La ciberseguridad en la PYME es crucial. Podemos caer en el error de pensar que los incidentes de ciberseguridad únicamente afectan a grandes corporaciones. Sin embargo, como podemos leer en el informe «CYBERCRIME: RISKS FOR THE ECONOMY AND ENTERPRISES AT THE EU AND ITALIAN LEVEL” que ha publicado UNICRI (United Nations Interregional Crime and Justice Research Institute), la seguridad de TI para las PYMES representa uno de los desafíos más apremiantes para las economías de Italia y Europa.
Este estudio fue publicado en diciembre de 2014. Analiza la situación actual de las pequeñas y medianas empresas (PYME) italianas, en cuanto a crímenes relacionados con la informática.
Como es bien sabido, las PYMES son la columna vertebral de la economía europea. Además representan un punto importante de debilidad en términos de seguridad. Independientemente del objeto de negocio de una PYME, los cibercriminales ven a cada empresa como un objetivo.
Todo tipo de información es susceptible de ser utilizada con fines maliciosos como puede ser cometer fraudes o propagar malware. Las propiedades intelectuales, datos comerciales y listas de contactos, son datos muy cotizados en el mercado negro de la red profunda (deep web).
A nivel corporativo, el daño puede producirse, no solo mediante un único ataque indiscriminado. Sino que los ataques pueden tener consecuencias a largo plazo. Cada vez son más frecuente ataques que tienen como objetivo la apropiación de datos confidenciales, borrar los datos por completo o robar material protegido por derechos de autor.
El crimen cibernético está más extendido de lo que podemos pensar. La mayoría de los ciberataques no se detectan o no se informan. Las pérdidas por estos ataques pueden suponer para las empresas varios millones de euros. Aunque también existen otras amenazas en la red que tenemos que tener en cuenta.
Guía de pautas para la seguridad TI en PYMES
El informe presenta una serie de pautas para promover la ciberseguridad en la PYME. Las recomendaciones se pueden aplicar a todos los aspectos de la empresa:
- Administración.
- Marketing.
- Investigación y Desarrollo.
- Logística.
- Manufacturas.
- TI (Tecnologías de la Información.
El artículo destaca los siguientes puntos clave para mejorar la ciberseguridad en la PYME:
- Inversión en mejorar las capacidades de los empleados a través de la formación.
- Incrementar los recursos tecnológicos para prevenir los efectos de los crímenes cibernéticos.
- Incorporar la filosofía de la ciberseguridad a la cultura de la organización.
- Compartir las mejores prácticas sobre amenazas. Tanto de forma interna como con el resto de compañías de nuestra cadena de valor.
- Establecer un protocolo de actuación con el que gestionar los ataques que pueda sufrir nuestra empresa.
Pero, ¿Qué medidas inmediatas podemos tomar ya?
Todas estas pautas son un buen comienzo, pero su implantación lleva un tiempo. Desde el primer momento podemos tomar medidas, y así mejorar la ciberseguridad en la PYME. Por lo tanto, no se debe ser reacio a la implantación de las mismas, ya que a largo plazo van a ser beneficiosas y puede ahorrarte mucho dinero.
1. Actualizar las herramientas de trabajo
Esta medida es muy básica, pero también es la más importante. No deberíamos trabajar nunca con herramientas desactualizadas. Deberemos instalar siempre que sea posible las últimas versiones de nuestro software. O al menos los parches de actualización que van saliendo en respuesta a vulnerabilidades que van saliendo. Esta recomendación abarca desde el sistema operativo de nuestro dispositivo hasta el software ofimático. Sin olvidar cualquier otra herramienta o aplicación que utilicemos en nuestra empresa.
Una aplicación desactualizada puede contener vulnerabilidades conocidas por los ciberdelincuentes.
