Como hemos abordado en post anteriores, las PYMES son un objetivo preferente de los ciberdelincuentes, en un contexto de proliferación de los ciberataques de todo espectro (desde el phishing para suplantación de identidad hasta el ransomware para secuestro de datos), tal y como lo acreditan tanto estudios de organismos independiente como los propios informes del INCIBE, el Instituto Nacional de Ciberseguridad.
Este acuciante problema sobreviene en una coyuntura de transformación digital en la pequeña y mediana empresa, en la que el salto adelante tecnológico en muchas ocasiones no viene acompañado por la implantación de los sistemas de protección necesarios, ni la aplicación de las medidas de seguridad que requiere un ecosistema online cada vez más peligroso.
Por ello, los ciberdelicuentes tratan de aprovechar esta brecha, y lo hacen intentando sacar partido a todas las oportunidades a su alcance, suponiendo en este sentido la navidad una ocasión muy propicia para el despliegue de técnicas de ingeniería social que les ayuden a conseguir sus objetivos.
Así, por ejemplo, pueden utilizar de añagaza un email con una felicitación de fiestas falsa, una campaña de una ONG para ayudar a niños desfavorecidos, o una promoción especial para un plan de nochevieja, asuntos que van en plena consonancia con el espíritu de estas fechas, en las que hay una mayor receptividad a este tipo de mensajes que los hackers tratan de explotar en su beneficio.
Manual de emergencia para evitar ciberataques a tu PYME en navidad
En este post, vamos a dar una serie de recomendaciones básicas de emergencia para tratar de sortear estas amenazas, unos consejos que eso sí no suplen la necesidad de adoptar un enfoque integral y sistemático, con medidas a todos los niveles que garanticen una buena defensa de los sistemas de información de la empresa, atendiendo a un contexto como el actual en el que los ataques son cada vez más sofisticados.
Actualizar antivirus y cortafuegos
Para que los antivirus puedan seguir siendo una barrera efectiva contra las amenazas más recientes es muy importante su actualización, que también supondrá al menos un palo en las ruedas de un virus más novedoso. Igualmente, tener configurado un firewall o cortafuegos resulta primordial para evitar accesos indeseados desde el exterior.
A este respecto, hay que valorar la importancia de disponer de una protección antivirus, antimalware y antispyware adecuada a las necesidades de una empresa, ya que los antivirus gratuitos de funciones limitadas pueden valer hasta cierto punto para un usuario particular, pero no para proteger a un negocio.
Actualizar sistemas operativos y programas
Utilizar la última versión disponible del sistema operativo así como de cualquier otro software que se use en la empresa está en el abc de las medidas de ciberseguridad, ya que los desarrolladores van implementando nuevos parches para subsanar vulnerabilidades obrechas recién descubiertas y dar respuesta a los últimos virus y malwares.
No abrir correos de fuentes desconocidas
Hay que desconfiar por sistema de todo email proveniente de usuarios desconocidos, y ser consciente de que los ataques pueden servirse de las técnicas de ingeniería social más elaboradas para engañar, aprovechando desde el momento del día y de la semana que puede ser más propicio (por ejemplo un viernes en los que se suele bajar más la guardia a todos los niveles), hasta por supuesto la época del año, como es el caso de la navidad, donde pueden intentar hacer picar pongamos por caso con una oferta fraudulenta de descuentos especiales en regalos.
Así, no se deben abrir archivos adjuntos de correos, pinchar en enlaces, o dar información sensible susceptible de alimentar una ciberestafa. Además, teniendo en cuenta que el email es la principal brecha por la que intentan colarse los ciberataques habría que configurar filtros antispam para, al menos, ponerlo un poco más difícil.
Uso de contraseñas adecuadas
Es fundamental que todo el personal utilice contraseñas de acceso a los sistemas, redes, endpoints y plataformas de trabajo de la empresa. En este sentido, no son suficientes las identificaciones alfanuméricas de cuatro dígitos, ya que existen programas que son capaces de identificarlas fácilmente, por lo que para una mayor seguridad habría ir a una modalidad alfanumérica de ocho dígitos,que contenga al menos una mayúscula y algún carácter especial.
