
Riesgos cibernéticos

CONSEJOS DE PREVENCIÓN
Maneras para evitar los riesgos cibernéticos
Estas son algunas de las medidas que puedes establecer en tu negocio para tratar de evitar un incidente cibernético, sin tener que realizar grandes inversiones ni contratar técnicos especializados.
Detalla una política de ciberseguridad
Para tener una política de ciberseguridad estructurada debes adoptar estas medidas:
• Define y documenta una política corporativa de seguridad cibernética.
• Elabora la política en base a un análisis de riesgos (activos, vulnerabilidades y amenazas).
• Incluye en la política un plan de ciberseguridad, que contemple un presupuesto específico, los riesgos identificados y las medidas a adoptar como, por ejemplo, la contratación de un seguro de riesgos cibernéticos.
• Desarrolla la política por medio de un plan de protección y reacción en caso de incidentes o ataques cibernéticos (Plan de ciberseguridad o de respuesta a incidentes).
• Documenta esta política y difunda y haz cumplir el plan por parte de todo el personal de la empresa.
• Asegura que no se utilizan procedimientos informales o no establecidos en la política de seguridad cibernética.
• Diseña un plan sencillo, en el que se detalle de forma simple y clara los activos a proteger y las normas o procedimientos a cumplir por todo el personal, así como los roles y responsabilidades de cada uno de ellos.
• El plan puede elaborarse tomando como base las actividades y acciones a adoptar en cada uno de los otros apartados de estos consejos frente a riesgos cibernéticos.
• Realiza un seguimiento periódico de la implantación del plan y actualízalo en consecuencia.
Protección de la información
Para proteger los datos y la información que maneja tu empresa debes adoptar las siguientes medidas:
• Documenta y mantén operativo y actualizado un plan de back-up (respaldo o copia de seguridad) de los datos e información que maneja la empresa, incluyendo la configuración de los sistemas y de las aplicaciones. El plan debe incluir:
√ Relación de activos que deben respaldarse obligatoriamente, por su importancia o carácter crítico, detallando su ubicación física o virtual.
√ Periodicidad o frecuencia de realización de la copia de respaldo.
√ Periodo de tiempo en que deben conservarse las copias efectuadas.
• De acuerdo con lo establecido en el plan de back-up, realiza copias de seguridad de los datos e información de la empresa con periodicidad, manual o automáticamente, incluyendo aquello que se ha almacenado en la nube.
• Realiza las copias de respaldo en unidades de almacenamiento físico independientes (disco duro, servidor, etc.) y guárdalas en lugar seguro distinto de aquel donde se encuentran los equipos cuyos datos e información se han resguardado.
• Verifica periódicamente que la copia de seguridad puede restaurarse sin fallos ni pérdidas, y asegúrate de que la aplicación o software de respaldo funciona.
• Mantén actualizado y disponible el software de arranque de los sistemas.
• Documenta y mantén un plan de clasificación, protección y utilización de la información sensible, donde se identifique:
√ Qué información es crítica para la empresa y dónde se encuentra almacenada.
√ Cuál es su nivel de clasificación (libre o pública, confidencial, secreta…) y como se distinguirá cada nivel.
√ Quién tiene acceso a cada uno de los niveles y en qué condiciones.
√ Normas de uso de esta información, borrado y destrucción incluidos, conocidas por todo el personal de la empresa, incluyendo las posibles consecuencias de su incumplimiento.
• En caso de almacenamiento virtual o en la nube:
√ Utiliza servicios que aseguren el almacenamiento seguro de datos e información y la disponibilidad para recuperar (restaurar) los datos copiados.
√ Cifra o protege de alguna otra forma la información sensible durante su transmisión y almacenamiento y utiliza servicios que envíen notificaciones cuando se produzcan eventos (cambios, borrado, almacenado, descarga, etc.).
√ Asegura la confidencialidad, integridad y disponibilidad de datos e información alojados en la nube mediante contrato con el proveedor donde se especifiquen las responsabilidades de cada parte.
Navega por internet de manera segura
Para emplear las redes de forma segura conviene que adoptes estas medidas en tu empresa:
• Utiliza un cortafuegos (firewall) para proteger la red, bien habilitando el propio del sistema operativo o instalando uno de los disponibles en el mercado (libre o con licencia).
• Si la empresa dispone de una red wifi, asegúrate de que esté oculta configurando el punto de acceso inalámbrico para que no transmita el nombre de la red (SSID; Service Set IDentifier o identificador del conjunto de servicios).
• Asegúrate de igual forma de proteger con contraseña (cambiando la que viene preinstalada) de modo que solo pueda acceder a la red wifi el personal autorizado.
