18 Jul 10 Recomendaciones de Ciberseguridad y Trucos para Empresas
La ciberseguridad se está convirtiendo en un elemento crucial para las empresas, ante el incesante crecimiento de las amenazas y la ciberdelincuencia. Casi el 69% de las compañías nacionales sufrió uno o dos incidentes graves en 2021. Pero tranquilos hay buenas noticias y es que podemos usar estrategias para protegernos, aunque no siempre las aplicamos. La ciberseguridad es la clave para la digitalización de las empresas, y muchas veces la perspectiva en inversión en este campo es escasa. Os dejamos 10 recomendaciones de ciberseguridad que nuca debemos desatender y, sin embargo, ¡olvidamos!
Ahora con los fondos europeos las pymes podemos aprovecharnos de las subvenciones del Kit de Digitalización e invertir en ciberseguridad. ¿Sabes que tienes a tu disposición hasta 12.000€ si tu empresa tiene entre 10 y 50 empleados? y 6.000€ si son menos de 10 trabajadores ¡Aprovéchalo y pregúntanos aquí!
1. MANTEN ACTUALIZADOS TUS DISPOSITIVOS Y SISTEMAS OPERATIVOS
¿Novedad? Pues la verdad es que no. No es una recomendación de ciberseguridad muy novedosa. Se lleva años diciendo lo mismo, que ACTUALICEMOS LOS DISPOSITIVOS. La realidad es que los sistemas operativos hoy en día son críticos, hay que tenerlos en un punto de actualización controlada.
Cuando trabajas con Windows 10 u 11 o con cualquier otra aplicación, y te pida una actualización, no lo ignores, no lo dejes días sin actualizar. No es que Microsoft se aburra y quiera molestarte.
Las actualizaciones corrigen fallos del sistema operativo y de sus aplicaciones. Aunque pensamos que cuando salen al mercado lo hacen sin fallos, la verdad es que no es así. No hay que olvidar que son diseñados por ingenieros y como tales, cometen errores. Lo que puede convertirse en problemas de seguridad para nuestra empresa, ya que, si no actualizamos, corremos el riesgo de ser vulnerable ante los ciberdelincuentes.
Truco:
Por regla general, las actualizaciones suelen salir el segundo miércoles de cada mes. De esta forma puedes estar ya pendiente y organizarte para no paralizar tu trabajo.
Lo mismo pasa con los teléfonos móviles, a veces nos llegan alertas de “Tiene que actualizarse el sistema”. Y es importante hacerlo, ya que hay que mantener activos y actualizados los sistemas operativos, para evitar fugas de información y pérdida de datos que puedan comprometer a nuestra empresa.
Allá por el 2010, ya teníamos ordenadores conectados a internet, trabajábamos en red y compartíamos información, el panorama puede parecer el mismo. Pero no lo era, por entonces hablar de ciberseguridad era extraño.
Podríamos seguir trabajando con Windows 8, ¿por qué no?. La funcionalidad seguro que es perfecta, pero ya no hay actualizaciones, y trabajar con una plataforma que tiene agujeros de seguridad y nos supone vulnerabilidades, ya no nos parece apetecible. Máximo cuando los datos son el activo más impórtate para una organización.
2. DESCONFÍA DE LOS EMAILS DE BANCOS Y DE MENSAJERÍA.
Ningún banco te va a escribir para solicitarte tus claves, ni ninguna empresa de paquetería te va a contactar vía email para solicitarte el pago de una entrega.
Las empresas recibimos paquetes de manera continua y un usuario podría tener curiosidad e interés en una entrega lo que podría llevarle a acabar haciendo lo que el
ciberdelincuente quiere. Clicando en un enlace que nos levaría a una página que creemos legítima, pero que en realidad no lo es. Es lo que se llama Phishing – pesca de datos.
En estas páginas fraudulentas nos piden una serie de datos, como número de tarjeta, fecha de caducidad…
Estos fraudes están muy presentes y se cae con mucha facilidad, aunque no te lo creas.
Por ejemplo, en época de declaraciones de hacienda aumentan el número de casos de phishing, porque todos estamos pendientes de la declaración y de Hacienda.
Truco:
Fíjate en la redacción del mensaje, puede ser correcta, pero puede contener errores de puntuación, faltas de ortografía, no hay coherencia en el texto…
Pero sobre todo igual que nos fijamos en las personas físicas con las que hablamos y podemos desconfiar de ellas por su apariencia, fíjate en el mail del remitente. Es una recomendación de ciberseguridad muy útil.
3. DISPONER DE UN ANTIVIRUS
Pues como en todas partes, también en la informática existen los antivacunas. Cada vez menos, pero todavía nos encontramos ordenadores sin antivirus.
