Debido a la digitalización, la Ciberseguridad para las PYMES es un tema crucial hoy en día. Los ciberataques se dirigen cada vez más a las pequeñas y medianas empresas que no están tan protegidas como pueden estarlo las grandes compañías.

La ciberseguridad es un conjunto de prácticas para defender los sistemas y programas informáticos de los cibercrímenes.

La ciberdelincuencia es toda actividad delictiva que tiene lugar en el mundo digital, en la que interviene un ordenador, un dispositivo conectado a una red o una red, y que tiene por objetivo conseguir un determinado propósito o beneficio, que puede ser de diferente índole. La ciberseguridad abarca muchas áreas: seguridad de la red, seguridad de las aplicaciones, seguridad de la información, seguridad del usuario, etc. Veamos ahora algunos conceptos a considerar desde una perspectiva empresarial, para luego finalizar el curso con la Guía básica de ciberseguridad. 

Ransomware es un tipo de software malicioso que cifra la información en diferentes dispositivos e impide a los usuarios acceder a su sistema o a sus archivos personales. Mediante este método, los ciberdelincuentes extorsionan a sus víctimas exigiendo una cantidad de dinero o pago de un rescate, a cambio de recuperar el acceso a sus datos.

Malware significa software malicioso. Siendo una de las ciber amenazas más comunes, el malware es un software que un ciberdelincuente o hacker ha creado para perturbar o dañar el ordenador de un usuario legítimo.

El malware, que a menudo se propaga a través de un archivo adjunto a un correo electrónico no solicitado o de una descarga de aspecto legítimo, puede ser utilizado por los ciberdelincuentes para ganar dinero o en ciberataques por motivos políticos. Hay muchos tipos diferentes de malware, como Virus, Troyanos, Spyware, Ransomware, Adware, Botnets.

Un antivirus es un programa que detecta malware, bloqueándolo, y eliminándolo para prevenir que se infecte el dispositivo. Existen diferentes tipos de antivirus, para elegir el más adecuado para ti o tu negocio, tienes que tener en cuenta las especificaciones el dispositivo a proteger y algunos criterios a considerar.

Hay muchos antivirus disponibles, así que, a la hora de elegirlos, ten en cuenta estos criterios:

¿Cuál es la diferencia entre antivirus y antimalware?

Ambos se refieren a un software diseñado para detector, proteger y eliminar software malicioso. A pesar de lo que el nombre pueda sugerir, el software antivirus protege contra algo más que los virus; simplemente utiliza un nombre un poco anticuado para describir su función. El software antimalware también está diseñado para proteger contra los virus, solo que usa un nombre más moderno que engloba todo tipo de software malicioso, incluido los virus.

Sabiendo esto, el antimalware puede prevenir la aparición de una infección viral, y eliminar los archivos infectados. Sin embargo, el antimalware no está necesariamente equipado para restaurar los archivos que un virus haya cambiado o sustituido.

Es una parte importante de la ciberseguridad en las empresas, ya que ayuda a evitar las brechas de vulnerabilidad en los sistemas de la empresa, mediante la actualización de todos sus equipos y dispositivos. Esto incluye las aplicaciones informáticas y los sistemas operativos, el firmware de los equipos electrónicos y el software antimalware.

Los parches y las actualizaciones son creados por los propios desarrolladores del software y sirven para mejorar su rendimiento corrigiendo errores de seguridad y añadiendo nuevas funciones.

En pocas palabras, una copia de seguridad de datos no es más que una copia de los archivos de su ordenador o dispositivo. Y, como demuestran las numerosas amenazas descritas anteriormente, mantener una copia de seguridad de sus archivos y datos empresariales importantes es esencial por una serie de razones importantes.

Cualquier copia de seguridad es mejor que ninguna, sin embargo, no todos los dispositivos y tecnologías de copia de seguridad son iguales ni ofrecen los mismos niveles de protección. Para una protección óptima, lo mejor es salvaguardar sus datos siguiendo la regla 3-2-1, que es la siguiente:

El uso de una red inalámbrica le ofrece la comodidad de poder trabajar y utilizar su ordenador prácticamente en cualquier lugar, y de conectarse a otros ordenadores de la red o acceder a Internet. Sin embargo, si su red inalámbrica no es segura, existen riesgos importantes.

Por ejemplo, un ciberdelincuente podría interceptar cualquier dato que envíe o reciba, acceder a sus archivos compartidos, secuestrar su conexión a Internet y agotar su ancho de banda o límite de descarga.