Asimismo, para obtener un mayor nivel de protección es aconsejable recurrir a la autentificación en dos pasos (2FA), con la que se obtiene una capa de seguridad mucho más eficaz que con una contraseña simple.
Formación a los empleados sobre los riesgos
El personal que trabaja en las empresas tiende a ver los ciberataques como algo exótico que solo ocurre a gobiernos y grandes compañías, cuando es una amenaza muy real que puede llegar a comprometer la supervivencia de una empresa, y por tanto su puesto de trabajo. Por ello, la concienciación sobre la dimensión del peligro, la información sobre las últimas modalidades de ataques detectados y la formación son muy importantes. Para todo esto, el INCIBE ofrece unos recursos muy valiosos en forma de cursos especiales para personal de PYMES, guías, infografías, etc.
Realización de copias de seguridad de manera sistemática
La existencia de sistemas de respaldo que protejan los datos críticos de las empresas, garantizando su integridad, confidencialidad y disponibilidad es fundamental para cualquier organización, tanto para asegurar la continuidad de sus operaciones en caso de ataque, como para salvaguardar datos personales relativos a clientes y proveedores, de cuya custodia es responsable la empresa de acuerdo a las disposiciones legales de la LOPD.
Todas estas medidas que hemos expuesto sirven como guía básica de emergencia, pero el ecosistema actual de ciberamenazas aboca a la adopción de un enfoque global que salvaguarde a toda la infraestructura tecnológica de la empresa, con la vista puesta en la protección de los equipos, las personas y los procesos de trabajo.
Solo así se puede responder de manera adecuada a una amenaza muy tangible, que ha sido calibrada en toda su importancia en estudios independientes como el de Hiscox, que de una muestra de 150 PYMES estudiadas cifró en un 44% el porcentaje de ellas que habían sufrido ataques de ransomware para el secuestro de información, elevándose hasta el 95% los casos en los que las empresas atacadas habían sufrido secuestro de datos.
Confía en expertos en ciberseguridad para las PYMES
En ITRES acumulamos un amplísimo bagaje ofreciendo servicios y soluciones de ciberseguridad a medida a PYMES de todos los sectores de actividad, adoptando un enfoque integral que empieza por la realización de auditorías, la elaboración de planes directores y la formación del personal.
Además, damos una respuesta completa a las necesidades de las empresas orientándonos hacia la gestión continua de la ciberseguridad, con la vista puesta en la protección completa de los sistemas de información y la totalidad de los activos digitales de la PYME, para que no se vea comprometida ni su confidencialidad ni la continuidad de operaciones en caso de ataque.
Para la consecución de estos objetivos no escatimamos en recursos, y operamos en todos los eslabones de la cadena: prevención, dirección y estrategia, detección y respuesta.
Bajo este enfoque, proporcionamos soluciones de Cloud Defense con Nube pública, privada e híbrida, disponiendo asimismo de un centro de operaciones propio (SOC) operativo 24x7x365 en el que trabaja un equipo conformado por 12 especialistas en ciberseguridad.
También, aquellas PYMES que lo requieran pueden contar con el soporte de un CISO (Chief Information Security Officer, que entre otras misiones se encargará de conjugar los criterios generales de ciberseguridad con las necesidades concretas de la empresa.
Asimismo, al margen de abarcar la vertiente preventiva de la ciberseguridad (auditorías, hacking ético continuo, gestión de dispositivos y aplicaciones, prevención y seguimiento de amenazas), también hacemos lo propio con la correctiva:
- Gestión de eventos de seguridad con tecnología SIEM + SOAR
- Respuesta a amenazas
- Resolución de incidentes
- Recuperación de desastres IT
Por último, completamos nuestro catálogo de servicios y soluciones de ciberseguridad para las PYMES con la consultoría a medida, con la que podemos desde asesorar para la creación de planes de ciberseguridad hasta ofrecer soporte para la integración de nuevos recursos tecnológicos.
Si quieres que la ciberseguridad de tu empresa esté en manos de los mejores especialistas no dudes en contactar con ITRES. ¡Llámanos al 868 300 513 o escríbenos, estaremos encantados de explicarte más en detalle todo lo que podemos hacer para proteger a tu negocio!