No vale eso de “si solo entro a internet a ver un par de cosas” o “solo se usa el pc cuando viene el comercial”. Tu ordenador se puede infectar e infectar a toda la red de la empresa, lo que supone un problema de seguridad.
El antivirus es como tener una cerradura en una puerta. Lógicamente hay que tenerlo en todas las puertas y actualizado. Una de las recomendaciones de ciberseguridad más básicas y que hay veces que no se cumple.
Y aunque parezca una tontería hay que tener una solución comercial. Existen antivirus gratuitos que a veces pueden ser dudosos. Las compañías invierten y desarrollan en tecnología para combatir y conocer todos los virus con los que nos podemos infectar.
4. CONTAR CON ANTIVIRUS GESTIONADOS
En nuestro trabajo diario con los equipos informáticos, a menudo nos saltan las alertas del antivirus, pero en la mayoría de los casos ni las leemos, ni las comprobamos, ni muchas veces sabemos interpretarlas. Si te aparece un botón de “limpiar” le das y te quedas tan tranquilo y piensas que el riesgo a desaparecido, y a veces no es así, no se limpia de manera correcta…
Un antivirus gestionado consiste en que un profesional de la ciberseguridad se encargue de gestionar esas alertas o incidencias. Los antivirus se conectan a inteligencia artificial y responde por el usuario a las amenazas.
El antivirus gestionado empieza a tener más sentido hoy en día. A través de los Centros de ciberseguridad CERT, se pueden gestionar en remoto, monitorizando los equipos y viendo las alertas críticas en tiempo real. Esa labor el usuario es difícil que la haga por que no tiene formación en ciberseguridad y porque no todos los días se está pendiente de lo que hace el antivirus.
5. TENER UNA CONTRASEÑA PARA CADA COSA
¿Utilizas la misma llave para todas las puertas de tu empresa?
Imagina que con esa sola llave abrieras la puerta de la entrada de tu empresa, los armarios donde guardas las nóminas, el archivo e incluso el coche… Ahora imagina que la pierdes o te la clonan. Ya tienes el lio montado.
Lo mismo pasa con las contraseñas, hay que tener una, para cada dispositivo, cada aplicación y cada servicio. Y cambiarlas de manera periódica. Es una de las recomendaciones de ciberseguridad más lógicas, pero menos usadas.
Un error común en el que caemos todos, es usar nuestros nombres propios, el de nuestros hijos y demás familiares, así como los nombres de nuestras mascotas como contraseñas. Y si a esto le juntamos la famosa 1234 y sus variaciones… ya tenemos la mejor contraseña si lo que buscamos es tener una brecha de seguridad en nuestra empresa.
A finales de cada año, sale un listado con las contraseñas más comunes que usamos los usuarios. Y aún así seguimos cayendo en la trampa.
Truco:
Pero como sabemos que recordar todas las contraseñas puede ser imposible, el mejor truco que podemos daros es utilizar gestores de contraseñas – por ejemplo, Lastpass – que nos crearan contraseñas seguras y fuertes para cada aplicación, además de almacenarlas de manera segura.
Al usar claves robustas y fuertes evitaremos la posibilidad de que sea obtenida por los ciberdelincuentes. Y en caso de que así fuera, solo comprometeríamos la información de la aplicación o servicio que ha sido atacado por los hackers. Dejando a salvo el resto de los servicios que usemos.
6. ACTIVAR EL DOBLE FACTOR DE AUTENTIFICACIÓN – A2F
Seguro que las siglas A2F no te dicen nada, pero quédate con ellas por que a partir de ahora empezarás a verlas en casi todas las aplicaciones y servicios que utilices.
Aunque ya sabes lo que son y las has usado. Un ejemplo lo tenemos en los bancos, que ya cuentan con este sistema. Cuando accedemos a nuestra cuenta vía online, lo primero que hacemos es introducir una contraseña, y luego nos volvemos a autentificar en un segundo paso a través de otra clave numérica. Que nos llega a través de un sms a nuestro teléfono, o bien en algunos bancos a través de tokens (aparatos suministrados por ellos y que generan claves automáticas).
Actualmente el doble factor de autentificación es uno de los métodos más seguros para acceder a los servicios sin tener brechas de ciberseguridad. Porque, si pierdo la contraseña o me la han sustraído, al tener el doble factor seguirán sin poder acceder a mi cuenta ya que les falta una contraseña que solo tengo yo.
Casi todos los servicios online ya permiten el A2F, Gmail, Outlook, Windows 365, las redes sociales…
Os recomendamos que activéis esta funcionalidad porque es una de las recomendaciones de ciberseguridad que añade una segunda capa de protección a vuestras cuentas.
