Volver al lápiz y al papel puede resultarte romántico, pero… ¿y si ha sido por culpa de un ataque informático que ha paralizado tu empresa? Entonces ya no resulta nada cool y nos ponemos como locos a buscar artículos para crear un plan de ciberseguridad.
Por cierto, aquí tienes uno que no te va a dejar indiferente. 😉
Y es que nos engañamos pensando que nuestra información no
es tan importante.
<< ¿Quién va a perder el tiempo con nosotros organizando un
ciberataque? >>
Tú también lo has pensado más de una vez, ¿verdad? Quizá por ello las pymes somos la principal diana de los ciberdelincuentes. Las más vulnerables y también las más atacadas.
Sí, la tuya también.
Fíjate, el Observatorio Español de Delitos Informáticos muestra datos reveladores. De 2014 a 2018 las violaciones cibernéticas pasaron de 50.000 a 110.613 casos. A día de hoy las cifras se han vuelto a duplicar.
Pero, ¿qué implicaciones reales puede tener un ataque cibernético para tu empresa?
Volvamos a cifras reales y contrastadas. Un rescate de datos para tu mediana o pequeña empresa causada por un ataque cibernético puede suponer entre 3.000 y 12.000 euros. Sus consecuencias pueden superar los 200.000.
Y no hablamos solo de finanzas. Su repercusión en la confianza de tus clientes puede convertirse en un lastre difícil de superar.
En definitiva, tienes que aprender a proteger tu empresa y diseñar un plan global de seguridad. Resulta imprescindible. Es una inversión clave para la transformación digital de tu negocio.
Pero, ¿por dónde empezar?
Básicos esenciales, buenas prácticas, recursos tecnológicos y humanos, servicios de terceros, seguros ciber, … No te preocupes, aquí encontrarás toda la información que necesitas para comenzar e ir de 0 a 100.
Qué es y por qué crear un plan de ciberseguridad
Seguro que te estás imaginando a un freaky con gafas de culo de botella rodeado de cables, servidores y pantallas sentado 24 horas en un oscuro garaje. Restos de pizza y latas vacías de bebida energética tiradas por todas partes y un tic nervioso en la pierna que ya me está sacando de quicio.
Así eran los hackers de hace 15 o 20 años. Hoy son equipos formados por cientos de personas, equipados con las últimas tecnologías y enormes recursos.
Sin ellos no existiría la ciberseguridad. Pero, ¿qué es en realidad?
La seguridad en materia cibernética no es más que un conjunto de reglas, técnicas y métodos orientados a proteger un sistema tecnológico que alberga información.
Ordenadores, servidores, dispositivos móviles o electrónicos, redes, etc. Todos ellos son vulnerables a los ataques maliciosos de ciberdelincuentes.
Porque debes pensar en internet como si fuera una gran autovía repleta de salidas. Algunas de ellas conducen hasta tus ordenadores, dispositivos, aplicaciones y datos privados personales o de clientes.
Se trata de controlar el tráfico para dejar pasar solo a quién tú decidas con seguridad y garantías.
Seguro que ya te has topado con alguno de estos delincuentes informáticos. Estos son los ciberataques más frecuentes:
- Virus o gusanos que anulan o destruyen tu sistema (23 %).
- Fraudes financieros a través del correo electrónico como el famoso phishing (21 %).
- Secuestro de datos y archivos a cambio de un rescate a través de un software malicioso como Ransomware (19 %).
Por desgracia no existe un sistema de seguridad informática fiable y efectivo al 100 %. Tampoco un casco o una carrocería que te garantice salir ileso de un accidente. Y sin embargo, cada vez que sales de viaje tomas medidas de seguridad que te salvan la vida.
Veamos cuáles son.
Las 3 medidas clave de seguridad informática. Básicas pero esenciales
Comienza el viaje y lo primero es equiparte con un casco integral. Además, debes revisar el aire de tus neumáticos y la fiabilidad de tus frenos. Veamos las 3 medidas esenciales de ciberseguridad.
1. Antivirus con protección contra malware y firewall incorporado
Instalar un antivirus es la primera capa de protección de tu empresa. A pesar de ello, no le prestamos suficiente atención.
Tienes que invertir en un antivirus de calidad. Uno que te proteja frente a amenazas externas y que analice dispositivos como pendrives o tu correo electrónico.
Además, debería contar con un firewall.
Su objetivo es crear un muro de fuego infranqueable para todo aquel que quiera entrar en tu red privada sin autorización. Supervisa los datos entrantes y salientes determinando qué accesos deben ser bloqueados.
2. Realiza copias de seguridad periódicas y comprueba que se están haciendo
Con esta segunda medida no te voy a descubrir nada nuevo, ¿o sí?