• Si es posible, configura la red wifi de manera que sus usuarios autorizados no conozcan la contraseña.
• Si utilizas una red wifi abierta, para uso de invitados o clientes, ésta debe configurarse de forma separada a la de la empresa.
• Establece políticas de descarga e instalación de aplicaciones por medio de la red de forma que solamente pueda hacerlo el personal debidamente autorizado.
• Define una política de navegación segura por la web que incluya aspectos tales como los siguientes:
√ Utilizar contraseñas fuertes y cambiarlas periódicamente. Una contraseña fuerte es aquella que combina letras, números y otros caracteres, junto con mayúsculas y minúsculas.
√ No descargar archivos y aplicaciones online o hacerlo solamente de sitios web certificados.
√ No hacer clic sobre enlaces desconocidos o sospechosos o, en todo caso, sin antes verificar la dirección web completa.
√ No utilizar las redes sociales personales en la red corporativa.
√ Al realizar transacciones online, verificar que se utiliza una conexión segura (https en lugar de http).
√ Efectuar regularmente un borrado de cookies y rastros de navegación.
Protégete contra el código malicioso:
Para protegerse contra el malware conviene adoptar las siguientes medidas preventivas:
• Asegúrate de que todos los equipos de la empresa están equipados con software antivirus y antispyware y que se actualizan regularmente.
• Asegúrate de que todos los equipos que puedan ser utilizados para correo electrónico están equipados con filtros antispam.
• Configura las aplicaciones para que instalen las actualizaciones automáticamente.
• En caso contrario, instala los parches de seguridad proporcionados por los proveedores en cuanto los reciban.
• Si utilizas servicios en la nube, asegúrate de que dispones de protección contra el malware, actualiza los parches y mantén el software de seguridad.
Maneja el email con seguridad
Define una política de utilización segura del correo electrónico que incluya aspectos tales como los siguientes:
• No abras mensajes si no conoces al remitente o si son inesperados.
• Sospecha de los mensajes que no están dirigidos directamente a la persona destinataria o no utilizan su nombre correcto.
• No respondas ni reenvíes correos del tipo cadena (pidiendo que se reenvíe a los contactos).
• Se muy cuidadoso y precavido al hacer clic en cualquier enlace o abrir un archivo adjunto.
• Utiliza un filtro antispam para correo electrónico no deseado.
• Elimina los mensajes de spam sin abrirlos.
• No compartas la dirección de correo electrónico en línea a menos que sea necesario.
• Configura, si es posible, una dirección de correo electrónico diferente para utilizarla en formularios online o para transacciones.
• Dispón, en la medida de lo posible, de cuentas de correo diferentes para uso personal y empresarial o comercial.
• Verifica la autenticidad de los mensajes sospechosos por otros medios (teléfono, etc.) utilizando datos de contacto de una fuente segura (no los del correo).
• Asegúrate de tener instalado un antivirus actualizado en cualquier dispositivo utilizado para acceder al correo electrónico.
• Si es posible, protege tus cuentas de correo electrónico con la autenticación multifactor (más de una contraseña).
Política de acceso a sistemas y equipos
Define una política de acceso remoto seguro a sistemas y equipos que incluya aspectos tales como los siguientes:
• Impide el acceso o el uso de equipos por parte de personas no autorizadas.
• Utiliza contraseñas fuertes, diferentes para cada equipo o persona.
• Actualiza (cambia) las contraseñas periódicamente.
• Asegúrate de que no se almacenan o mantienen las contraseñas en los equipos y sistemas (de forma especial en la navegación web).
• Proporciona a todo el personal acceso individual, con cuenta de usuario y perfil propio, no compartido.
• Proporciona a cada persona acceso exclusivamente a los sistemas, equipos y funciones imprescindibles para desarrollar su labor.
• Otorga privilegios de administración solamente al personal estrictamente necesario.
• Limita o restringe el acceso físico al hardware de equipos y sistemas.
• No sitúes o protejas conexiones de red en zonas de acceso público de la empresa.
• Almacena los dispositivos portátiles no utilizados en lugares seguros.
• Asegúrate de que todo el personal usa contraseñas seguras en los dispositivos móviles.
• Asegúrate de que los dispositivos móviles no se configuran para iniciar sesión automáticamente.
• Utiliza, si es posible, para el acceso a sistemas y equipos la autenticación multifactor (solicitar más de una contraseña).
• Suprime los privilegios de acceso remoto al personal que ya no los necesita o no sigue en la empresa.
• En caso de utilización de servicios en la nube, debe conocerse su capacidad de asegurar un acceso protegido, a ser posible con autenticación multifactor, y con privilegios diferentes, limitando al máximo posible el número de usuarios permitidos.
