Mundo Digital  - 

Cómo prevenir el riesgo de ataques informáticos en tu empresa

Contratación por Internet, servicios en la nube, teletrabajo... El uso de nuevas tecnologías se ha hecho imprescindible y las empresas deben prevenir el riesgo de ataques informáticos.

Redactado por
(0) Escribir comentario

La Administración Pública, a través del Instituto Nacional de Ciberseguridad, proporciona información y herramientas útiles para prevenir y combatir los ataques informáticos. Vea a continuación los aspectos que debe proteger en su empresa y la información gratuita que puede obtener de dicho organismo.

Identificación de los riesgos

Herramienta. Lo primero que debe hacer es identificar qué datos son más importantes en su negocio (datos de sus clientes, información financiera, I+D+i…) y dónde los tiene almacenados (en sus propios servidores, en servidores de terceros…). Enhttp://www.incibe.es, “Protege tu empresa”, “¿Conoces tus riesgos? ” podrá acceder a un cuestionario gratuito que evalúa el riesgo de seguridad de su negocio en función de cómo utiliza la tecnología.

Contestadas todas las cuestiones, la herramienta ofrece un resumen del diagnóstico y cuantifica su nivel de riesgo. En dicho resumen también se indican algunas actuaciones a realizar para mejorar la ciberseguridad de la empresa.

Gestión de los riesgos. A continuación, ponga en marcha un plan para gestionar estos riesgos. Incluya los siguientes aspectos:

  • Gobernanza. Deberá decidir qué persona o personas serán las responsables de gestionar los riesgos de seguridad informática en su empresa (puede recurrir a una empresa externa de servicios informáticos especializada en seguridad).
  • Información. Manténgase informado de los incidentes de seguridad más habituales que se van produciendo en el entorno empresarial. Puede obtener información y suscribirse a un boletín gratuito enhttps://www.incibe.es/protege-tu-empresa/avisos-seguridad.

También encontrará noticias y avisos sobre vulnerabilidades en la web del Centro Criptológico Nacional (CCN):https://www.ccn-cert.cni.es/seguridad-al-dia/noticias-seguridad/virus-troyanos.html, así como en la web de la Oficina de Seguridad del Internauta (OSI), donde podrá reportar los casos que se detecten en su empresa (https://www.osi.es/es/reporte-de-fraude).

Política de seguridad. Elabore también una política de seguridad (medidas a adoptar para gestionar los riesgos). Enhttps://www.incibe.es/protege-tu-empresa/herramientas/politicasencontrará diversas políticas de seguridad (según la que necesite desarrollar). Estas políticas tratan los aspectos que deben estar bajo control (actualizaciones de software, almacenamiento en equipos, comercio electrónico, contraseñas, uso de wifis y redes externas...), e incluyen una lista de control de las acciones a adoptar.

Verificación del software

Pasos. Verifique también que el software que utiliza en su empresa está bien configurado y actualizado. Para llevar a cabo esta tarea, lo recomendable es que proceda por pasos:

  • Haga un inventario de sus activos tecnológicos (equipos, hardware, software).
  • Actualice sus dispositivos (sistemas operativos, software, firewalls...) con las últimas versiones y no olvide activar la opción de actualizaciones automáticas (cuando sea posible).
  • Asegúrese de tener licencias para todo el software instalado en su empresa.

Contraseñas seguras. Compruebe que las contraseñas para acceder a los programas y a la información de su empresa son seguras y que se cambian periódicamente (por ejemplo, cada tres o seis meses). Evite las más utilizadas (del tipo 987654321) y opte por las que tengan más de ocho caracteres, que alternen mayúsculas y minúsculas, y que incluyan números y caracteres especiales (del tipo $, &, @, etc.).

Asegúrese de que sus trabajadores no apuntan las contraseñas en papel ni las comparten con otros usuarios.