2. Utilizar siempre varias contraseñas, y además deben ser seguras
Esta es una de las medidas que menos suelen aplicarse. Es una mala práctica utilizar una única contraseña para todos los servicios que utilicemos. Servicios tale como correo electrónico, aplicaciones de trabajo, redes sociales, etc.
Pero además, no basta con que utilizar varias contraseñas distintas. Además debemos asegurarnos de que no usamos como clave conceptos sencillos de descifrar teniendo acceso a información personal. Por ejemplo, no deberíamos usar nombres de familiares, amigos o mascotas; fechas señaladas (nacimiento de un hijo); números de DNI o de teléfono, etc.
Es recomendable construir contraseñas seguras combinando cifras y letras con signos de puntuación y caracteres especiales. Estas contraseñas efectivamente serán más difíciles de recordar pero también de descifrar.
3. Realiza copias de seguridad frecuentemente
Es muy recomendable realizar copias de nuestros archivos. Como mínimo, en un disco duro externo y/o una herramienta de almacenamiento en la nube. De esta forma podríamos recuperarnos de una una infección por criptovirus (un virus informático que secuestra nuestros archivos cifrándolos, y después exige una determinada cantidad de dinero a cambio de desbloquearlos). También podríamos recuperarnos de otras infecciones, robos, pérdida de datos, fallos de equipos, etc.
4. Activar la verificación en dos pasos en servicios sensibles
La verificación en dos pasos es fundamental para añadir seguridad extra cuando trabajamos con datos sensibles. Este tipo de datos no deben verse comprometidos en ningún caso. Ejemplo de estos datos son las redes sociales y las herramientas de almacenamiento en la nube. Aunque en un principio nos pueden parecer que ralentizan el acceso, merece la pena el esfuerzo.
La verificación en dos pasos es un sistema que mejora la seguridad de una conexión añadiendo un punto extra de comprobación de nuestra identidad. Es muy habitual realizar la verificación en dos pasos mediante el envío de un mensaje de texto al número de teléfono vinculado a la plataforma a la que vamos a conectarnos. Este mensaje nos llegará después de haber introducido con éxito el usuario y contraseña.
De este modo se dificulta el acceso a los servidos a los ciberdelincuentes. Aunque logren averiguar las credenciales, se necesitaría tener también acceso físico al teléfono para realizar la verificación.
5. Evitar las redes WiFi públicas
Las redes WiFi públicas son una amenaza potencial para la seguridad de la PYME . Especialmente peligrosas son las redes que no cuentan con seguridad (las redes abiertas). Para un usuario conectado a una de estas redes es muy sencillo ver la información que otros usuarios están compartiendo.
En el caso de redes sin contraseña el problema es mucho mayor. Es extremadamente fácil crear un punto WiFi falso. Los usuarios incautos se conectarían a este punto WiFi para obtener acceso a Internet gratis. De esta forma accederían a redes sociales, bancos, enviarían correos electrónicos de clientes, intercambiarían archivos de trabajo confidenciales. Pero estos usuario no saben que estos datos están siendo captados por los ciberdelincuentes.
La solución a este problema es evitar utilizar estas redes siempre que sea posible. Si es estrictamente necesario, deberíamos asegurarnos de que el cortafuegos (firewall) de nuestro equipo está en funcionamiento. Utilizar la opción de incógnito del navegador nos permitirá al menos ocultar parte de nuestra información. También podemos utilizar una Red Privada Virtual (VPN) al conectarnos a cualquier WiFi pública. De esta forma ocultaremos nuestra identidad en esa red pública.
En revista digital tenemos siempre mucho en cuenta todos los posibles problema que se puede tener en este sector e intentamos dar aquella información útil. Otros artículos que también os pueden interesar: Mitigar la fuga de información.
Es muy importante tomar medidas de seguridad en la PYME, en INCIBE (Instituto Nacional de Ciberseguridad) podemos encontrar una serie de documentos para implantar políticas de seguridad: INCIBE – Políticas de seguridad para la PYME