Si preguntáramos a los responsables de las pymes cuáles son sus principales preocupaciones en términos de ciberseguridad, ciertamente responderían con palabras como el robo o pérdida de información crítica, el ataque a su plataforma Web o ser víctimas de un phishing o ransomware. Ahora bien, ¿qué deberían hacer esos mismos responsables cuando sus recursos económicos para combatirlas son muy limitados?
Algunas organizaciones como CIS o INCIBE se han preocupado por recoger las medidas indispensables que toda pyme debe tomar para tener una ciberseguridad robusta. Desde All4Sec, empresa española de ciberseguridad, brindan unas recomendaciones para ayudar a las PYMEs a estar protegidas.
- Conocer en detalle nuestra red informática
Si se conocen todos los elementos que conforman una red resulta más sencillo gestionarla y decidir sobre qué dispositivos se debe actuar para protegerla. A continuación, proponemos algunas medidas:
- Disponer de un inventario actualizado completo de todos los elementos que están en la red, sean hardware, software o datos críticos. Si la red es demasiado grande o compleja se recomienda utilizar un escáner de red que proporcione una lista completa de todos los dispositivos conectados.
- Mantener habilitado el protocolo de red DHCP para los dispositivos que se conectan a su red, que permite trazar posteriormente cualquier elemento que haya accedido a sus recursos internos. Si la empresa ofrece conexión WIFI, es necesario comprobar que router identifica todos los dispositivos conectados y que estos utilizan WPA2 para sus conexiones.
- Conocer las aplicaciones instaladas en los equipos y servicios web. Además, es necesario comprobar ocasionalmente que no se han hecho alteraciones no autorizadas, así como prestar atención a los servicios online que se utilizan y disponer de un procedimiento de habilitación de nuevas aplicaciones en su red para evitar la descarga de aplicaciones maliciosas.
- Limitar el número de usuarios con privilegios de administrador en sus equipos. En general, no active esos permisos sin un criterio claro. Implante medidas para disponer de passwords robustos en cualquier servicio y muy en particular en los servicios de administración.
- Proteger los elementos y sensibilizar a los empleados
Los ciberdelincuentes suelen actuar sobre las debilidades que presentan las infraestructuras tecnológicas, por eso es fundamental asegurar la correcta configuración de sistemas operativos y aplicaciones web; sin olvidar la necesidad de que los empleados estén sensibilizados con estas medidas y conozcan los procedimientos de actuación en caso de amenaza. Algunas de las recomendaciones son:
- Utilizar navegadores que se actualicen periódicamente, verifiquen la integridad de los plugins e implanten doble factor de autenticación. Es importante revisar los parches y actualizaciones del navegador. Además de contar con un anti-malware en equipos y servidores, así como cortafuegos para las conexiones. Implante también un sistema cortafuegos para sus conexiones.
- Cifrar siempre la información crítica o confidencial y utilizar conexiones cifradas al administrar dispositivos o transferir información confidencial. Los usuarios que pueden acceder a esta información sensible han de estar definidos y conocer el riesgo que conlleva. Es recomendable limitar el uso de dispositivos de almacenamiento externos como USB, CD o DVD a ocasiones puntuales.
- Invertir tiempo en sensibilizar a los empleados sobre el phishing y los casos más habituales que se pueden presentar. Solicitar que activen los bloqueos de pantalla de sus dispositivos móviles y, en la medida de lo posible, hacer que cada usuario tenga una contraseña propia para cada servicio.
- Estar preparado frente a posibles incidentes
Es vital que las empresas estén preparadas frente a las amenazas. Entre las medidas a destacar están:
- Realizar una copia de seguridad de forma semanal de aquellos elementos críticos de la organización. Incluso aislar las copias para evitar posibles ataques, sin olvidar verificar que las copias son recuperables.
- Definir la persona encargada de liderar las actuaciones en caso de un posible incidente. Así como disponer de los puntos de contactos actualizados de los proveedores de servicio sean legales o tecnológicos, en caso de necesidad.
- Conocer la legislación vigente en materia de notificación de incidentes y el Reglamento General de Protección de Datos (RGPD) y sus requisitos que impone.
Los ataques y amenazas seguirán estando alrededor de las pequeñas y medianas empresas, pero adoptar las recomendaciones básicas dificultará la actuación de los ciberdelincuentes y ayudará a mejorar la capacidad de reacción de las empresas.
