers logran entrar en la red informática de la empresa. Asimismo, muchas impresoras disponen de discos duros donde almacenan información que pueden ser también directamente atacados.

Instale su impresora dentro del firewall de la empresa. Mantenga actualizados el firmaware de las impresoras.

 

  1. Contraseñas: los robos de identidad en la red, obteniendo nuestras credenciales de manera fraudulenta, son cada vez más comunes. Es por ello que es recomendable seguir una serie de pautas en cuanto a las contraseñas:
  • Una buena contraseña se compone como mínimo de 9 caracteres, mezclando mayúsculas, minúsculas, números y símbolos. Ideas para crear contraseñas son mezclar frases cortas, combinar dos palabras o convertir vocales de palabras en números.
  • Intenta utilizar una contraseña diferente en cada cuenta importante.
  • No utilices tu nombre, tu cumpleaños, ni palabras comunes.
  • Cambia frecuentemente tus contraseñas.

 

  1. Actualizaciones de seguridad: Habitualmente se descubre en los programas informáticos fallos de seguridad que ponen en riesgo nuestra información, sirven de entrada a software malicioso o a ciberdelincuentes. Para solucionar estos fallos, los fabricantes de software publican actualizaciones de seguridad para solventar esos fallos.

Realice dichas actualizaciones tan pronto como las reciba.

 

  1. WIFI Pública: Las wifi públicas son aquellas que comúnmente identificamos como gratuitas. Generalmente no están protegidas por una contraseña o la contraseña se hace pública (en hoteles, restaurantes, hospitales, etc.). Estas redes no cifran la información que se transmite a través de ellas, por lo que no son seguras. Tanto el administrador como los usuarios conectados pueden utilizar técnicas para robar nuestra información.  Si lo puede evitar, no se conecte a redes WIFI públicas, pero caso de hacerlo sigua las siguientes pautas:
  • Conéctese a aquellas que al menos tengan seguridad WPA o WPA2. Las redes abiertas y con seguridad WEP son totalmente inseguras.
  • Deshabilite los procesos de sincronización de tu equipo.
  • No inicie sesión (usuario/contraseña) en ningún servicio mientras esté conectado a una red pública. Evite realizar transacciones bancarias, compras online o cualquier otra tarea que suponga el intercambio de datos privados desde redes wifi públicas.
  • Cuando se desconecte, elimine de su equipo los datos de la red.

 

  1. Suplantación de personalidad (Phising): El phishing es un método que utilizan los ciberdelincuentes para a través del engaño, conseguir que les revelen información personal, como contraseñas, datos de tarjetas de crédito y de la seguridad social y números de cuentas bancarias. Lo hacen mediante el envío de correos electrónicos fraudulentos o dirigiendo a sus víctimas a un sitio web falso.

Para evitar ser víctima del Phising le recomendamos que:

  • No abra correos electrónicos que no haya solicitado o que provengan de usuarios desconocidos.
  • Lea con atención la dirección de correo del remitente. Es frecuente que los ciberdelincuentes utilicen direcciones muy similares a las de sus contactos cambiando una letra, símbolo, …
  • No abra documentos adjuntos de correos electrónicos que previsiblemente provengan de contactos suyos pero que le resulten sospechosos. Ej. Correo de su jefe solicitándole que realice una acción no habitual y sospechosa. Consulte antes al remitente si efectivamente ha sido él quien ha remitido el correo.
  • Elimine los correos electrónicos que sean sospechosos y bloquee las direcciones del remitente.
  • Introduzca sus datos personales sólo en webs seguras (aquellas que disponen de una imagen de un candado cerrado junto a la URL y que tengan protocolo https://
  • No siga enlaces desde los correos electrónicos. Copie el enlace en su navegador.
  • Bancos y organismos públicos no le solicitarán nunca que envíe sus claves al objeto de actualizarlas, porque hayan detectado un problema, etc. No haga caso a estos correos y ante la duda póngase en contacto con ellos.

 

  1. Información sensible: Aquella información, cuya revelación, alteración, pérdida o destrucción puede producir daños importantes al propietario de la misma (claves de seguridad, números de tarjeta de crédito o seguridad social, DNIs, datos de salud, fiscales, …)

Cuando envíe por correo electrónico información sensible hágalo siempre de manera cifrada.

 

  1. Ransomware: Técnica utilizada por los ciberdelincuentes para restringir el acceso a su sistema exigiendo el pago de un rescate para eliminar la restricción.

Existen herramientas de software que en ocasiones permiten eliminar la restricción. El pago del rescate está desrecomendado ya que a menudo no se consigue el desbloqueo y caso de hacerlo, la víctima será susceptible de serlo en futuras ocasiones.

Para evitar ser víctima de un ataque por ransomware, asegúrese de que todo el software de su equipo, antivirus y firewall está actualizado y siga las indicaciones detalladas en el apartado “Phising”.

 

  1. Fallo humano: El 67% de las incidencias cibernéticas están causadas por errores humanos.

Proporcione a sus empleados cursos básicos de formación en seguridad cibernética.

 

  1. Diseñe planes de contingencia para el caso de sufrir un incidente cibernético. Reducirán considerablemente los tiempos de parada de la empresa y minimizarán el impacto.

 

  1. Proveedores: Debemos garantizar la seguridad de toda relación que mantengamos con proveedores, y en particular de aquellos que tienen acceso a nuestra información. De nada sirve asegurar al máximo nuestros sistemas si no exigimos la misma seguridad a los proveedores externos.