10 consejos para que tu empresa no se vea afectada
En una sociedad tan avanzada como la actual, con todo interconectado, la economía y nuestra privacidad pueden sufrir serios ataques, los cuales son de lo más diverso.
En este artículo hablo sobre todo de seguridad informática para empresas, pero lo cierto es que son consejos aplicables al ámbito doméstico también. Si los tienes en cuenta, puede que te ahorres algún que otro quebradero de cabeza.
Recomendaciones en seguridad informática
Van a ser diez consejos tan solo pero te ayudarán a ganar en seguridad y navegar algo más tranquilo, sabiendo que has hecho lo que está en tu mano para evitar ataques.
Consejo 1º: No recopilar datos innecesarios sobre los clientes
No traiciones la confianza que han depositado en tu empresa guardando confidencias o datos que no estén relacionados con la actividad comercial de tu negocio.
Si tu empresa sufre un ataque y roban datos, los de los clientes son los que más interesan a los piratas informáticos ya que les han pagado para que se hagan con esa información. Comprometerías la privacidad de tu clientela y mancharias la imagen de tu compañía.
Si tienes alguna subcontrata, el acceso a los datos debe ser el justo y necesario para que el servicio que ofrezcan sea efectivo. A tus clientes, comunícales que dichas empresas tienen esa info (han de autorizarlo).
Consejo 2º: Uso seguro del correo corporativo y RRSS
El email es el vector más usado para introducir un ataque en cualquier red infórmatica, seguido de las RRSS.
Jamás abrir correos (o descargar archivos) cuyo origen desconozcamos.
Incluso si parece que procede de alguien conocido, comprobarlo antes llamando a esa persona para cerciorarnos de que, en efecto, nos ha mandado ese correo.
En especial, debemos tener cuidado con acceder al correo de empresa mediante nuestro teléfono móvil, porque pocos son los que tienen sus dispositivos con medidas de seguridad como un simple antivirus. Por otro lado, es habitual dejar abierta la sesión de correo, para que sea más cómodo acceder al mismo. Es un grave error, sobre todo si lo hacemos desde nuestros móviles.
Lo mismo si hablamos de las redes sociales. No debiera usarse, bajo ningún concepto, un equipo del trabajo para acceder a redes sociales o cuentas particulares por el riesgo elevado que implica de que el ciberdelincuente halle alguna puerta de entrada hacia la red corporativa.
Consejo 3º: Segmentar la información comprometida
Debe depositarse la información más sensible en un sitio aparte.
Por otro lado, puede recurrirse a los archivos tradicionales y las cajas fuertes de toda la vida porque así los ciberdelincuentes no hallarán los archivos digitales con esa información.
Si todo lo tenemos en el mismo sitio, en el caso de que sea atacado, lo perderemos todo. Lo mejor: hacer copias de seguridad periódicamente, que se almacenen en discos duros aparte. El director de la oficina o aquellos en quiénes delegue sabrán dónde se hallan las distintas carpetas de datos.
Consejo 4º: ¡Cuidado con los dispositivos conectados a la red!
Es lo que se denomina IoT (Internet of Things): todos esos aparatos que se controlan vía wifi.
A través de estos dispositivos se puede acceder a la red ya que no suelen estar protegidos con medidas antivirus.
Vehículos de empresa, teléfonos móviles corporativos, relojes inteligentes, pantallas digitales, electrodomésticos que se conectan de forma remota, todo conectado al router de la oficina (o de nuestro hogar).
El router no suele revisarse para asegurarlo frente a los ataques. Se corre un alto riesgo de que los piratas accedan a la red mediante cualquiera de esos dispositivos.
Consejo 5º: Control del teletrabajo
Es muy cómodo tanto para empleados como incluso para los propietarios o directivos de la empresa. Se gana espacio en las oficinas, cuyo alquiler suele ser desorbitado, pudiendo emplear el dinero que no se gasta en más metros cuadrados en otros aspectos de la actividad de la empresa.
Pero es muy arriesgado, desde la perspectiva de la ciberseguridad.
Muchos empleados se conectan a través de redes públicas que son inseguras; incluso la red doméstica puede serlo, si no se revisa adecuadamente. Por lo que accedemos a la red de la empresa desde otras que no ofrecen suficiente seguridad. Debe vigilarse especialmente, registrando las horas y quiénes acceden en todo momento (y desde dónde).
Consejo 6º: Contrata un servicio de ciberseguridad y relájate
Contratar un buen servicio de seguridad informática, no reparando en medios si la empresa puede permitírselo, es una apuesta segura.
Ahorrar en este aspecto puede resultar después, tras un ataque, muy caro.
El director ejecutivo de la empresa ha de estar al tanto de las medidas de seguridad e incluirlas entre sus prioridades y que mejor que dejarlo en manos de expertos. Por ejemplo, revisarán las actualizaciones del sofware que la empresa use ya que en las mismas figuran los parches de seguridad que los proveedores van incorporando a medida que detectan vulnerabilidades (si no puedes contratar a un experto, mantén automatizadas las actualizaciones para que el sistema lo haga por sí mismo).
Consejo 7º: Formación básica de los empleados; al menos lo primordial
Los trabajadores de cualquier empresa suelen tener un conocimiento nulo en materia de ciberseguridad; ni siquiera cambian, periódicamente, la contraseña de sus correos corporativos o las claves de acceso a la intranet.
Las contraseñas más utilizadas siguen siendo las compuestas de números correlativos. Refleja la despreocupación e ignorancia sobre algo que creemos no va a suceder, hasta que ocurre.