¿Eres de los que todavía no hace copias de seguridad en condiciones? Porque no se trata solo de copiar todos tus datos, sino de hacerlo de forma periódica y frecuente.
Además, es imprescindible comprobar los backups que hayas realizado y guardarlos en diferentes ubicaciones.
Así, en caso de pérdida o ataque sabrás que al menos tienes una. Una copia disponible para restaurar el sistema cuando todo haya pasado.
La nube puede ser una de las mejores aliadas para externalizar el almacenamiento seguro de tus datos. Es el sistema más utilizado por las pequeñas y medianas empresas.
Sin embargo, antes de contratar un servicio en la nube, infórmate bien. Asegúrate de conocer al proveedor y pregúntale por la ubicación de sus centros de datos, garantías, etc.
3. Actualización regular de software
Un software no actualizado es lo mismo que una puerta abierta al tráfico con acceso libre a tu sistema. De ahí la importancia de mantener actualizado tu software y tu sitio web, incluidos sus plugins.
Si no estás dispuesto a tomar estas medidas iniciales mínimas, de nada te servirá invertir en antivirus, auditorías o empresas externas especializadas en ciberseguridad. No podrás mantenerte alejado del peligro.
Porque antes o después sufrirás un ciberataque, es solo cuestión de tiempo. Y no estarás protegido.
Espero que este enésimo taladro sea el que te haga tomar conciencia. Son medidas mínimas, no las dejes para otro momento.
Los 5 estándares de seguridad cibernética que debes implantar ya en tu empresa
Te he hablado de las medidas más básicas y esenciales para comenzar un viaje seguro. Sin embargo, tu empresa requiere de mucho más para mantenerse a salvo. Estas son las 5 mejores prácticas de ciberseguridad que debes implementar.
1. Asegura tus contraseñas y combínalas con métodos múltiples de autenticación
Para que tus contraseñas sean indescifrables ten muy en cuenta estas 4 recomendaciones:
- Utiliza secuencias largas de al menos 8 caracteres.
- Evita palabras que aparezcan en el diccionario.
- Combina letras con números, mayúsculas, minúsculas y otros símbolos.
- Nunca emplees tu nombre de usuario.
Aun así, el uso de contraseñas es cada vez menos seguro. De ahí la importancia de emplear factores de autentificación múltiples para conceder el acceso a un sistema o a una aplicación concreta.
Por tanto, combina el uso de contraseñas con:
- Preguntas de seguridad.
- Certificados digitales o tarjetas inteligentes.
- Huellas dactilares o reconocimiento facial, etc.
Y por último recuerda, no reutilices nunca tus contraseñas para varias cuentas. De lo contrario cualquier hacker informático podrá acceder a tus sistemas con facilidad.
Este tema es un engorro, lo sé. Pero hay solución. Existen herramientas de gestión de contraseñas que garantizan su seguridad y te evitan recordarlas o el riesgo de apuntarlas.
2. Accede y navega de forma segura en la red. Wi-fi y protocolo HTTPs
Siempre le dices a tu hijo que no coja nada del suelo, ¿verdad?
¿Y qué haces tú? Entras en cualquier sitio y lo primero que haces es conectarte a una red wi-fi sin saber si es segura.
Acabas de dejar la puerta de tus oficinas abierta con entrada libre a tus sistemas. Proteger la wi-fi de tu empresa y vigilar a qué redes te conectas es básico.
También les decimos a los niños una y otra vez que no hablen con desconocidos. Sin embargo, al entrar en una página web, ¿te fijas si tiene HTTPs? ¿La tuya lo tiene?
¿Sabes qué es el HTTPs de un sitio web?
Se trata de un protocolo que cuenta con certificado SSL/TLS instalado en el servidor. Este certificado cifra los datos transmitidos desde el navegador hasta el servidor y los protege frente a intrusos.
Además, permite vincular tu identidad de marca con tu presencia web generando confianza a tus visitas. Es decir, aquellas personas que entren en tu página sabrán que detrás de ella existe una empresa y no impostores preparados para un fraude.
3. Gestiona los niveles de privilegio de los distintos usuarios
La cámara acorazada de un banco no está abierta a cualquiera. Además, solo unos pocos tienen acceso y deben atravesar diferentes puntos antes de llegar a ella.
Así debes pensar en tu empresa.
No todos tus empleados, miembros o colaboradores necesitan un acceso global. A unos les bastará con tener permiso de lectura y para otros será suficiente la lectura y edición. La administración solo estará abierta a miembros privilegiados.
Al principio puede ser un trabajo laborioso, pero es la clave para evitar que la información se pierda, se manipule o inutilice. Y muchas veces no por un ciberataque, sino por un simple descuido o error.
Por tanto, planifica un acceso basado en la limitación por funciones. Y si se trata de un sistema crítico, limítalo al máximo.