7. DISPOSITIVOS BLOQUEADOS
¿A que no se te ocurre meter en el bolso el teléfono sin bloquear?
Claro que no – Podrías hacer una llamada indeseada; que la otra persona escuchase una conversación privada; que con el movimiento del bolso se activaran aplicaciones que no querrías; o que se borrase información.
Pues lo mismo con tu ordenador de trabajo, ¿por qué nos levantamos de nuestro sitio y no bloqueamos la sesión?
El bloqueo del pc es una rutina de seguridad que deberíamos aplicar igual que hacemos con el móvil. De este modo eliminaremos accidentes de trabajo, que documentación sensible con la que estamos trabajando se muestre a cualquiera que pase delante, o que alguien haga algo indebido en nuestro nombre.
Truco:
Una manera fácil y segura de bloquear nuestro ordenador es pulsar las techas Windows + L. Pruébalo, ya verás que cómodo es.
8. ADOPTAR UN SISTEMA DE PROTECCIÓN DE PERÍMETRO
Los firewalls o UTM son dispositivos que no solo protegen que nadie entre en la red de la empresa, sino que la navegación se hace de manera segura.
Cuando navegamos por internet y entramos en una página, el ordenador me accede a la página. Pero si tengo un UTM al principio de mi red, por él pasarán las peticiones de entrada y salida, y comprobará si esa página tiene algún tipo de vulnerabilidad, malware, virus…
Una página comprometida puede llegar a infectar nuestros pc y por defecto infectaremos al resto de la empresa a través de nuestra red, creando un riesgo de seguridad. Pero si tengo un aparato profesional que vigila todo lo que entra y sale de mi red tendré una capa más de seguridad.
9. HACER COPIAS DE SEGURIDAD
La copia de seguridad es tan crítica como que el día que tienes que usarla, te puede dar la alegría total porque está todo, o la pena total porque no la tienes y has perdido la toda tu información.
Hay que tener siempre una copia de seguridad con todo lo que queremos proteger. Además, de que lo exige la ley, es nuestro salvavidas para poder restaurar la información perdida por un ciber ataque, un malware o un ransomware, y restablecer de nuevo el funcionamiento de los equipos en caso de necesidad.
De las amenazas de ciberseguridad el ransomware es la de las graves, ya que al pinchar en un algo que recibimos a través del correo electrónico, lo ejecutamos en el ordenador y comienza a cifrar todos los datos de la empresa. E incluso a veces se llegan a cifrar las copias de seguridad si las encuentra conectadas en la red.
Por eso las copias de seguridad deben tener un plan y una estrategia, y cada empresa ha de tener la suya. Es una de las recomendaciones de ciberseguridad básica. Es una de las recomendaciones de ciberseguridad más repetida y la que más se olvida.
La estrategia de seguridad de una organización debe tener contemplado varios juegos de copias, no vale decir tengo la copia. Y tener cierta independencia de dispositivos, lo ideal es tener el ordenador y la copia separados no en el mismo espacio o ubicación.
Y a ser posible repetida y externa. Puede ocurrir que perdamos el sistema de copia completa y para restaurarla hay que tener una copia bien planificada. Por ejemplo, en la nube o en un disco duro cifrado, en cualquier dispositivo que nos permita sacarlo de manera continua.
10. FORMACIÓN EN CIBERSEGURIDAD
El eslabón más débil dentro de la cadena de seguridad es el usuario.
Implementamos en nuestras sedes todas las políticas de ciberseguridad a nuestra disposición para gestionar de manera eficiente la información de la empresa, pero siempre nos olvidamos de que quien gestiona esa información son los empleados.
Los usuarios trabajan con datos, accesos, procedimientos, información de clientes y proveedores… por lo que hay que formarlos y que sean conscientes de los riesgos a los que están expuestos. Es una de las recomendaciones de ciberseguridad más importantes.
Las amenazas son cada vez más sofisticadas y crecen de manera exponencial. Y van dirigidas contra las personas para que lleven a cabo acciones que ponen en riesgo la información.
Truco:
ESTAR AL DÍA DE LAS PRINCIPALES AMENAZAS.
Y como en todo se necesita de actualizaciones permanentemente. Para esto contamos con el Instituto Nacional de Ciberseguridad INCIBE y con la OSI. La Oficina de Seguridad del Internauta recoge alertas diarias y avisos de ciberseguridad, incluso podemos suscribirnos a sus avisos y nos los notificaran a nuestro correo.
Interesante ¿verdad?, pues podemos ayudarte con tus recomendaciones de ciberseguridad. Contacta con nosotros.
En IPS Technology llevamos la Transformación Digital a tu Empresa.
Ponte en contacto con nosotros.