Los 7 pecados capitales de la ciberseguridad

Estos pecados de ciberseguridad que cometen las empresas a la hora de proteger su información y que pueden arruinar su negocio.

• ¿Las consecuencias derivadas de la pérdida de información son responsabilidad mía como trabajador?
• Si mi empresa es pequeña, ¿Por qué iban a estar interesados en nosotros los hackers?
• ¿Es necesario disponer de más de una copia de seguridad?
• ¿Tan importante es una cuidada gestión de las contraseñas y de un sistema de identificación para salvaguardar la información?

Estas preguntas son más comunes de lo que podemos imaginar hoy en día dentro de los negocios a la hora de gestionar y analizar la situación de la estrategia en ciberseguridad de nuestra empresa y lo más valioso de ella: su información.

A continuación enumeramos 7 de los errores que podrían ser considerados los pecados capitales de la ciberseguridad, siendo estos los más comunes que se cometen en las empresas y que pueden ocasionar, en la gran mayoría de los casos, el cierre casi inmediato del negocio.

1- No sensibilizar a los empleados de los efectos negativos de la pérdida de información y de su responsabilidad

Según un estudio realizado por uno de nuestros socios tecnológicos, Cisco Systems, y el cual esta basado en una encuesta realizada a 1.000 trabajadores españoles: los empleados son el eslabón más débil en ciberseguridad de las empresas.

La falta de conciencia y desconocimiento los convierte en una continua fuente de riesgos crítica para el futuro de los negocios. Según el informe, más de la mitad de los empleados creen que no tienen una responsabilidad a la hora de salvaguardar datos de la empresa donde trabajan.

Existe una labor clave para las empresas con sus trabajadores de informar de las consecuencias económicas, legales así como a nivel de reputación e imagen de la empresa, derivadas de la pérdida de información y por la infección a través de virus o malware por descarga de programas gratuitos y otros sin licencia.

No es para menos, ya que según los datos, el 93% de las empresas que pierde información acaba cerrando. Así que no es para tomárselo a broma.

2- Confiar en las soluciones de seguridad gratuita o directamente no disponer de ninguna herramienta de seguridad

Otro estudio, en este caso realizado también por otro de nuestros partners tecnológicos, Kaspersky Lab, cifra en 1 de cada 5 las pequeñas y medianas empresas que emplean soluciones de seguridad gratuitas. Un porcentaje elevado que se atribuye en muchos casos a la falta de concienciación sobre cuestiones de ciberseguridad. De hecho, en ausencia de profesionales TI dentro la empresa, esta cifra se eleva hasta más del 50%.

Y es que, según este estudio, las pequeñas empresas tienden a pensar que no tienen nada que interese a los hackers. Pero, mientras que las grandes empresas tienden a sufrir campañas de ciber-ataques cuidadosamente planificadas, las empresas más pequeñas a menudo son víctimas de las epidemias de malware y suponen un objetivo mucho más rápido y fácil para estos ciber-delincuentes.

Esto se debe además, a que las soluciones gratuitas suelen ser una versión reducida del producto comercial, con poca atención por las actualizaciones de la propia aplicación y de su base de datos. Esto se traduce en enormes agujeros de seguridad, siendo más probable la alta vulnerabilidad de los mismos frente a cualquier ataque.

Por otro lado, para aquellas empresas que directamente no dispongan de ninguna herramienta de seguridad, incluso siquiera un cortafuegos o firewall, no es necesario explicar lo crítica que es su situación frente a cualquier imprevisto así como su posible consecuencia.

3- Tener una mala gestión del almacenamiento y transferencia de información de nuestra empresa a través de internet, así como no disponer de más de un soporte de copia de esta

La mejor solución cuando la empresa no puede permitirse un almacenamiento interno en condiciones (servidor propio) es recurrir a un servicio en “la nube”, ya sea para guardar allí los documentos directamente o para almacenar las copias de seguridad. Por lo general, los proveedores de servicios ‘cloud’ están más preparados que una empresa pequeña o mediana para hacer frente a todo tipo de incidentes, incluidos los ciberataques.

La seguridad y confidencialidad de los datos que se guardan en la nube depende principalmente de la contraseña que utilice el trabajador y de que siga ciertas precauciones en su gestión: no subir documentos de trabajo a cuentas personales, acceder a los servicios en la nube desde equipos protegidos y mediante conexiones seguras, etc.

Finalmente, mantener una segunda copia de seguridad custodiada en un entorno seguro fuera de la empresa es la alternativa más eficaz de garantizar su recuperación en caso necesario. Es más, según el artículo 25 del Real Decreto 994/1999, este establece que se deberá conservar una copia de respaldo y de los procedimientos de recuperación de los datos, en un lugar diferente a aquel en el que se encuentran los equipos informáticos.

4- No elaborar un plan de continuidad del negocio ante una situación de crisis

Una de las preguntas más importantes que debemos hacernos en materia de ciberseguridad para nuestra empresa es la de: si un desastre provocara la desaparición de toda de información y datos de mi empresa, ¿Tengo la seguridad de que podría recuperarlos y a tiempo?. Si la respuesta es negativa, tenemos muy malas noticias para su negocio.

Los datos son un activo vital para el funcionamiento y la continuidad de un negocio. Si no puede garantizar su recuperación y hacerlo en un plazo de tiempo razonable, su rendimiento y actividad económica puede verse seriamente afectada, pudiendo llegar a formar parte de ese 93% comentado en el primer punto.

