Octubre fue el mes de la ciberseguridad, una campaña importante que trata de sensibilizar a todos los usuarios digitales sobre la importancia de contar con actitudes, conocimientos y herramientas que les permitan protegerse de las amenazas en la red. Es una iniciativa de la ENISA (Agencia de ciberseguridad de la unión europea), y se celebra desde el año 2011. Una campaña que no debería circunscribirse solo a un mes, por su significancia cada vez mayor.
Tanto a nivel de la ciudadanía como en el entorno empresarial, todos somos potenciales víctimas de un ciberataque. Acciones como descargar software de origen desconocido, conectarse a redes públicas sin VPN, no actualizar el software al 100%, o el uso de contraseñas débiles son el día a día de la mayoría de la población y también lamentablemente del mundo empresarial.
Índice de temas
Sin rigor ni planificación, estamos expuestos
El dato y su gestión son la base de cualquier empresa en la actualidad. Las necesidades de negocio, la estructura y conocimiento de nuestros equipos humanos, así como la estructura y despliegue de nuestros sistemas, condicionan el flujo de esta información vital. Desde cómo se gestiona, a cómo se almacena, en todos los puntos en los que hay intervención humana, existe el riesgo del error, o de una mala planificación o ejecución.
Por otro lado, nuestro tejido empresarial está casi al 100% formado por autónomos y pymes. La ausencia de especialistas en seguridad así como de un plan de prevención en seguridad en las empresas, son la tónica general en nuestro país. No todo el mundo tiene los recursos humanos o el presupuesto para permitírselo. Pero si existe una gran amenaza o fuente de futuras incidencias, es la sensación de estos empresarios y empresarias de pensar que por ser “pequeños”, no van a ser víctimas de un ciberataque. Lo cierto es que el 43% de los ciberataques sufridos en el sector empresarial están dirigidos a pequeñas empresas y profesionales. El componente más caro de estos ataques es la recuperación de datos, que se lleva un 43% del total que suele rondar los 36.000€ de media, y que provoca que el 60% de estas empresas desaparezcan a los seis meses del ataque por no poder enfrentarse a ese coste.
Medidas básicas de seguridad para empresas
Partiendo de que no existe un sistema de seguridad que sea seguro al 100%, el objetivo de los planes de seguridad y prevención consiste en poner en marcha una serie de procesos, protocolos e infraestructura que permitan a cualquier profesional o empresa ponérselo muy difícil a los ciberdelincuentes a todos los niveles.
Nivel usuario
- Equipos informáticos con antivirus actualizado conectados en una red monitorizada a través de VPN o una red privada al conectarse desde una oficina o desde cualquier lugar para los que estén teletrabajando.
- Formación específica en seguridad. Cómo detectar Phishing, antesala del Ransomware, cómo mantener equipos actualizados y cómo detectar potenciales amenazas en su trabajo diario.
- Uso de contraseñas seguras y doble factor de autenticación, un básico.
Nivel aplicativo y presencia en Internet
- Uso de infraestructura y sistemas securizados, no se debe escatimar en servicios de hosting y/o servicios en la nube, por poner un par de ejemplos.
- Backup en periodicidad y formato adecuados al negocio y al flujo de trabajo. Como mínimo un backup diario, con la posibilidad de recuperar diferentes formatos dentro de nuestro esquema de datos (email, bases de datos, aplicaciones…), varias copias y a ser posible ubicadas en localizaciones diferentes.
- Actualización de todo el software en todos los niveles a la última versión. Si tu aplicativo no funciona con lo último será necesario tomar medidas de aislamiento o cambiar de aplicativo directamente, es tu negocio lo que está en juego. Las actualizaciones automáticas de software son recomendadas cuando no tienes un equipo técnico propio que gestione tu infraestructura, suelen ofrecerse en proveedores de hosting de servicios gestionados.
- Certificados de seguridad TLS, firewall web actualizado, parches de día cero, herramientas de revisión de permisos de ficheros y carpetas, scripts o hardware para evitar ataques de fuerza bruta, DoS, DDoS, entre otras
- Una política clara de quién accede a qué, cómo y desde dónde lo hace. Permisos y roles claros en toda la organización, nadie tiene acceso a datos que no le corresponden.
El siguiente nivel sería a nivel empresarial, y no me refiero a infraestructura, poner en marcha un plan de seguridad, o al software, sino a la filosofía de la empresa. Sólamente un equipo de dirección consciente de la amenaza real y de los riesgos a los que se enfrentan, tendrá la iniciativa necesaria para asentar en la empresa la actitud necesaria capaz de afrontar todos estos retos con éxito. Cultura corporativa y medios para seguridad, junto con formación y un planteamiento claro, son la combinación perfecta para ponérselo muy difícil a los ciberdelincuentes. Ahora, ¡A trabajar en ello!