Las Pequeñas y Medianas Empresas (pymes) juegan un papel muy importante en la economía de nuestro país y poco a poco se van sumando y adaptando a la era digital. Muchas de ellas están utilizando dispositivos móviles, acceso a Internet y las tecnologías de la comunicación e información (TIC) para potenciar su actividad comercial, con el fin de llegar a nuevos mercados e incrementar las ventas y productividad, así como para almacenar, procesar y transmitir información que podría ser sensible o confidencial.
Ante tal situación, las pymes deben de tomar en consideración los riesgos asociados e implementar políticas, mejores prácticas y mecanismos de seguridad para la protección de dicha información, de las redes y sistemas, ya que los ataques cibernéticos van en aumento y cada vez son más sofisticados y persistentes y, además, las consecuencias legales, financieras y comerciales podrían ser nefastas para las empresas. En República Dominicana no existe una estadística del porcentaje de pymes que han sido víctima de ataques cibernéticos, pero en Estados Unidos y España más del 50% de las pymes han sido atacadas, lo cual nos hace suponer que nuestras pymes también están siendo atacadas, solo que sus capacidades no permiten prevenir ni mucho menos identificar ese tipo de ataques.
Debido a la falta de difusión, educación y asesoría en este campo, la gran mayoría de las pymes desconocen de los riesgos y/o consideran que no son blanco de ataques cibernéticos, pues por ser empresas pequeñas no tienen ningún activo digital de valor que pueda ser de interés para los ciberdelincuentes. Sin embargo, todas las pymes tienen información importante que es atractiva para los delincuentes, tales como información deempleados, proveedores, clientes y socios comerciales, información bancaria, contable y financiera, plan y estrategia de negocios, e incluso propiedad intelectual (fórmulas, secretos comerciales, investigaciones, etc.). Entonces, no importa el tamaño de la empresa y su giro comercial, siempre existe un riesgo y si los propietarios y/o administradores de las pymes deciden no invertir en seguridad, el riesgo es más alto. Dicho lo anterior, es importante hacer conciencia para que las pymes comiencen a implementar las medidas y mecanismos de seguridad para proteger su información, sistemas y redes, pues ellas son igualmente vulnerables a cualquier tipo de ataque cibernético. Los ciberdelincuentes saben que las pymes son presa, fácil pues no cuentan con una seguridad adecuada.
La presente información tiene como propósito señalar la problemática, educar y crear conciencia entre los propietarios, administradores, empleados y colaboradores de las pymes a efectos de prevenir cualquier ataque cibernético, mejorar sus capacidades y que puedan reaccionar oportunamente para minimizar el impacto negativo de un ataque cibernético. Para ello, hemos recopilado, de diferentes fuentes, un conjunto de políticas, mejores prácticas y estándares de ciberseguridad, el cual no es exhaustivo ni tampoco pretende ser la única solución, por el contrario, es simplemente una guía para que los propietarios, administradores, empleados y colaboradores de las pymes puedan adoptar una cultura preventiva y de resiliencia. La seguridad absoluta no existe, los equipos fallan, las amenazas cambian continuamente y el personal puede cometer errores. El peligro es inminente y difícilmente va a desaparecer, pero la idea es estar preparados y reducir los riesgos al máximo.
Proteja su equipo contra virus spyware y cualquier otro código malicioso.
Asegúrese que cada computadora (desktop, laptops, etc.) y/o terminal móvil (tabletas, celulares, etc.) de la empresa tenga instalado programas de anti-virus, spyware y malware, los cuales deben de actualizarse regularmente. Dichos programas están disponibles en línea y hay una gran variedad de empresas de servicios manejados (MSP), las cuales regularmente realizan actualizaciones a sus programas a efectos de corregir problemas de seguridad y mejorar la funcionalidad de los mismos. Configure los programas para que las actualizaciones se instalen automáticamente. Se deben mantener las computadoras y/o los terminales móviles libres de aplicaciones o programas que no estén relacionados con el giro del negocio (juegos de video, redes sociales, etc.), pirateados o que no hayan sido autorizados por el asesor o personal de IT. Tener la última versión de anti-virus, buscador web y sistema operativo son algunas de las mejores prácticas contra virus, malware, spyware u otros códigos maliciosos.
