¿Qué debería hacer el responsable de una PYME para implementar medidas de ciberseguridad cuando sus recursos económicos son muy limitados? ¿Existe una ciberseguridad “lowcost”?
Algunas organizaciones como CIS o INCIBE se han preocupado por recoger las medidas indispensables que toda PYME debe tomar si no quiere que su negocio corra el riesgo de desaparecer a causa de un ciber-incidente. Se trata de una serie de recomendaciones básicas, de coste reducido, que se articulan en torno a tres conceptos:
- Conocer con detalle todos los elementos que forman parte de su red informática,
- Proteger los elementos y sensibilizar a los empleados en el uso de estos y
- Estar preparado para cuando ocurra un incidente.
Vayamos por partes y recuperemos estas medidas.
Conocer en detalle nuestra red informática
Cuando se conocen todos los elementos que conforman una red resulta más sencillo gestionarla y es más fácil decidir sobre qué dispositivos se debe actuar para protegerla. A continuación, proponemos algunas medidas:
- Disponga de un inventario completo de todos los elementos que están en su red, sean hardware, software o datos críticos. Guárdelo si quiere en una hoja de cálculo, pero manténgalo actualizado.
- Si la red es demasiado grande o compleja utilice un escáner de red que le proporcione una lista completa de todos los dispositivos conectados. Existen soluciones de software libre y comerciales que le facilitarán el trabajo.
- Mantenga habilitado el DHCP para los dispositivos que se conectan a su red, eso le permitirá trazar posteriormente cualquier elemento que haya accedido a sus recursos internos.
- Si está ofreciendo conectividad WIFI, compruebe que el router identifica todos los dispositivos conectados y que estos utilizan WPA2 para sus conexiones.
- Dedique tiempo a inventariar las aplicaciones que tiene instaladas en sus equipos y servicios web. Periódicamente audítelo para verificar que no se han producido alteraciones incontroladas.
- Preste atención a los servicios online que utiliza, sean estos para la compartición de ficheros o para servicios de aplicaciones en la nube.
- Limite el número de usuarios con privilegios de administrador en sus equipos. En general, no active esos permisos sin un criterio claro.
- Implante medidas para disponer de passwords robustas en cualquier servicio y muy en particular en los servicios de administración. Nunca permita que una persona utilice la cuenta de administrador para otras tareas que no sean las específicamente definidas por su organización.
- Disponga de un procedimiento de habilitación de nuevas aplicaciones en su red para evitar la descarga de aplicaciones maliciosas.
Proteger los elementos y sensibilizar a los empleados
Los ciberdelincuentes suelen actuar sobre las debilidades que presentan las infraestructuras tecnológicas, por eso es fundamental asegurarse de que los sistemas operativos y las aplicaciones web están correctamente configuradas. Asimismo, resulta indispensable que los empleados estén sensibilizados con estas medidas y que sus procedimientos de actuación se correspondan con la seguridad que requieren los recursos que utilizan. Las siguientes son algunas de las recomendaciones más sencillas:
- Preste atención a los parches y actualizaciones de los sistemas operativos que utiliza. Por ejemplo, Microsoft periódicamente lanza actualizaciones que es indispensable instalar sin demora.
- Disponga de una solución anti-malware en sus equipos y servidores. Implante un sistema cortafuegos para sus conexiones. Sin ellos, será con certeza una víctima propiciatoria de los atacantes.
- Utilice navegadores de Internet que se actualicen periódicamente y que verifiquen la integridad de los plugins que instalan.
- Implante el doble factor de autenticación, sobre todo si está accediendo a servicios de la compañía desde fuera de su red. Un ejemplo evidente es el correo electrónico.
- Cada vez que añada un dispositivo o aplicación a su red, modifique inmediatamente la password por defecto.
- Limite el uso de dispositivos de almacenamiento externos como USB, CD o DVD a aquellos usuarios que realmente lo necesiten.
- Utilice conexiones cifradas, particularmente VPN, cada vez que tenga que administrar dispositivos o tenga que transferir información confidencial.
- Defina claramente qué usuarios dentro de su organización pueden acceder a información confidencial y hágales ver la importancia de ese privilegio.
- Cifre la información crítica o confidencial, esté donde esté alojada.
- Invierta tiempo en sensibilizar a sus empleados sobre el phishing y los casos más habituales que se pueden presentar.
- Cuando sea posible, haga que sus usuarios dispongan de diferentes passwords para distintos servicios. Y dado el caso que utilicen doble factor de autenticación.
- Fuerce a que sus empleados activen los bloqueos de pantalla de sus dispositivos móviles.
Estar preparado frente a posibles incidentes
Nada impide que incluso después de aplicar las anteriores recomendaciones, en el momento más inesperado se produzca un incidente de seguridad que ponga en riesgo su organización. Aunque las medidas suelen ser muy dependientes del tipo de incidente, existe un conjunto de recomendaciones básicas que conviene seguir para estar preparado:
- Realice una copia de seguridad de forma semanal de aquellos elementos críticos de su organización. Más aún, aísle las copias para evitar posibles ataques. La tarea puede parecer tediosa, pero con certeza le evitará muchos quebraderos de cabeza.
- Verifique que las copias de seguridad son recuperables.
- Tenga claramente definido qué persona ha de liderar sus actuaciones en caso de un posible incidente. Disponga de los puntos de contactos actualizados de sus proveedores de servicio sean legales o tecnológicos, en caso de necesidad.
- Conozca la legislación vigente en materia de notificación de incidentes. Estudie el Reglamento General de Protección de Datos (RGPD) y los requisitos que impone.
Conclusión
Si usted, como pequeño empresario, sigue estas recomendaciones no le podremos garantizar que no sufrirá ningún ataque; lo que si podremos decirle es que dificultará la acción de los ciberdelincuentes y que en su caso podrá reaccionar para evitar que las consecuencias, desafortunadamente, sean irreparables. Y eso no es poco en los tiempos que corren.
