Ciberseguridad – La otra Pandemia, el Ciberterrorismo

Hablemos de ciberseguridad

Se ha notado un incremento del 26%, desde 2012, en sistemas concretos dedicados a la ciberseguridad en las empresas, al igual que un aumento considerable en la demanda de expertos cualificados en dicho ámbito.

Aproximadamente 120.000 incidentes relacionados con la ciberseguridad, se registraron en 2018, de los cuales la gran mayoría fueron a empresas. Por tanto, la seguridad informática ha pasado a ser una de las grandes preocupaciones de pymes y negocios, debido al incremento robo de datos, ransomware, ciberataques, suplantación de identidad, phishing, etc.

A nivel de pymes y empresas, existen una serie de comportamientos que podemos catalogar como de alto riesgo y que para los que debemos generar una respuesta que nos aporte la seguridad que necesitamos.

La gran amenaza suele encontrarse dentro de la propia plantilla de trabajadores. Para evitarla, lo más sensato es informarles y concienciarles de que deben utilizar sus equipos informáticos o dispositivos con acceso a los datos de la empresa, con mucha responsabilidad, ya que de ello depende la seguridad global del negocio.

Un algo porcentaje de los incidentes sobre ciberseguridad que ocurren actualmente en los negocios son provocados por fallo humano. Concretamente el ochenta por ciento. Estos comportamientos, que suelen ser habituales, debemos evitarlos para cerrar esa puerta al ciberataque.

Por tanto, la ciberseguridad en las empresas ha pasado a ser una necesidad con un alto grado de urgencia, en la cual hemos de depositar todos nuestros esfuerzos para evitar la propia depreciación del negocio.

Para ello, hemos enumerado una serie de fallos humanos a los que debemos prestar nuestra atención de forma cotidiana, casi todos ellos por rotunda lógica.

1.- No debemos utilizar dispositivos de memoria externa o USB’s que pasan de mano en mano por la empresa o que conectamos al ordenador personal en nuestro domicilio, y posteriormente lo volvemos a conectar al equipo del trabajo, sin analizar previamente con algún tipo de antivirus. Una posible alternativa es utilizar la nube de la que disponga la empresa para compartir esta clase de información. Otra alternativa mas efectiva es bloquear los puertos usb de todos los ordenadores, solicitando clave de administrador para poder abrirlos.

2.- No debemos descargar sin analizar previamente, mails personales, ya que el correo electrónico es la principal vía de entrada de malware. Es de vital importancia no acceder a los buzones personales en el puesto informático del trabajo. Una alternativa para verlo es hacerlo a través del correo web, pero sólo descargarlo si estamos completamente seguros de que su contenido está limpio o le aplicamos el antivirus. Aunque por seguridad lo mejor es que nadie descargue ningún dato persona en un equipo o una red de la empresa.

3.- Tampoco debemos marcharnos sin cerrar las sesiones que tengamos abiertas o sin bloquear debidamente nuestro equipo. Lo más sensato es tener activado el bloqueo automático para así evitar que cualquier extraño al puesto de trabajo, pueda dar uso o mal uso de él.

4.- Otra forma de poner en riesgo la seguridad digital de la empresa es haciendo uso de las redes sociales personales en sus equipos de trabajo. Los mensajes o los archivos que descargamos sin haber verificado la procedencia, desde WhatsApp, Facebook, Twitter, etc. hace que abramos la puerta al malware. Incluso, a veces, habiendo verificado la procedencia nos podemos encontrar con desagradables sorpresas.

5.- Debemos evitar, desde la dirección de cada departamento, el acceso indiscriminado a través de contraseñas conocidas por toda la plantilla. Habrá que definir los permisos necesarios y su debida contraseña para cada usuario a su sección determinada, evitando así el acceso y descarga de determinados documentos de trabajadores ajenos a esa sección. Tener un protocolo de contraseñas seguras y cambiarlas cada cierto tiempo conforme al protocolo.