Los empleados pueden hacer que su empresa sea vulnerable a los ataques, o ayudar a prevenirlos. Numerosos estudios demuestran que gran parte de las pérdidas de datos provienen de los empleados internos que, en la mayoría de los casos por descuido o desinformación, dan a los ciberdelincuentes acceso a sus redes.

Hay muchos escenarios que pueden dar lugar a ataques en los que las vías de acceso son los empleados. Por ejemplo, que un empleado pierda una tablet de trabajo, que facilite sus credenciales de acceso o que abra correos electrónicos fraudulentos, que desplieguen virus en la red.

Para protegerse de las amenazas internas, es de vital importancia invertir en una formación de calidad en materia de ciberseguridad para los empleados que les proporcione las herramientas necesarias para actuar ante diversas situaciones y riesgos.

Para prevenir la ciberdelincuencia, es importante no sólo formar a sus empleados en materia de prevención de ciberdelitos, sino también crear una política de ciberseguridad de la empresa. Esto ayudará a definir claramente las directrices para la transferencia de datos de la empresa, el acceso a sistemas privados y el uso de dispositivos proporcionados por la empresa. Cuando prepare su política, asegúrese de que orienta a sus empleados sobre:

Un modelo completo de política de ciberseguridad incluirá las siguientes partes básicas:

Seguridad de los dispositivos:

La formación de los usuarios finales es importante porque aborda el factor más imprevisible de la ciberseguridad: las personas. Si no se siguen las buenas prácticas de seguridad, cualquiera puede introducir accidentalmente un virus en un sistema que de otro modo sería seguro. Enseñar a los usuarios a prestar atención a los factores de riesgo es fundamental para la seguridad de cualquier organización.

Datos personales y datos sensibles. ¿Son lo mismo?

¿Qué son los datos personales?

Los datos personales son cualquier pieza de información que alguien puede utilizar para identificar, con cierto grado de precisión, a una persona viva. Por ejemplo, la dirección de correo electrónico de un empleado de una empresa se considera un dato personal, porque indica que esa persona trabaja para la empresa. Una dirección física o un número de teléfono también son datos personales, porque esta información puede utilizarse para contactar con la persona.

Cualquier cosa que pueda afirmar su presencia física en algún lugar también se considera un dato personal. Por ejemplo, las grabaciones de las cámaras de seguridad son datos personales, al igual que las huellas dactilares.

Algunos ejemplos podrían ser:

Los datos personales sensibles son un conjunto específico de "categorías especiales" que gozan de una mayor protección legal y deben ser tratados con una seguridad adicional, previa aprobación específica del sujeto al que se refieren esos datos. Esto incluye información relativa a:

Los datos personales sensibles deben almacenarse por separado de otros datos personales, preferiblemente en un cajón o archivador cerrado con llave. Al igual que los datos personales en general, solo deben guardarse en ordenadores portátiles o dispositivos de mano si el archivo ha sido encriptado y/o seudonimizado.

La ciberseguridad comienza con una fuerte seguridad física. Esto incluye almacenar los documentos de forma segura, guardarlos bajo llave en una habitación o armario, limitar el acceso físico a los datos sensibles, eliminar la información correctamente y destruir los documentos de datos sensibles cuando ya no se necesiten. Permita el acceso a la información personal y financiera sólo al personal que realmente la necesite.

Recuerde a sus empleados que nunca deben dejar documentos de datos sensibles sin vigilancia en el lugar de trabajo o en lugares públicos.  Los fallos en la seguridad física pueden exponer los datos sensibles de la empresa al robo de identidad, con consecuencias potencialmente graves.

Todo puede ocurrir debido a fallos de seguridad física, como la pérdida de un ordenador portátil, el robo de un teléfono móvil o el extravío de un pendrive. Por ello, es menos probable que se produzca una violación de datos si la información de esos dispositivos está protegida.

Exija contraseñas complejas: Exija contraseñas largas, complejas y únicas. Y asegúrese de que estas contraseñas se almacenan de forma segura. Considere la posibilidad de utilizar un gestor de contraseñas.

Utilice la autenticación multifactorial: Exija una autenticación multifactorial para acceder a las áreas de su red con información sensible. Esto requiere pasos adicionales más allá del inicio de sesión con una contraseña, como un código temporal en un smartphone.

Limite los intentos de inicio de sesión: Limite el número de intentos de inicio de sesión incorrectos permitidos para desbloquear los dispositivos. Esto le ayudará a protegerse de los intrusos.

Cifrar: Cifre los dispositivos portátiles, incluidos los ordenadores portátiles y las memorias USB, que contengan información sensible. Cifre cualquier dato sensible que envíe fuera de la empresa, como por ejemplo a un contable o a un abogado.

