2018 nos deja datos preocupantes: el 87% de las empresas han sido víctimas de ciberataques, agravios o daños producidos por el mal uso de las nuevas tecnologías. El aumento de los ataques se atribuye al incremento de los puntos de acceso de más riesgo y a la falta de atención en la seguridad y la protección de datos. Phishing, malware, ramsonware, son nuevos conceptos con los que, desgraciadamente, estamos cada vez más familiarizados. Por eso, PIMEC ha organizado la jornada ‘Ciberseguridad: las pymes, objetivo de los ciberdelincuentes’, donde se explicará en qué consisten estos términos y qué implicaciones tienen.

Ante los nuevos flujos de trabajo, que conducen nuestros datos fuera de las redes corporativas hacia dispositivos y aplicaciones que la propia organización no controla, aconsejamos:

Hacer copia de seguridad

Esto evitará cualquier pérdida de datos por robo, incendio, otros daños físicos o ransomware.

  • Identifique lo que necesita guardar. Las copias de seguridad tienen que formar parte del día a día de la empresa.
  • Compruebe que se pueden restaurar las copias de seguridad.
  • Asegúrese de que el dispositivo que contiene su copia de seguridad no esté conectado permanentemente al dispositivo que contiene la copia original, ni físicamente ni a través de una red local.

Formar y concienciar contra la ingeniería social

Mediante la cual se evitará la mayoría de ataques en los que intervenga el factor humano.

  • Infórmese sobre los ataques de ingeniería social más habituales, independientemente del canal utilizado (phishing, vishing, SMiShing etc.), donde los estafadores piden información confidencial.
  • Compruebe si hay signos de engaño evidentes en el mensaje, como ortografía, pronunciación, gramática deficientes, o versiones de logotipos de baja calidad.
  • Informe a los miembros de la empresa de que la información personal que comparten en Internet puede ser utilizada para realizar ataques dirigidos de ingeniería social.
  • Tenga desactivada por defecto la opción “compras por Internet” de todas las tarjetas de crédito de la empresa, y actívela solo en el momento de realizar un pago.
  • No castigue al personal si ha sido víctima de un ataque, puesto que otros evitarán informar en un futuro.

Mantener seguros los smartphones (y tablets)

Necesitan todavía más protección que los equipos de escritorio, puesto que se usan fuera de la seguridad de la oficina.

  • Utilice una solución antivirus para proteger también sus dispositivos móviles.
  • Active la protección de acceso para dispositivos móviles, con contraseña, PIN o reconocimiento de huellas digitales.
  • Configure la gestión remota de los dispositivos. En caso de pérdida o robo, podrán ser rastreados, borrados o bloqueados remotamente.
  • Active la opción de actualización automática para mantener actualizados sus dispositivos y aplicaciones instaladas.
  • Sustituya los dispositivos que ya no disponen de apoyo por parte de los vendedores y busque otras alternativas.
  • No se conecte a puntos de acceso público de wifi, utilice conexiones 3G,4G o VPN.

Prevenir el daño por software malicioso (malware)

Mediante la adopción de algunas técnicas simples y de bajo coste.

  • Utilice software antivirus en todos los dispositivos.
  • Instale solo programas aprobados y de fuentes conocidas, y evite que los usuarios descarguen aplicaciones de terceros de fuentes desconocidas.
  • Actualice todo el software y el firmware mediante la actualización automática proporcionada por los fabricantes y proveedores.
  • Controle el acceso a medios extraíbles, como tarjetas SD y memorias USB. Piense en desactivar puertos o en limitar el acceso.
  • Tenga especial cuidado con los ficheros adjuntos en el correo electrónico, sobre todo si son ejecutables (.exe, .como, o .bate).
  • Active el cortafuego que incluye el sistema operativo.

Utilizar contraseñas

Puesto que es la forma más básica de evitar que personas no autorizadas accedan a sus dispositivos y datos.

  • Asegúrese de que todos los dispositivos usen productos que requieran una contraseña de inicio.
  • Utilice la autenticación de doble factor (2FA) siempre que sea posible.
  • Evite el uso de contraseñas predecibles (como apellidos y nombres de mascotas) y las contraseñas más comunes que los delincuentes pueden adivinar (como password, 12345, etc.).
  • Cambie las contraseñas predeterminadas de los fabricantes antes de que se distribuyan al personal.
  • Utilice un gestor de contraseñas y asegúrese de que la contraseña maestra sea segura. Una contraseña segura tiene que tener números, letras, símbolos (!, $, %, &, #, etc.) y mayúsculas y minúsculas. Además, tiene que tener una longitud mínima de ocho caracteres.

Información facilitada por Grail Security Systems.
Fuentes: National Cyber Security Centre (NCSC) – Cyber Security: Small Business Guide. National Institute of Standards and Technology (NIST) – Small Business Cybersecurity Corner. European Union Agency for Cybersecurity (ENISA) – Security for Small and medium size enterprises.