La era digital obliga a establecer medidas de seguridad para evitar sustos innecesarios. No cuidar la información que almacena una compañía puede poner en peligro su continuidad.
Cada segundo y medio se registra un ciberataque en el mundo, cuyo objetivo es entrar en el sistema informático de compañías y gobiernos para hacerse con información valiosa. A pesar de ello, la mayoría de las pequeñas empresas se escudan precisamente en su tamaño para no valorar ni interesarse por este problema tan real. En ningún momento se les pasa por la cabeza no echar el cerrojo a la puerta de su tienda cuando se van a casa por las noches, pero, en cambio, la mantienen abierta a los ladrones digitales, unos profesionales que trabajan las 24 horas del día.
"Para los ciberdelincuentes no hay diferencias entre empresa grande o pequeña, ya que, si tienen datos sobre pagos con tarjetas, clientes o nuevos productos, la información se convierte en un bien altamente valioso para ellos", advierte Alfonso Ramírez, director general de Kaspersky Lab Iberia. El mayor problema para las pymes suele ser la falta de recursos, lo que las convierte en vulnerables frente a los ataques. Si estos generan pérdidas económicas y daños reputacionales muy importantes, podrían incluso llevarlos a la ruina.
Por tanto, desarrollar una estrategia de seguridad digital es clave también para la pequeña y mediana firma, que siempre debe estar acorde a su actividad, a las alianzas que puede tener con otras empresas y al manejo de información sensible. La falta de presupuesto tampoco es una excusa, ya que existen paquetes en el mercado ajustados a sus necesidades. Además, "si un ataque o malware llega a afectar a la continuidad de las operaciones de la pyme, podría acabar con su negocio y, por tanto, sería muy caro no haber implementado mecanismos para evitarlo", subraya Román Vargas, consultor de seguridad en Cisco España.
Aumentar la cultura y conocimiento en seguridad informática.
En más de la mitad de las pymes son los propios gerentes los encargados del departamento de informática, a falta de personal especializado dentro de la organización. Ellos son los responsables de controlar desde el momento en que usan algún dispositivo electrónico conectado a Internet. Por ejemplo, un fisioterapeuta puede pensar que ningún delincuente puede estar interesado en él, pero si tiene un ordenador en el que gestiona su página web o una base de datos con información personal de sus clientes, ya tiene atractivo suficiente para estos ladrones.
Ser conscientes de esto también ha de llegar al resto de la plantilla. “Es clave fomentar la incorporación de buenas prácticas”, explica el experto de Cisco, entre las que destaca no navegar por redes abiertas, como las que se ofrecen en los centros comerciales de forma gratuita; cambiar las contraseñas habitualmente; o en los servicios online muy sensibles (páginas web de bancos, por ejemplo), emplear mecanismos de doble factor, es decir, opciones extra para intentar evitar que un hacker pueda hacerse con el nombre de usuario y contraseña a través de, por ejemplo, teclados virtuales o tarjetas físicas con diferentes coordenadas.
No mezclar el uso personal y el profesional.
Para no comprometer datos corporativos, es aconsejable no utilizar los mismos dispositivos para entretenimiento y trabajo. "El acceso a servicios de ocio gratuitos suele implicar la infección por malware y pone en riesgo tanto la información personal como la profesional", explica Alfonso Martín Palma, director del máster en ciberseguridad de U-tad y gerente senior en ciberseguridad de la consultora multinacional Indra. Por eso, aconseja prestar atención a las web que se visitan, especialmente las de descargas ilegales o contenidos para adultos, que suelen implicar un alto riesgo de infección.
Las páginas consideradas seguras son fácilmente reconocibles: su dirección empieza por https: en vez de http:. Estas webs han sido tratadas con una tecnología denominada SSL (capa de conexión segura¬), que encripta los datos que se transmiten entre un navegador y un servidor web.
Atención al software.
La descarga de programas gratuitos es otro de los culpables principales de entrada de virus, por lo que es clave comprobar la reputación tanto de lo que se utilice como del lugar desde el cual se vaya a bajar. Además, hay que instalar las nuevas versiones de todo el software –sistemas operativos, programas y aplicaciones– de manera habitual. Estas actualizaciones suelen tener complementos de seguridad, muy útiles para aumentar la barrera con los hackers.
Contratar servicios especializados.
Dada la importancia del control informático, el gerente de una pyme ha de ser consciente de que, en la mayoría de los casos, no tiene ni el tiempo ni los conocimientos necesarios para encargarse de este asunto. Sin embargo, no suele ser necesario crear un departamento específico que se responsabilice de ello, sobre todo en las empresas con plantillas inferiores a los 50 empleados.