Dentro de los planes de continuidad frente a situaciones críticas, es fundamental contar, a parte de con copias de seguridad (y en lugares diferentes) con servicios preparados conscientemente para ello, como es el DRaaS. Y es que, como bien indican sus siglas en inglés, Disaster Recovery as a Service, este es un servicio de recuperación para evitar un desastre que nos haga tener que cerrar nuestro negocio de manera casi inmediata y sin posibilidad de vuelta atrás.

5- No tener el control de quién tiene acceso a la información de la empresa y con qué frecuencia

Para la mayoría es sabido que, dentro de un negocio, algunos documentos sólo se consultan una o dos veces al año, mientras que otros llegan a ser requeridos incluso varias veces durante el mismo día. Además, no todos los departamentos y dentro de los mismos, cada empleado, accede al mismo tipo de información.

Saber quién accede y a qué tipo de documentos, es fundamental y ayudará a su seguimiento y control. No sólo por la propia seguridad de la información, sino también frente a una situación crítica, pudiendo conocer el responsable y por tanto la magnitud de la posible vulnerabilidad de los datos.

Para ello, la forma más recomendable es aplicar el principio del mínimo privilegio, permitiendo el acceso a los documentos únicamente a aquellos trabajadores que realmente precisan de ellos. La manera de proceder, es definir quién puede acceder a cada tipo de información y quién no. Este tipo de medidas deben ser revisadas y actualizadas de forma periódica para actualizar los permisos a medida que se requiera, como por ejemplo, eliminando los perfiles de usuario del personal que ya no pertenezcan a la empresa.

6- Subestimar las consecuencias de una mala gestión del correo electrónico

¿Saben cual es una de las principales herramientas y la más efectiva que utilizan los cibercriminales para colarse en una organización y robar datos? Apostamos que, aunque no hubiera leído el título de este siguiente punto, usted hubiera acertado igualmente. Sí; es correcto: el correo electrónico.

Cuando disponemos de una cuenta de correo corporativa, lo primero que debemos procurar, siendo esto fundamental, es no utilizarla para fines personales ni difundirla en lugares de acceso público. De lo contrario, esta podría acabar en una lista de envío de spam y recibir correos que, además de llenar nuestro espacio de correo, pueden resultar críticamente peligrosos para la empresa a través de ataques como el Phising.

El mejor consejo en relación a la gestión del email de la empresa, es que jamás respondan al correo que proviene de un remitente sospechoso o desconocido; ni mucho menos abran o descarguen sus adjuntos. Estos suelen venir muy bien camuflados dentro del correo con el nombre de “factura”, “presupuesto” u otros tan comunes, pero en un formato comprimido .zip/.rar o directamente en un archivo ejecutable .exe. Algo que carece de sentido y al que pinchamos en la mayoría de los casos y sin prestar atención a ello, suponiendo unas consecuencias fatídicas para nuestro equipo informático y para nuestra empresa.

Y es que estos adjuntos también podrían esconder otro tipo de malware denominado Ransomeware, capaz no solo de afectar a nuestro ordenador, sino en algunos casos, a toda la red de la compañía. ¿Recuerdan el incidente ocurrido en la empresa Telefónica (conocido como WannaCry) y que supuso un bloqueo histórico en toda la red de la compañía y afectó a más de 74 países del mundo? Adivinen la raíz del mismo: un “simple” correo electrónico mal gestionado y “por el que dan ganas de llorar”. Nunca mejor dicho.

Ahora imaginémonos esta misma situación en una empresa pequeña o mediana. ¿Va a prestar más atención a partir de ahora a la gestión de su correo electrónico corporativo? Esperemos que sí.

7- Hacer una mala gestión de las contraseñas

¿De verdad pensabas que nos íbamos a olvidar de ellas?. Aquí están: las contraseñas. Y es que para el final siempre nos gusta reservarnos lo mejor. Porque es este es, sin duda, el error más común que se cometen en las empresas en temas de ciberseguridad.

Si con las claves que utilizamos para nuestras cuentas personales ya hay que tomar ciertas precauciones (y los datos revelan que no lo hacemos) con las que dan acceso a la información de nuestra empresa, ya nos podemos imaginar.

Para ello, debemos seguir las recomendaciones habituales para crear una buena contraseña:

• Evitar que contenga información personal sobre nosotros.
• No usar la misma clave en diferentes lugares.
• Que contenga números, símbolos y letras, todo ello mediante una combinación de mayúsculas y minúsculas

(Aquí podremos encontrar 5 claves para tener la mejor contraseña y no olvidarla nunca)

Por otro lado debemos evitar a toda costa el más que conocido post-it pegado en la pantalla del ordenador (¡por favor!) o situaciones homólogas a ello e igual de irresponsables. Finalmente, nunca debemos revelar nuestra contraseña a alguien que la solicita por teléfono o correo electrónico. Bajo ningún concepto.

Supongamos que esto fuese es un test de ciberseguridad sobre su empresa: ¿Qué nota habría obtenido?

Si la respuesta es que en su empresa no se comenten ninguno de estos “pecados capitales” de la ciberseguridad, queremos darle nuestra más sincera enhorabuena: desafortunadamente, pocas empresas cumplen con ello.
Por el contrario, si su empresa se ha visto reflejada en alguno de los puntos anteriores o en varios de ellos, no son todas malas noticias: todavía no es tarde y aún se está a tiempo de corregir y mejorar la seguridad de su empresa.

En Grupo Garatu sabemos la importancia que tiene la seguridad para empresas como la suya, porque además de nuestros más de 15 años de experiencia que nos avalan en el campo, lo vemos día a día con los clientes que confían su valiosa información y sus proyectos con nosotros. Es por ello que, si tiene alguna duda o buscas reforzar la seguridad de la información de su empresa: estamos a su entera disposición.

 

 

---