Por lo tanto, un cursillo (puede ser online) sobre medidas básicas de seguridad informática para que sepan como aplicarlas a su trabajo y no esperar que cualquier contingencia se la resuelva el equipo de ciberseguridad, ahorrará tiempo y dinero.
Lo normal es que se carezca de algún experto en ciberseguridad en nómina, sobre todo en empresas pequeñas (las medianas contratan a alguno para que revise la red periódicamente). Es por lo que debiera tenerse en cuenta la formación básica como herramienta para evitar los incidentes de menor calado, que son los mayoritarios.
Consejo 8º: Autenticación en varios pasos; ¿qué no entre cualquiera?
Como hacen todos los Bancos, así debieran hacer tus empleados para el acceso remoto a la red corporativa o tus clientes.
Cuando acceden vía remota (teletrabajo, por ejemplo), el sistema pudiera hacerles a los empleados o funcionarios una pregunta cuya respuesta solo ellos sepan responder.
Es un ejemplo tan solo, hay otras opciones de autenticación que se han hecho populares, como el envío de un código a su teléfono móvil.
Consejo 9º: No dejar abierto el pc del trabajo; cerrar sesión siempre
Sobre todo si usamos el móvil, si no cerramos sesión, un pirata informático lo aprovechará para acceder a la sesión abierta. No tendrá que sortear el paso de la introducción de claves de acceso; se lo hemos puesto muy fácil.
Con los ordeandores ha de ser igual: hay que cerrar siempre la sesión, lo cual no suele hacerse porque nos resulta cómodo llegar al trabajo y simplemente encender la pantalla y comenzar a trabajar. Nos disgusta esa espera de varios minutos hasta que el ordenador arranca, pero debiera ser norma obligada en cualquier oficina.
Si apuramos, habría también que desenchufarlos (una regleta de apagado seguro es suficiente; ya sabes, de esas con interruptor).
Consejo 10º: Tener claro a qué páginas accedemos
Si al acceder a una página, el sistema nos avisa de que no es segura, pero nos extraña porque sabemos que es de una entidad conocida, mirar detenidamente la url (dirección web) para cerciorarnos de que es la correcta.
Los crackers cambian algún carácter pero dejan el resto para que parezca la dirección real porque saben que la mayoría de usuarios no se entretienen en comprobarlo.
No instalar programas no autorizados por el equipo de ciberseguridad de la empresa, porque creamos que nos facilitará el trabajo.
Consultar antes con los técnicos sobre nuestras dudas y que sean ellos los que asesoren sobre qué sofware o sitios webs son más recomendables según sean nuestras necesidades.
Las cifras del cibercrimen
Se calcula que, mínimo, las pérdidas ocasionadas por los ciberdelincuentees superan los 50.000 millones de euros al año. No solo se ve afectado el presupuesto de la entidad atacada sino la credibilidad de las multinacionales del País y más si es una gran potencia.
En torno al 43% de las empresas, cuya plantilla supera los 250 empleados, han sufrido ciberataques. Lo dice el informe Hiscox Cyber Readiness 2021 de una de las compañías aseguradoras más prestigiosas. Su estudio, que lleva realizándose desde hace cinco años, se ha llevado a cabo en ocho países: EEUU, Gran Bretaña, Alemania, Francia, España, Holanda, Bélgica e Irlanda.
Si nos vamos a Latinoamérica, el coste de los ataques cibernéticos supera, en conjunto, los 90.000 millones de euros.
Según la Organización de Estados Americanos, tan solo la quinta parte de los Países del continente cuentan con estrategias para hacer frente al cibercrimen. Es un porcentaje similar al del resto del Mundo.
En España, más de la mitad de las grandes empresas han reconocido ciberataques
Para los delincuentes cibernéticos el principal objetivo es la Administración Pública, después la Banca y en tercer lugar el sector privado; dentro del mismo, las empresas de bebidas y alimentación se llevan la palma.
Desde 2016, la Unión Europea mantiene una estrategia de ciberseguridad que abarca tanto al sector público como privado. Para el programa "Europa Digital", la inversión prevista es de 1.600 millones de euros.
No en vano, el ciberespacio es el quinto ámbito de combate en las estrategias defensivas militares actuales (las otras cuatro son tierra, mar, aire y el espacio exterior). La ciberdiplomacia se está desarrollando como una herramienta defensiva más.
La UE ha puesto en marcha el Centro Europeo sobre Ciberdelincuencia del que se ocupa EUROPOL del mismo modo que existe la Agencia Europea de Ciberseguridad que se encarga de aplicar el Reglamento sobre Ciberseguridad de la Unión, que data de 2019. Por otro lado, desde Budapest, el Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad dirige la red europea de centros estatales de coordinación, los cuales han registrado un incremento notable de los ataques en el último año (una media del 15%).
Una de las prioridades es proteger las redes 5G. Con las redes actuales, la seguridad está muy comprometida, siendo la mayor parte de los ciberataques por motivos de robo de datos y espionaje.
Las compañías comerciales de casi todo el Mundo están cambiando sus estructuras adaptándolas a la era digital. Pero al mismo tiempo se vuelven más vulnerables. En Ucrania puede verse, puesto que desde Rusia se han lanzado numerosos ataques con malware (se ha detectado el virus informático "Wiper") que busca paralizar el tejido industrial y empresarial de Ucrania.
En España y otras grandes potencias turísticas, la industria del turismo es un objetivo primordial.
Los piratas informáticos buscan provocar que la empresa objetivo no pueda prestar sus servicios, robando datos de sus archivos, lo que perjudica su imagen ante los clientes causándole grandes pérdidas.
El autor del presente post es perito forense experto en ciberdelincuencia y conducta criminal en la Web así como especialista en ciberterrorismo.