6.- No debemos exponer a los ciberdelincuentes nuestros dispositivos electrónicos, ya sean móviles o tablets de empresa, en redes wifi públicas; ya que estamos abriendo la puerta al robo de datos sensibles como pueden ser claves y contraseñas o datos de clientes. Así mismo si tenemos servicio Wifi para clientes, que no sea nunca a través del router y la red de la empresa, que sea otro router distinto y otra wifi aparte.

7.- Cuidado con enviar correos masivos e incluir en la lista Cc toda nuestra base de datos de clientes, ya que estamos poniendo en bandeja a la competencia nuestra propia clientela. Además de descuidar de manera deplorable la privacidad de esta última. Es un riesgo que tenemos que tener muy en cuenta de cara a una posible demanda de privacidad de datos.

8.- Ante un ataque o un fallo de seguridad es primordial dar aviso a los responsables de la entidad para evitar males mayores y poder poner remedio lo antes posible. Es importante tener y seguir un protocolo de respuesta tras un ciberataque, en el que debemos incluir la notificación a la agencia estatal de protección de datos en un plazo de 48 horas y la notificación a todos los clientes de la incidencia que ha ocurrido con la perdida de sus datos.

 

Ante esta situación, muchas veces cotidiana, tan sólo cabe idear una estrategia o plan de ciberseguridad que ha de tener una serie de pasos.

Existe un pensamiento erróneo que todos tenemos al creer que toda la información que tenemos en nuestra pyme, «¿a quién le va a interesar?».

Pues les interesa a los ciberdelincuentes que se dedican a vender la información robada a empresas de todo tipo. Sobre todo, les interesan las pymes medianas y pequeñas, ya que estas suelen estar desprotegidas y tienen un acceso realmente fácil.

A veces, dejamos las contraseñas apuntadas en cualquier sitio o incluso las tecleamos delante de clientes, proveedores, o desconocidos que visitan nuestras oficinas dejando la puerta de nuestros datos digitales, abierta a cualquiera de ellos.

Y no solamente corremos el peligro de que nos accedan directamente sino también a través de una serie de herramientas de hackers que, a modo de robots, nos van a utilizar de cómplice de sus delitos, enviando correo en nuestro nombre, por poner un ejemplo. Troyanos, gusanos, spam, inyección SQL, virus, spyware, scripting, malware, y un largo etc, son algunos de los nombres a los que nos referimos.

Todos podemos caer en las redes de los hackers

Hoy por hoy está prácticamente todo digitalizado ya que internet se ha convertido en una herramienta, mas que un ámbito de ocio, para nuestro actual sistema de vida.

Y es debido a esto que tenemos que tener especial cuidado en protegernos de acciones delictivas en el entorno online, ya que puede llevarnos a un robo de identidad digital o de nuestra información confidencial.

La información es poder y hay que protegerla. También a nivel personal

Los avances tecnológicos que estamos viviendo y que nos llenan de beneficios y comodidades también nos aportan, sin saberlo en muchas ocasiones, peligros de distinta índole como los robos de identidad o estafas, entre otros muchos.

Las posibles amenazas más cotidianas las podemos encontrar a través de un simple mensaje de teléfono, un email o una llamada telefónica.

Cuantas veces la curiosidad por saber quién nos manda un mail o el contenido de este nos lleva a la temible sensación de haber abierto la «Caja de Pandora». Antes de caer en la tentación lo mejor es eliminarlo y no confiar en correos de direcciones desconocidas.

Otro caso son las llamadas de desconocidos, sobre todo del extranjero, o el aviso de que hemos ganado un viaje por toda Europa, o un premio del que deberíamos desconfiar; jamás debemos dar nuestros datos. Estaremos cayendo en sus redes.

Cuidado con los códigos QR que vemos en carteles y que no están asociados a ninguna empresa u organización fiable. Puede llevarnos a una página web con la consiguiente desagradable sorpresa.

No debemos nunca fiarnos de los correos, que parecen procedentes de nuestra entidad bancaria, o que utilizan la cabecera o los logotipos de una institución; en el que nos solicitan nuestros datos como los dígitos de la tarjeta y las coordenadas, con el fin de actualizarlos. Esto es una estafa a todas luces. Los bancos nunca te solicitarán tus credenciales ni tus datos personales por este medio.

