Diez claves sobre ciberseguridad en pymes

Uno de los principales errores que suelen cometer las pequeñas y medianas empresas en el ámbito de la ciberseguridad radica en que muchas de estas compañías piensan que la información y la metodología de sus organizaciones no son de interés y por ello dejan de lado la protección de sus datos. La cuestión es que esa información puede ser muy importante, e incluso puede ser el puente para que hackers accedan a grandes empresas.

 

El Government Communications Headquarters, el departamento británico que se encarga de cuestiones de ciberseguridad, junto con el Business Innovation & Skills, que es el área que se encarga de este ámbito en el mundo de las empresas, han elaborado un decálogo acerca de los pasos que debería seguir una pequeña y mediana empresa (pyme) para cuidar la seguridad de sus negocios.

 

1.- La gestión de los riesgos

Uno de los aspectos clave radica en conocer quién será el responsable de gestionar la ciberseguridad en la empresas. Hay que ser consciente del nivel de riesgo que se desea asumir. Invertir en seguridad es minimizar riesgos. Conviene elaborar una Política de Seguridad que determine qué riesgos se está dispuesto a aceptar y asegurarse de que los colaboradores comprenden la importancia de sus responsabilidades en esta materia.

 

2.- Software actualizado

No basta con comprarse un firewall y un antivirus y olvidarse del asunto hasta que exista un problema. Hay que actualizarlo tan pronto sea posible. Se puede activar la opción de “actualización automática” en numerosos paquetes de software de seguridad de los equipos. Se recomienda realizar un inventario de todos aquellos activos tecnológicos, tanto hardware como software, así como ir revisando regularmente las posibles debilidades que pueda tener el sistema con análisis de vulnerabilidades. Se recomienda hacerlo una vez año o cada vez que exista un cambio importante de software o hardware.

 

3.- Red protegida

Es importante que la red de la empresa esté protegida tanto de ataques externos como internos. Conviene comprobar si el proveedor de internet incluye un cortafuegos que controle las conexiones de red de acceso a internet. Hay que configurarlo adecuadamente y actualizarlo cuando sea necesario. Siempre es aconsejable consultar a un experto en el caso de que se crea que la seguridad de la red de la empresa ha sido comprometida.

 

4.- La importancia del malware

No se trata de instalar un simple antivirus. Conviene disponer de un paquete de seguridad completo que proteja al equipo y las redes de software malintencionado, léase spyware, adware, etcétera. Conviene realizar un escaneado diario y que el equipo esté al día de actualizaciones.

 

5.- Privilegios de usuario

Es importante controlar quién entra y dónde se entra en una red de sistemas de una pyme. Los empleados deben disponer de nombres de usuario y contraseñas. Sus privilegios en el sistema estarán limitados por el administrador, que será el que indicará en qué carpetas podrán trabajar los empleados para desarrollar sus labores, obviando el resto del sistema. Se recomienda tener los datos sensibles (contabilidad, nóminas, clientes, estrategia,...) separados y vigilados.

 

6.- Control de dispositivos extraíbles

Para la seguridad de la pyme es importante que se utilicen únicamente CD, DVD, USB, tarjetas SD o cualquier tipo de memoria flash que haya proporcionado el administrador de sistemas. No se trata de convertirse en un policía pero sí de saber quién los usa, dónde están y, en la medida de los posible, qué contienen. Además, conviene que se escaneen para evitar malware.

 

7.- Monitorización de redes y servicios

Existen herramientas gratuitas de monitorización o de análisis de protocolo que pueden ayudar a detectar fallos de hardware o actividad inusual en la red de una pyme. Si la empresa es de compleja y de mayor tamaño conviene decantarse por otras opciones comerciales que incluyen análisis de tráfico, uso de IP, etcétera.

 

8.- Sensibilizar a los usuarios

Predica que algo queda. En la medida de lo posible hay lograr que los empleados conozcan y apliquen la política de seguridad de la que la pyme se ha dotado. La compañía puede plantearse incluir esta política en forma de cláusula en los contratos. De forma periódica, recordar a la plantilla las buenas prácticas de seguridad. En relación a las redes sociales, conviene que todos los empleados sepan cómo utilizarlas dado que representan a la empresa.

 

9.- Qué hacer con los dispositivos móviles de los empleados

Dado que cada vez es más frecuente que los empleados de una empresa utilicen dispositivos móviles, tanto privados como corporativos, en su quehacer profesional es necesario que estos tengan la aprobación de los responsables de seguridad. Por ejemplo, hay que asegurarse que tienen un antimalware instalado y actualizado, que están cifrados, que podemos rastrearlos y borrarlos de forma remota en caso de extravío o robo y que los empleados informarán de cualquier incidente con dichos dispositivos a la empresa.

 

10.- El negocio debe seguir pese a los incidentes

Cualquier eventualidad que comprometa los sistemas tecnológicos de la empresa es un incidente que interfiere en la actividad normal del negocio. Por ello hay que dejar claro qué hacer y qué no hacer en el caso de que ocurra y en caso de duda disponer de un agente externo que ayude a la pyme a resolver adecuadamente la situación.

 

Más información:

10 steps to cyber security

Las pymes piden apoyo público para incrementar la ciberseguridad

Las pymes sirven a los hackers como puertas de entrada a las grandes empresas, según Kaspersky Lab

 

 

B.G

Las empresas tienen que ser concientes de la importancia de invertir en <a> Ciberseguridad</a> para salvaguardar la infraestructura y la información crítica de la organización. Promover un modelo de seguridad basado en la monitorización de los eventos de seguridad y reducir la superficie de riesgo es el camino para construir un modleo de seguridad fiable frente a las amenazas externas.