Ser desconfiado con e-mails y enlaces sospechosos.
A través del método de ingeniería social los criminales cibernéticos envían correos electrónicos con enlaces a sitios sospechosos o falsos, o crean correos electrónicos falsos, ya sea para instalar códigos maliciosos en las computadoras y/o terminales móviles de la empresa o incluso se hacen pasar por empleados de la empresa para solicitar información sensible o confidencial. Si el correo electrónico es dudoso, lo mejor es contactar directamente a la persona que supuestamente envió el correo electrónico para verificar tanto la información del remitente como su contenido. Si efectivamente es un correo electrónico falso, lo mejor es borrarlo inmediatamente. En estos casos debe anteponer la precaución, malicia y el sentido común.
Proteja sus redes.
Resguarde su conexión a internet usando firewalls e información encriptada. Si su empresa tiene una red Wi-Fi, asegúrese que la misma sea segura y se encuentre oculta. Para ocultar su red Wi-Fi, configure su punto de acceso inalámbrico o router de tal forma que el nombre de su red Wi-Fi no sea pública. Configure dicho punto de acceso con una contraseña segura y bajo ninguna circunstancia deje la configuración y contraseña de fábrica. Tampoco utilice palabras predecibles como contraseña, como 123456, o password.
Establezca prácticas y políticas de seguridad para proteger la información sensible.
Establezca prácticas y medidas de seguridad de cómo sus empleados y colaboradores deberán manipular y proteger la información sensible o confidencial. Dependiendo del tipo de información que su empresa recopile de terceros y cómo almacene la misma en sus servidores.
Capacite a sus empleados y colaboradores acerca de las amenazas cibernéticas.
Capacite a sus empleados y colaboradores acerca de las amenazas cibernéticas y cómo proteger la información de su negocio, incluyendo el uso seguro y adecuado de las redes sociales y búsquedas en sitios de internet, aún y cuando se utilicen computadoras y/o terminales móviles que son propiedad de los empleados o colaboradores.
Por otro lado, se recomienda no visitar páginas web de descarga de programas gratuitos, páginas con contenido pornográfico, páginas de apuestas y juegos en líneas. Es recomendable que en el manual interno de la empresa se incluya un apartado sobre las políticas de seguridad del uso del Internet y las redes sociales, y cuáles serían las sanciones en caso de que se incumplan esas disposiciones.
Solicite a sus empleados y colaboradores la configuración de contraseñas seguras.
Considere implementar medidas de seguridad, tales como la doble autenticación, la cual va a requerir información adicional más allá de la contraseña inicial. Revise con los proveedores que manejan información sensible de la empresa, especialmente entidades bancarias o financieras, para ver si ellos ofrecen autenticación multifactorial para sus cuentas. Solicite a sus empleados y colaboradores que a la hora de configurar sus contraseñas utilicen una clave de acceso que tenga un nivel de complejidad alto, o sea que utilicen una combinación de mayúsculas, minúsculas, letras, números y símbolos en sus contraseñas, y que las mismas no tenga relación con datos personales que puedan deducirse (como el nombre de la mascota o la fecha de cumpleaños). La contraseña se debe cambiar regularmente, se sugiere cada dos o tres meses, y que no se utilice la misma contraseña de la empresa para acceder a las cuentas u otras aplicaciones de uso personal.
Empleen las mejores prácticas en pagos con tarjeta.
Es recomendable no utilizar la misma computadora donde se realizan los pagos en línea de la empresa para navegar por internet.
Haga copias de respaldo de información importante.