Accesos. Asegúrese también de que sus empleados sólo tengan acceso a las carpetas que necesiten para su trabajo. Mantenga los datos sensibles separados y vigilados, controle los elementos extraíbles (por ejemplo, anulando los mecanismos que permiten insertar pendrives, discos duros u otros dispositivos externos) y limite los privilegios de administración a quienes realmente sean administradores.

Copias de seguridad. Asimismo, realice copias de seguridad de los datos y de la información de su empresa. Es recomendable hacerlo diariamente.

Realice las copias en un soporte distinto a aquel en el que se encuentra la información (las copias deben cubrir toda la información esencial de su empresa).

Empleados y proveedores

Formación e información. Proporcione formación en materia de seguridad informática y dé a conocer la política de seguridad de la empresa. Incluya el cumplimiento de esta política como una cláusula adicional a los contratos de trabajo. Y extienda también su cumplimiento a los colaboradores externos de su empresa (no sólo a sus trabajadores) si tienen acceso a sus sistemas para la prestación del servicio contratado en cada caso. Para ello, utilice el check-list que facilita INCIBE:https://www.incibe.es/protege-tu-empresa/herramientas/politicas, apartado “Políticas para el empleado”.

Acceda también ahttps://www.incibe.es/protege-tu-empresa/kit-concienciacion, donde los empleados pueden visualizar recursos didácticos y herramientas de entrenamiento para evitar incidentes de ciberseguridad.

Proveedores. Asegúrese de que sus proveedores externos de servicios tecnológicos (alojamiento web, almacenamiento de datos en la nube, servicios informáticos en general) cumplen un nivel mínimo de seguridad, o al menos que cumplen el mismo nivel que tiene en su empresa. Para ello puede utilizar la guía publicada por INCIBE:https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/relacion-proveedores.pdf.

Servicios externos de protección

¿Contrato un hacker “ético”?

Servicios. Dado que cada vez son más frecuentes los ataques informáticos a las empresas, han surgido servicios denominados de “hacking ético” (tecleando estas palabras en Google, encontrará empresas que los prestan), para detectar posibles fallos de seguridad y corregirlos antes de sufrir un ataque real.

Cautelas. Si contrata estos servicios, tenga en cuenta:

  • Contrato. Firme un contrato que indique el alcance de la auditoría (si afectará a su web, wifi, Intranet, servidores, etc.). Especifique si, además de identificar sus riesgos, el consultor también le dará recomendaciones para solucionarlos.
  • Confidencial. Indique que el acceso a sus sistemas está limitado al tiempo necesario para realizar la auditoría, y añada un compromiso de confidencialidad indefinido para el auditor (y de protección de datos si en sus sistemas hay datos personales).
  • Por escrito y seguro. Solicite que los resultados de la auditoría se plasmen por escrito, y pida al auditor que acredite que tiene un seguro de responsabilidad civil que cubra posibles daños durante la auditoría.
riesgo de ataques informáticos
Cómo evitar riesgos de ataques informáticos

Ciberseguro

Seguros. Algunas aseguradoras comercializan seguros que cubren el riesgo de ciberataque. Si decide contratar un seguro de este tipo, no se fíe de las diferencias entre los distintos presupuestos (ya que las coberturas pueden ser muy diversas). Verifique especialmente la cobertura de los siguientes riesgos:

  • Que cubra las inspecciones y sancionesenmateria de protección de datos, la pérdida de datosengeneral y de los hospedadosenservidores externos, así como la extorsión cibernética (el “ransomware”).
  • También es conveniente que se incluyan los riesgos de reclamaciones por actividadesenmedios sociales (redes sociales), aunque ello no esté estrictamente relacionado con cuestiones deciberseguridad.

COMENTAR ESTA NOTICIA

Desde Espacio Pymes no disponemos de un servicio gratuito de asesoramiento, por lo que tu comentario solo podrá ser respondido por otros lectores.

Si necesitas una respuesta profesional, te recomendamos realices tu pregunta desde el siguiente [enlace] desde donde podrás establecer un contacto privado con un abogado.

Muchas gracias.

Enviar comentario