En el caso de que el usuario/empleado utilice dispositivos personales para acceder a los sistemas de la empresa, o para uso personal, se deben tomar ciertas medidas de seguridad en cuanto al uso del correo electrónico, ya que también puede ser una puerta de entrada para acciones delictivas.

En el caso de que los empleados deban utilizar sus dispositivos personales para acceder a los sistemas de la empresa, los empleados deben informar a la dirección con el fin de realizar un registro.

Para garantizar la protección de los sistemas de la empresa, todos los empleados deben:

La protección de los sistemas de correo electrónico es una gran prioridad, ya que los correos electrónicos pueden dar lugar a robos de datos, estafas y ser portadores de programas maliciosos como gusanos y virus. Por ello, se aconseja a los usuarios/empleados que:

También conocido como fraude electrónico. Conocer un poco más sobre los fraudes más comunes y peligrosos nos ayudará a evitar caer en ellos. A través de estos métodos, 'phishing' y 'smishing', el atacante busca obtener información privada como contraseñas o tarjetas de crédito. En este ataque, se pide a la víctima datos vulnerables, como contraseñas o claves de acceso, por correo electrónico, haciéndose pasar por la web o entidad legítima, para que la víctima facilite los datos solicitados por el atacante.  

Esta amenaza es similar al phishing, la única diferencia es que se envía por SMS a los teléfonos. El hacker envía un mensaje a nuestros teléfonos, abrir el mensaje no es peligroso. El peligro radica en hacer clic en el enlace, es entonces cuando comienza el ataque.

Después de familiarizarnos con los conceptos mencionados anteriormente, veamos los riesgos más frecuentes a los que se enfrentan las pymes, según estudios basados en la encuesta de la Agencia de Ciberseguridad de la Unión Europea (ENISA), encabezando la lista el phishing y los ataques basados en la web.

Este tipo de ataque se ha vuelto extremadamente popular debido al trabajo a distancia. Un clic descuidado en un enlace es todo lo que necesita un ciberdelincuente para acceder a información empresarial sensible.

Los ciberdelincuentes utilizarán casi cualquier vulnerabilidad -dentro de un sistema operativo (OS) o de una aplicación- para llevar a cabo un ataque. Sin embargo, la mayoría de los ciberdelincuentes desarrollan amenazas web que se dirigen deliberadamente a algunos de los sistemas operativos y aplicaciones más comunes

Muchas PYMES subestiman la posibilidad de sufrir ciberataques debido a su tamaño. Sin embargo, esto es precisamente lo que buscan los piratas informáticos, ya que pueden beneficiarse rápidamente de una amenaza de ransomware a las PYMES menos seguras.

Este tipo de amenaza se refiere a la existencia de personas dentro de una organización (ya sean empleados internos o proveedores externos, entre otros) que por descuido, ignorancia y/o mala fe, realizan una "acción" que afecta a la seguridad de los procesos, sistemas o instalaciones de un entorno operativo industrial o de una infraestructura crítica.

El objetivo de estos ataques es interrumpir el sitio web de una empresa para que sea inaccesible, lo que el ciberdelincuente hace por diversos motivos. Un sitio web detenido puede provocar la pérdida de ingresos, la violación de datos, la desconfianza de los clientes y la paralización de la actividad de la empresa.

1. Determina tus vulnerabilidades

Lo primero que debes hacer es identificar tus vulnerabilidades, para saber qué datos debes proteger. Hazte preguntas como: ¿Cuáles son los datos más importantes que almacena mi empresa? ¿Dónde almacena estos datos? Una vez que tengas las respuestas, podrás empezar a evaluar los riesgos.

2. Protege tus dispositivos

Los dispositivos de trabajo son cruciales para el funcionamiento de tu empresa. Su conexión a Internet los hace vulnerables a los ciberataques. He aquí algunos consejos para protegerlos:

3. Protege tus datos

Independientemente del tipo de negocio que tenga, los datos son una parte esencial del mismo. Los datos pueden dañarse de mil maneras diferentes, una de las cuales es a través de los ciberataques. Aquí tienes algunos consejos útiles sobre cómo proteger tus datos.

4. Instaura la ciberseguridad en el lugar de trabajo

Las medidas de seguridad mencionadas en esta guía básica pueden ayudarle a reducir significativamente el riesgo de un ciberataque. Pero esto no servirá de nada si los empleados de tu empresa no tienen la concienciación y formación necesarias para poder contribuir a la prevención de los mismos. Incluya este tipo de formación en su empresa y no olvide crear una política de ciberseguridad de la empresa que todos los miembros del equipo puedan seguir.