Respaldar regularmente la información de todas las computadoras y/o terminales móviles de la empresa, especialmente información crítica de la empresa, tales como documentos legales, bases de datos, archivos contables y financieros, archivos de recursos humanos, etc. Es recomendable hacer respaldos automáticos, al menos semanalmente, y almacenar los respaldos de dos formas: en servidores propios pero que no estén ubicados físicamente en la empresa y en la nube. Debemos recordar que hoy día los ataque denominados “ransomware” (secuestro de las bases de datos) se han convertido en una de las principales amenazas para las empresas.
Controlar el acceso físico a computadoras y componentes de la red.
Prohibir el acceso o uso de las computadoras y/o terminales móviles de la empresa por parte de personas no autorizadas, incluso de personas de la misma empresa que no están autorizadas para acceder a cierta información privilegiada. Las computadoras portátiles pueden ser blanco fácil de robo o pueden ser extraviadas, por lo que se debe recomendar a sus empleados o colaboradores usar una contraseña de usuario, que las guarden de forma segura y que nunca las descuiden en lugares públicos o las dejen bajo la supervisión de terceros. Asegúrese que cada empleado y colaborador tenga su propia cuenta de usuario y contraseña.
Uso de discos extraíbles y dispositivos externos (UBS).
Se debe monitorear y controlar el ingreso de cualquier dispositivo externo que se conecte a los equipos de las empresas, ya sean discos duros extraíbles, tarjetas de memoria o cualquier otra unidad en la que pueda almacenarse datos sensibles o confidenciales. La empresa podría proporcionar dispositivos de memoria (también denominados “llave maya”), los cuales cifran la información y tienen contraseña. Asimismo, asegúrese de que todos los archivos procedentes de ese tipo de dispositivos sean analizados previamente por un anti-virus antes de ser copiados o ejecutados en las computadoras de la empresa.
Plan de respuesta a incidentes cibernéticos.
Las pymes que por su actividad comercial son más vulnerable a este tipo de ataques, es recomendable que contraten a una empresa consultora para que haga una valoración general de empresa e identifique las vulnerabilidades del sistema y posibles amenazas, y además les ayuden a definir un plan de respuesta en caso de darse un ataque cibernético. Las empresas grandes tienen un plan de respuesta no sólo que abarca los incidentes cibernéticos sino también otros incidentes, tales como asaltos, inundaciones, terremotos, apagones, etc., así que es vital para la continuidad de la operación de la empresa que el personal de IT y administradores entiendan y conozcan cómo proceder y los pasos a seguir en caso de que se detecte algún incidente cibernético a efectos de minimizar el impacto del ataque y sus consecuencias para la empresa. También es recomendable hacer entrenamientos y simulacros cada cierto tiempo para mejorar los tiempos de reacción y respuesta.
Hacemos énfasis también en recordarles que, ¡LA PREVENCIÓN ES MÁS IMPORTANTE QUE LA RECUPERACIÓN!
A veces, la mejor ofensiva es una buena defensa. Cuando se trata de ransomware y recuperar el acceso a archivos críticos, solo hay dos opciones: O restaura sus datos desde la copia de seguridad si tenía la visión de futuro para tener un sistema de este tipo en su lugar, o tiene que pagar el rescate.
Más allá de las obvias implicaciones financieras de aceptar las demandas del pirata informático, pagar es arriesgado porque no hay forma de garantizar que realmente brinden acceso a sus archivos después de que se transfiera el dinero. No existe un código de conducta o contrato al negociar con un criminal.
Un informe reciente encontró que alrededor del 42 por ciento de las organizaciones que pagaron un rescate no lograron descifrar sus archivos.
Dado el creciente número de ataques de ransomware dirigidos a empresas, las consecuencias de no contar con un sistema de detección y respaldo seguro podrían ser catastróficas para su empresa.
Invertir en una solución ahora ayuda a garantizar que no hará una gran donación a una organización infame más adelante. Aprender de los errores de otras organizaciones puede ayudar a proteger la suya de un destino similar.
Recuerde mantenerse protegido en todo momento y sobre todo, ¡Aprenda cómo hacerlo!
No Responses