• Siempre que sea posible, utiliza aplicaciones software del tipo VPN (red privada virtual) para acceder de forma remota.
Protección de teléfonos, tabletas y demás dispositivos móviles
Para proteger los dispositivos móviles de la empresa conviene adoptar las siguientes medidas de prevención:
• Evitar en lo posible que los dispositivos móviles contengan información de la compañía o tengan acceso a la red.
• En caso contrario, proteger los dispositivos con contraseña, cifrar los datos e instalar en ellos aplicaciones de seguridad (contraseñas y antivirus) que eviten el robo de información.
• Asegúrate de que tengan actualizado el último firmware, descargado del sitio web o de la aplicación del fabricante.
• No utilices dispositivos móviles que no permitan protección. En caso de hacerlo, evita conectarlos a la red.
• Asegúrate de configurar y cambiar las contraseñas preinstaladas al utilizar un nuevo dispositivo móvil.
• No utilices dispositivos móviles con información de la empresa en redes wifi o con equipos públicos.
• Mantén al día un sistema de registro de seguimiento de utilización o préstamo de dispositivos móviles de la empresa.
• Establece una política de utilización segura de medios de pago electrónicos (tarjetas, teléfonos, etc.).
• Establece procedimientos de actuación en caso de pérdida o robo de un dispositivo móvil.
El ‘software’ debe mantenerse al día
Asegúrate de tener actualizado todo el software de la compañía, lo que incluye:
• Actualiza periódicamente sistemas y equipos, fijos y móviles, configurando actualizaciones automáticas o de forma manual.
• Mantén y actualiza las protecciones de seguridad utilizadas por tu empresa. Esto puede incluir crear copias de seguridad, actualizar el software de seguridad, cambiar las contraseñas regularmente, etc.
• Asegúrate de que los sistemas operativos están actualizados, incluyendo los parches proporcionados por el proveedor.
• Actualiza los navegadores web.
• Verifica regularmente, e instale en su caso, el software de seguridad (antivirus, cortafuegos…).
• Asegúrate de que los proveedores de servicios en la nube mantienen actualizadas las aplicaciones contratadas.
• Si el personal de la empresa utiliza sus propios dispositivos móviles para desarrollar su labor, asegúrate de que tiene actualizadas sus aplicaciones, de forma especial la de seguridad.
• Asegúrate de que los dispositivos tengan el último firmware descargado del sitio web o la aplicación del fabricante.
• Protege los equipos y dispositivos de red (puntos de acceso inalámbrico, servidores, etc.) con parches de seguridad actualizados.
Define una política de respuesta ante cualquier percance
Diseña, aplica y mantén un plan de respuesta a incidentes, para reaccionar y responder en caso de que se produzcan, minimizar el impacto y asegurar la continuidad del negocio. Este plan debe incluir los siguientes puntos:
• Identifica los activos críticos de la empresa (datos, información, equipos, etc.).
• Distribuye roles y responsabilidades entre el personal de la empresa.
• Agrupa la información necesaria para una emergencia (listados de contactos, teléfonos, alarmas, etc.).
• Define la forma de proceder ante un incidente o ataque.
• Fija la forma de proceder ante el robo o pérdida de información.
• Establece la forma de proceder ante el robo o pérdida de un equipo.
• Marca la forma de proceder ante un bloqueo o parada de un sistema o equipo.
• Determina cuáles son los procedimientos para informar después de un incidente o ataque.
• Asegúrate de tener potencia redundante para hacer frente a los fallos en el suministro de energía.
Forma y conciencia a los trabajadores de tu empresa
La protección es una labor de equipo. Por eso, asegúrate de que el personal de tu empresa se encuentra adecuadamente formado, informado y concienciado sobre la importancia de la seguridad cibernética. Seguir estas pautas es una labor clave para lograrlo:
• Asegúrate de que todo el personal conoce sus responsabilidades en materia de ciberseguridad, así como la forma de proceder en caso de incidente o ataque cibernético.
• Organiza regularmente campañas de información y concienciación del personal de la compañía en materia de ciberseguridad:
• Utiliza equipos y dispositivos.
• Fija políticas de contraseñas, correo electrónico, técnicas de ingeniería social (phishing, etc.).
• Determina una política para el uso de redes sociales y navegación web.
• Explica a tu equipo cuáles son los tipos de ataques cibernéticos más comunes y cómo evitarlos (phishing, ransomware, etc.).
• Forma sobre las políticas de seguridad en red a todo el personal que tenga acceso a Internet o a la red interna.