Pasos para proteger tu pyme de un ciberataque

Las pymes en agosto de 2017 representaban un 45,38% del total de las empresas existentes según fuentes del Ministerio de Economía, Industria y Competitividad. A pesar de ser empresas de pequeño tamaño, en 2016 han sido el principal foco de los ciberataques, suponiendo un 70% del total . Teniendo en cuenta estos datos, ¿es tu PYME segura?

Te propongo 10 consejos para poder prevenir un ciberataque en tu pyme.

Los mejores aliados los tienes en casa

En las pymes las cosas se mueven a un ritmo vertiginoso. Esto implica la capacidad de identificar rápidamente las vulnerabilidades y corregirlas. ¿Quién crees que en tu organización tiene la mayor capacidad para detectar esos puntos débiles ante los malos hackers? Por supuesto serán tus empleados.

Si inviertes en la formación adecuada para que la seguridad se impregne en su ADN profesional, conseguirás que se minimicen los riesgos. Es imprescindible crear un ecosistema donde tus empleados estén motivados para detectar fallos de seguridad, ataques, agujeros de vulnerabilidad…

Utiliza Software adecuado para protegerte

• El antivirus será el encargado de detectar e impedir que se ejecute el software maligno de nuestro equipo.
• El cortafuegos permite o prohíbe la comunicación entre las aplicaciones de tus equipos e Internet. Además, evita que alguien haga funcionar las aplicaciones maliciosas en los ordenadores de tu pyme sin permiso.
• Software Antispam es el encargado de filtrar y detectar el correo basura.
• Software Antispyware se orienta a la detección, bloqueo y eliminación de software espía.

Tus equipos informáticos siempre deben estar a punto con las actualizaciones

El mejor principio es la automatización. Esto te ayudará en la distribución de parches de seguridad, errores del software, etc. Debes plantear unos horarios de actualizaciones en función de la capacidad de la red, de las características de los equipos y de la disponibilidad de tus usuarios. Todas estas acciones deben realizarse sin que supongan un grave impacto en el día a día de tus trabajadores.

Pon especial atención con las contraseñas seguras

Si tus trabajadores utilizan servicios en la nube o eres una pyme en la que tu modelo de negocio es puramente online, las contraseñas débiles no son el camino hacia la seguridad.

Se acabó el guardar todas las contraseñas en una hoja Excel compartida accesible por todos tus empleados. En su lugar utiliza programas que cifren las contraseñas y a la vez que puedan ser usadas por los usuarios que tú decidas. Además, te recomiendo que introduzcas en el hábito de tus empleados una política de contraseñas en la que usen mayúsculas, minúsculas, números y caracteres especiales, estableciendo una frecuencia de cambio entre quince días o un mes.

Este pequeño paso puede marcar la diferencia entre la protección de la identidad personal de un empleado, la información y el acceso no autorizado a datos críticos de la organización.

Acotar el acceso de los privilegios de los equipos

Otra forma de prevenir un ciberataque es que cada empleado pueda acceder y usar el software que realmente sea necesario para su trabajo diario. Para ello te aconsejo que implementes una buena estructura de permisos y claves.

No solo es importante que las contraseñas sean fuertes o que los permisos sean renovables en el tiempo, también hay que poner especial atención en los usuarios que ya no pertenecen a tu pyme.

Implanta una zona desmilitarizada

En todo momento debes tener claro que tiene que haber una separación de la información que manejan tus empleados dentro de tu pyme de la que van a usar fuera de esta.

Cualquier servicio que vaya a interactuar con el exterior debe estar alojado en un servidor distinto del de la información, datos o servicios que vayan a usarse en el ámbito interior de la pyme. Una buena práctica es que crees una zona demilitarizada o DMZ para separar tu intranet del mundo exterior.

Prevenir el Phishing

El phishing es la primera acción que un hacker realiza para poder obtener las credenciales de tus trabajadores  y suplantar su identidad. La mayoría de la gente confía  en marcas como Amazon, Facebook, Google, Apple, Samsung, etc, ya que tienen un alto nivel de credibilidad. Si un hacker usa su identidad (nombre, logos, contactos, enlaces web…) , fácilmente puede invitar a tus empleados a facilitarles contraseñas de sus servicios y con ello abrir una puerta para la obtención de información altamente sensible para los intereses de tu pyme.

Debes de ser inteligente: informa a tus empleados para que no hagan clic en ningún vínculo sospechoso o ingresen información personal en sitios web y redes sociales, repito “nunca”. Parece obvio, pero demasiada gente lo hace.

El alojamiento web mejor solo que compartido

Existen varios tipos de alojamiento web en el mercado, pero es muy recomendable que elijas el proveedor que te asegure que los datos estén seguros y protegidos. En lugar de optar por un plan de alojamiento barato que sea compartido, deberás plantearte contratar un servidor dedicado. Ciertamente tiene un coste más elevado, pero te asegurarás de la integridad de tu información.

Dispositivos conectados fuera del entorno de la pyme

Cualquier dispositivo electrónico que pertenezca a tu pyme y sea usado fuera de la misma es susceptible de un ciberataque. En el caso de móviles y tabletas electrónicas puede ser la puerta de entrada (cuentas de correo, acceso a aplicaciones, documentación sensible…) para obtener los datos que los hacker pueden usar en su beneficio. Es por ello que las mejores acciones son proteger los dispositivos de tus empleados con contraseñas, antivirus, cifrados y cortafuegos que impidan el robo de datos y el acceso no autorizado a tus redes y sistemas.

Copias de seguridad, la llave de tu respaldo

Si tu pyme sufre un ataque, la mejor forma de recuperar la información sustraída, encriptada o borrada, es utilizar los datos almacenados en una copia de seguridad. Esta ha de ser periódica y se debe almacenar en un dispositivo externo al entorno de pyme o en servicios de la nube que sean seguros para dicho fin.

¿Y si ya he sufrido un ciberataque, qué hago?

• Lo primero de todo es denunciarlo a las autoridades policiales para este tipo de delito.
• Poner en marcha un plan de respuesta frente al ciberataque.
• Coordinar a las personas que harán frente al ciberataque.
• Ponerse en contacto con proveedores externos de TI y ciberseguridad.
• Comunicar con transparencia el ciberataque.
• Aprender para mejorar en nuevos ciberataques.

Raúl Mayo. CEIN