En la actualidad, existen servicios adaptados a las características y la capacidad económica de las pymes proporcionados por firmas de distinto tipo, tanto proveedores especializados en ciberseguridad como compañías globales de servicios TIC. Para elegir la más adecuada, es importante valorar el uso que se hace de Internet en la oficina y la cantidad de datos valiosos que se posee, pero también es necesario plantear una estrategia a medio plazo acorde con los planes de expansión de la organización. Así, no habrá que ir adaptándola a cada paso nuevo que se dé.
Ojo al uso de los dispositivos móviles
El robo de fotos íntimas a varios personajes famosos ha puesto a la sociedad en alerta sobre la vulnerabilidad de los dispositivos móviles. A pesar de la creencia popular de que estos aparatos están libres de virus, no es así y la falta de protección hace el camino muy fácil a los delincuentes.
Móviles, tabletas y ordenadores portátiles tienen que contar con medidas de seguridad adicionales, ya que, hoy en día, son una herramienta más de trabajo. No sólo basta con poner una contraseña fuerte (aquella con más de cuatro dígitos) por si se olvidan en el taxi, sino también instalar barreras ‘anti-piratas’. Precisamente, si esto ocurre, es necesario tener apuntado el número de identificación IMEI, que permite a la operadora y a los cuerpos de seguridad su localización y bloqueo inmediato.
Un uso precavido de los smartphones también es útil para evitar el robo de información sensible. En ocasiones, son pequeños trucos, como desactivar las notificaciones cuando la pantalla está bloqueada o las sincronizaciones automáticas con otros servidores externos, en los que puede haber datos relevantes, como el correo electrónico o los almacenados en la nube.
Los dispositivos móviles que se utilicen para trabajar deberían tener instalado el menor número de aplicaciones posible. Son una de las mejores vías para que los hackers entren en ellos; tanto es así, que ha aumentado un 210% las apps con publicidad potencialmente peligrosa, según el Informe Symantec 2013.
El mismo cuidado hay que tener en el uso de las redes sociales. Separar los perfiles personales de los profesionales es la primera medida que cualquier pyme debería hacer. Todo sea por tratar de evitar el robo de cuentas, uno de los problemas principales de estas páginas. Esto puede provocar que sea usada para enviar enlaces maliciosos y así crear una infección en cadena.
¿Qué necesita su empresa?
Las soluciones que debe adoptar una pyme para estar bien protegida dependerán de su tamaño, las relaciones que tenga con otras empresas, si su actividad es más sensible (se dedica a la industria militar, por ejemplo) o si tiene una tienda online con pago electrónico. Además de un antivirus actualizado, Román Vargas, consultor de seguridad de Cisco España, recomienda "contar al menos con un cortafuegos para proteger el perímetro, seguridad web y del e-mail, y un filtrado de URL –que permite bloquear aquellas páginas peligrosas–, así como la conexión con otras sucursales y dispositivos móviles mediante redes privadas virtuales o el uso de sistemas de prevención de intrusiones (IPS), como elementos complementarios".
Consecuencias de no tener un plan de seguridad.
Esperar demasiado para proteger los dispositivos tecnológicos puede suponer una pérdida de datos e información confidencial o incluso la interrupción del servicio, poniendo así en peligro la continuidad de la empresa. El coste medio para una pyme derivado de un incidente de este estilo es de alrededor de 26.000 euros, a lo que hay que sumar el precio de contratar personal especializado para solucionarlo, que es de unos 8.000 euros, según el último estudio de Kaspersky Lab.
"La propia pyme puede perder información valiosa para su negocio o ver su actividad paralizada si, por ejemplo, no paga un chantaje económico por ataques tipo ransomware, que consiste en cifrar todos los datos de un ordenador solicitando dinero a cambio de la clave para descifrarlo", explica el gerente sénior en ciberseguridad de Indra, Alfonso Martín Palma. Pero mucho más caras pueden ser las multas impuestas por la Agencia Española de Protección de Datos (AEPD), de hasta 600.000 euros, en el caso de un tratamiento inadecuado de los datos de carácter personal de los clientes. La ley española exige dar de alta los ficheros correspondientes con toda esa información en la AEPD; este registro es gratuito y dependerá del tipo de información con el que se cuente.
Para intentar minimizar daños, Román Vargas, consultor de seguridad en Cisco España, aconseja adoptar estrategias de continuidad de negocio, como puede ser la realización de copias de seguridad. Éstas deberían hacerse al menos una vez a la semana, aunque lo ideal es que se realicen al acabar la jornada. De todas formas, estos back up conviene almacenarlos fuera del ordenador (por ejemplo, en un disco externo), ya que, si hay un problema con él, será complicado recuperarlos; lo ideal es que se guarden incluso fuera del recinto, pues si se produce, por ejemplo, un incendio o una inundación, se acabarán perdiendo.
(Fuente: Expansión)
No hay comentarios:
Publicar un comentario