4. Protege los dispositivos móviles
La política BYOD, “Bring Your Own Device”, que permite y fomenta el uso de dispositivos personales en el ámbito corporativo, es cada vez más habitual. Ha convertido móviles y tabletas en herramientas de trabajo y productividad cruciales.
Sin embargo, también ha multiplicado el número de accesos abiertos a la red corporativa. Y con ello nuevas amenazas de ataques cibernéticos.
Es imprescindible concienciar a los empleados y establecer medidas de prevención que disminuyan al máximo los posibles riesgos.
Debemos tener siempre presente que estamos usando un mismo dispositivo a nivel personal y profesional. Por tanto, hemos de establecer las mismas políticas de uso y seguridad que tomaríamos si el entorno fuera solo laboral.
5. Blinda tu correo electrónico
Empecemos con números porque tu bandeja de entrada es la más vulnerable.
El 93% de los delitos informáticos utilizan el correo electrónico como vía de acceso. Con estas cifras comprenderás la importancia de tomar medidas y concienciar a todos tus empleados, proveedores, colaboradores, etc.
Basta con que una sola persona cometa un descuido para infectar a todos los demás. Y solo por abrir un email que parecía de confianza.
Las principales consecuencias son la pérdida o revelación de datos y los ataques del tipo phishing. ¿Te suena esta práctica?
Te la mencionaba al comienzo del artículo. El phishing está a la orden del día, e incluso se ha vuelto viral en casos como el de Coca Cola o Cruz Roja. Pero no solo afecta a grandes empresas. De hecho, las más afectadas son empresas como la tuya o la mía.
Pero, ¿en qué consiste este fraude informático?
Se trata de una suplantación de identidad para obtener datos confidenciales a través de tu correo electrónico.
Nos envían un mensaje que parece ser de una empresa de confianza, o incluso de un colaborador o amigo. En realidad no era así, se trataba de una estafa.
Suele incluir un enlace donde ingresamos tranquilos y seguros nuestros datos privados. La información, datos bancarios incluidos, van directos a manos del llamado phisher. Te puedes imaginar las consecuencias…
Llegados a este punto, ¿cómo ves la seguridad de tu empresa? ¿Ya tienes instaladas todas las medidas de seguridad digital que hemos comentado?
Verás que hasta ahora no te he hablado de introducir complejos sistemas tecnológicos. Todas son prácticas sencillas, pero indispensables que debes implementar de inmediato. No solo en tu empresa, también en tu día a día.
<< Y en caso de infección de un equipo, ¿qué hago?>>
En caso de que no hayas tomado alguna de estas medidas o de que todo haya fallado, hay que reaccionar rápido. Aísla de inmediato el equipo afectado para evitar el contagio de los demás.
Una vez incomunicado haz una limpieza completa del sistema y restáuralo de nuevo. Si has hecho copias de seguridad, claro. 😉
Pero no te quedes ahí, debes proteger a tu empresa de futuros ataques, porque los habrá. ¿Y si comienzas por trazar un plan director de seguridad cibernética?
Un plan de ciberseguridad global para tu empresa en 4 pasos
La ciberseguridad para las compañías que ya han dado el paso no está considerada como una partida de gastos, sino como una inversión. Es una parte esencial integrada en sus modelos de negocio.
Estas empresas saben que un plan estratégico de ciberseguridad a la larga supondrá:
- Ahorro.
- Ventaja diferencial frente a sus competidores.
- Confianza para sus clientes.
¿No te parecen razones suficientes para apostar por ello?
Veamos cómo diseñar un plan global de seguridad cibernética a la medida de tu empresa.
1. Realiza un análisis de riesgos y amenazas
Antes de comenzar el estudio hazte estas 4 preguntas:
- ¿A qué se dedica mi empresa?
- ¿Qué procesos pueden ser más críticos o cuáles son mis activos más valiosos?
- ¿Cómo voy a protegerlos?
- Y en caso de accidente o ataque, ¿con cuántos procesos puedo contar para seguir trabajando?
Y es que los datos que manejamos son cada vez más complejos. Por ello, el primer paso para evitar robos es conocer:
- Qué datos manejas y cuáles están en circulación.
- Cómo se transmiten de origen a fin.
- Dónde están los accesos no controlados a tu red.
- Cuál es su importancia para la empresa o para tus clientes.
Otra pregunta ¿Quién maneja la información más sensible de la empresa? ¿Eres tú, o depende de varios departamentos? Comercial, financiero, marketing, etc.
Existen auditorías de seguridad en red que pueden ayudarte a fondo con esta labor. Revelarán cualquier posible agujero de entrada y te permitirán establecer los diferentes grados de seguridad que requiera tu negocio.