Tenemos a diario muchas amenazas de este tipo y algunas, por sus formas, ya conocemos y son reiterativas, y otras nos da que pensar y las tratamos como tal. Somos su objetivo y debemos ser cautos y no exponer nuestros datos sin asegurarnos.

Las medidas avanzadas que deben adoptar las empresas en materia de ciberseguridad

La ciberseguridad en el desarrollo diario de cada negocio se está convirtiendo en unos de los aspectos más importantes. Ya no hay entidades fuertes que no tengan una plataforma digital e informática potente que le multiplique el rendimiento en todos los aspectos de la producción. Y, aunque ese avance tecnológico las ayuda enormemente, también las coloca en situación de riesgo por los datos propios y también por los ajenos que se encuentran en su custodia y de los que son responsables.

Es por esto que hay que poner medidas de seguridad en los sistemas informáticos para evitar el intrusismo, tan de moda últimamente, que pueda ocasionar daños irreparables para las empresas. Entonces, ¿qué debemos hacer?

• Utilizar sistemas de cifrado en nuestros dispositivos electrónicos, ya sean ordenadores, móviles, etc; de esta manera podremos mantener la deseada privacidad ya que nadie tendrá acceso a los datos reales sin tener la clave de estos.
• Eliminar los metadatos de los archivos que compartamos con terceros. Es muy sencillo, tan solo tenemos que acceder a las Propiedades de cada archivo mediante el botón derecho del ratón, y después en Detalles. Ahí podremos hacer clic en la opción de quitar propiedades e información personal.
• Mucho cuidado con las wifi. Cuando trabajamos fuera de nuestras instalaciones corremos el riesgo de engancharnos a wifi’s ajenas y ponemos en riesgo nuestros dispositivos, a los que extrayendo cierta información, pueden posteriormente acceder a nuestra red interna y extraer lo que les plazca.
• Cuidado con la información que está a la mano de usuarios que no tienen porqué tratarla. Mejor seccionar la plataforma informática mediante departamentos con sus respectivos accesos.
• Utilicemos nuevos métodos de identificación. Cada poco tiempo somos testigos de los nuevos métodos que salen al mercado en sistemas de identificación, como el lector de huellas digitales o de reconocimiento facial, tarjetas de acceso, etc. De esta forma tendremos la seguridad de que tan sólo accederán a esa información los usuarios debidos.

Aunque hagamos todo esto…

Es triste decirlo pero es así, la seguridad total no existe y basta que tengamos esa seguridad elevada en nuestras empresas, para que el hacker tome mas interés en derribarla, es una tarea diaria el intentar poner los medios posibles para que la invasión a nuestra propiedad sea evitable.

Una parte de nuestros beneficios tiene que ir a la ciberseguridad y no ver esta como un gasto, un coste que llevamos a nuestra contabilidad por qué tiene que ser así y lo tenemos asumido. De esta manera cumpliremos por el protocolo pero no haremos nada para que realmente sea efectiva.

Este coste lo tenemos que ver como una inversión a corto, medio y largo plazo, que nos permitirá ser mas competitivos, nos estimule y nos anime ha darle a nuestros clientes la seguridad que se merecen. Solo de esta manera conseguiremos el fin propio de la Ciberseguridad.

Pero hay otra solución

Existe una solución que si ademas de haber invertido en Ciberseguridad, haber hecho los deberes bien y conseguir un alto grado de Ciberseguridad, sufrimos un ataque y perdemos datos, nos secuestran los datos o tenemos cualquier otra incidencia, nos ayuda a paliar en parte los efectos de los mismos. Estamos hablando de los seguros de Ciberseguridad.

En el mercado hay multitud de compañías que tienen un seguro de Ciberseguridad, si bien no todas cubren lo mismo ni con las mismas garantías, es bueno analizarlas y contratar la que mejor se ajuste a cada empresa o autónomo.

.