Recuerda que cualquiera puede ser una amenaza: un empleado o antiguo empleado, proveedor, colaborador, etc.
2. Establece un protocolo estándar de respuesta frente a ataques cibernéticos
Como ya hemos comentado es imposible garantizar una seguridad al 100 %. De ahí la importancia de trazar un plan o protocolo de acción para adelantarte a posibles ciberataques.
Un plan de acuerdo a las necesidades específicas de tu empresa que incluya una persona y/o equipo responsable.
Tener unas directrices claras te permitirá estar preparado y responder de manera rápida y eficiente a un ataque. Puede ser la diferencia entre sufrir un daño menor o perder dinero, datos sensibles y clientes.
El protocolo debe incluir un plan de comunicación externa que informe a la autoridad supervisora competente tan pronto como se tenga conocimiento de la intrusión en tus sistemas. Así lo exige el GDPR.
También deberías contar con una plantilla predefinida bien redactada para comunicar el incidente a todos los afectados. Algo tan sencillo como esto puede resultar clave para mantener tu credibilidad como marca. En definitiva, para conservar tus clientes y proveedores.
Y sobre todo, tras un ataque, no te paralices. Es fundamental:
- Estudiar el fallo del plan.
- Aprender de los errores.
- Optimizar el protocolo para ataques futuros.
Un plan global de ciberseguridad es un documento vivo en constante actualización. Mantente al día sobre las últimas normativas que rigen en tu sector en el ámbito de protección digital para optimizar el plan.
3. Involucra al equipo para crear una cultura de ciberseguridad empresarial
Cualquier política de ciberseguridad debe comenzar por ti como líder y directivo de la empresa. Eres el primero que debe concienciar y educar a sus empleados para inculcar una cultura de seguridad en la empresa.
Solo así lograrás cambios y avances. Solo así lograrás mantenerte protegido y alejado del peligro.
Capacita a todo el equipo en:
- Materia de contraseñas.
- Política de uso de dispositivos y celulares.
- Navegación segura por la red.
- Almacenamiento correcto de datos.
- Actualizaciones.
- Uso del correo electrónico, etc.
Crea un ambiente de trabajo seguro en el que tu equipo se encuentre cómodo para informar sobre llamadas o textos inusuales. Y si quieres puedes implementar pruebas de simulación para mantener alerta a la plantilla.
Y por último, muy importante.
Informa al personal sobre el plan de acción establecido en caso de un ataque cibernético. Explícales los posibles incidentes, las respuestas en cada caso, soluciones y consecuencias.
Les ayudará a recordar que la ciberseguridad es trabajo de todos. Porque ellos también son responsables de mantener la confidencialidad y minimizar el riesgo.
4. ¿Y si contratas a un Hacker?
Sí, has oído bien.
Si quieres ir siempre por delante solo existe una forma, contratar un hacker de “sombrero blanco”. Puede ser el gran aliado de tu empresa para detectar vulnerabilidades y evitar ataques de hackers peligrosos, los de “sombrero negro”.
Y ahora, con todo lo que hemos hablado, piensa en la situación ideal:
Sentirte tranquilo sabiendo que la seguridad de tu empresa está en buenas manos. ¿Te imaginas?
Es posible. En seguida te digo cómo.
¿Cómo abordar la seguridad de tu empresa de forma integral y profesional?
España continúa siendo el país con más compañías calificadas como cibernovatas, el 72 %.
Y todo ello, a pesar de que las empresas que disponen de alguna cobertura para riesgos ciber ha pasado del 41 % al 61 % en tan solo un año.
Sin embargo, no vale cualquier póliza. Muchas de ellas no cubren las pérdidas de datos o no disponen de personal especializado para afrontar este tipo de amenazas.
¿Y qué hay del tiempo que tu empresa puede quedar fuera de servicio tras un ataque? ¿Lo cubre tu póliza de ciberseguridad?
Un buen seguro cubrirá todos estos aspectos y además te protegerá frente a:
- Responsabilidad civil de datos y riesgos cibernéticos.
- Interrupción de la actividad.
- Destrucción de activos digitales.
- Daño a la reputación.
- Extorsión cibernética.
- Gastos de respuestas a incidentes.
- Pérdida de fondos.
- Responsabilidad por daños a la seguridad y la privacidad.
- Gastos de defensa y sanciones normativas.
- Responsabilidad multimedia.
- Multas, recargos y gastos impuestos por el sector de las tarjetas de pago.
- Suplantanción de identidad.
No esperes a que sea demasiado tarde.
Estamos a un clic de distancia para asesorarte y ofrecerte una solución segura y efectiva a la medida de tu empresa. Comienza tu plan de ciberseguridad con Escudo Ciber, puedes descubrirlo aquí.
0 comentarios