Por Sergio Pérez,

Cada 30 de noviembre se celebra el Día Internacional de la Seguridad de la Información. Esta iniciativa, puesta en marcha en 1988 por la Association for Computing Machinery (ACM),  pretende concienciar sobre la importancia de proteger la información y las herramientas que la gestionan. Con motivo de la efeméride hemos preparado un artículo recogiendo algunos consejos básicos de ciberseguridad para pymes, ya que, como veremos a continuación, constituyen los entes más vulnerables ante el nuevo escenario digital.

Un riesgo muy real

Las pequeñas y medianas empresas representan el 99% del tejido empresarial nacional. Son la espina dorsal de nuestro sistema productivo, pero es habitual que destinen un presupuesto muy reducido a la seguridad informática. Circunstancia que los ciberdelicuentes conocen, y no dudan en aprovechar.

Hace tiempo que los ataques cibernéticos dejaron de ser una amenaza reservada a las grandes empresas. De acuerdo a un informe de SSH Consulting, el 71% de las pymes nacionales ha sufrido algún ataque desde el inicio de la pandemia. De ahí que resulte tan llamativo que, a día de hoy, el 98% de ellas no se considere objetivo potencial de un ciberataque.

En 2020, el Instituto Nacional de Ciberseguridad (INCIBE) registró más de 130 mil incidentes graves, muchos de ellos dirigidos a este colectivo. Lo que contrasta con el hecho de que el 90% de las pymes nacionales aún no contemple el desarrollo de estrategias avanzadas de protección. La aproximación de pymes y autónomos a la seguridad sigue siendo de tipo reactivo, cuando la realidad dice que no es el enfoque adecuado: el 60% de las empresas objeto de algún asalto se vio obligada a cerrar seis meses después.

Estos datos dejan claro que la ciberseguridad es una asignatura pendiente en gran parte de las pymes españolas. Es de capital importancia que se sensibilicen cuanto antes en esta materia, especialmente ante un entorno empresarial cada vez más conectado. Invertir en ciberseguridad es invertir en futuro. Y aunque en muchos casos su capacidad sea limitada, existen medidas sencillas y asequibles que les pueden ayudar a estar más protegidas.

10 medidas básicas de ciberseguridad para pymes y autónomos

1. Concienciación

La primera medida pasa por la propia concienciación de los empleados: el 80% de las brechas de seguridad comienza en un error humano. Es esencial informar a los equipos de trabajo sobre estos riesgos, ya que a menudo no somos conscientes de los perjuicios que puede causar hacer un simple clic.

Informar sobre los tipos de ataques más frecuentes y sus pautas de actuación, facilita su pronta detección y reduce el riesgo de que otros compañeros muerdan el anzuelo. De este modo, cada trabajador actuará como una primera barrera de entrada.

2. Sitios de confianza

Directamente relacionado con el anterior punto. Es necesario insistir en la importancia de verificar la seguridad de los sitios web que los empleados visiten en su día a día, comprobando que implementan certificados de seguridad. Es algo muy sencillo: basta con buscar en la barra de direcciones del navegador el símbolo del candado o los protocolos ‘HTTPS’ o ‘SHTTP’. En caso de no ser así, lo mejor es abandonar la página cuanto antes.

Este aspecto es especialmente relevante cuando tenemos que realizar algún pago, remitir datos o ejecutar cualquier otra operación que implique información sensible. Establecer esta rutina ayuda a minimizar riesgos.

Protocolo HTTPS

3. Uso de equipos y dispositivos

En la medida de lo posible, hay que evitar el uso de ordenadores y dispositivos personales vinculados a las redes corporativas, ya que son mucho más vulnerables. La extensión de la filosofía BYOD (Bring your own device), o uso de dispositivos particulares con fines de trabajo, genera un enorme riesgo para las empresas.

De ahí que sea más que conveniente hacer un esfuerzo económico adicional para dotar a todos los empleados de equipos específicos de trabajo, insistiendo en que su uso debe ser exclusivamente profesional. Cuando no sea posible, conviene involucrar a todos los usuarios en la protección de sus propios dispositivos; y mantener una base de datos de equipos para facilitar la localización y detención inmediata de cualquier incidente que pueda producirse.

4. Actualización del software

Es importante mantener las herramientas de trabajo de tu empresa constantemente actualizadas. Los parches desarrollados por los fabricantes introducen regularmente revisiones de seguridad para evitar posibles brechas, por lo que siempre se debe trabajar con versiones legítimas de estos programas.

Aunque es buena idea comprobar de forma proactiva la existencia de nuevas versiones, si tu actividad diaria no te permite estar muy pendiente puedes habilitar las actualizaciones automáticas. Mediante esta sencilla operación harás más difícil a los atacantes un acceso ilegítimo.

Actualización seguridad

5. Antivirus profesionales

Los mecanismos empleados por los hackers están en constante evolución. Y cada vez son más sofisticados y agresivos: malware, ransomware, phishing… Por este motivo, los programas antivirus domésticos pueden resultar insuficientes ante cierto tipo de ataques.

Apostar por un software profesional para empresas es ciertamente recomendable. Añaden capas de protección adicionales y trabajan con bases de datos constantemente actualizadas, para detectar y neutralizar inmediatamente cualquier amenaza. Una pequeña inversión puede ponerte a salvo de infecciones que se pueden propagar rápidamente por todos los dispositivos y aplicaciones de la empresa, generando valiosas pérdidas de datos.

6. Gestión de contraseñas

Un pilar básico en toda estrategia de ciberseguridad. Emplear contraseñas complejas dificultará el acceso a información sensible, usurpaciones de identidades o robo de datos. Actualmente, los ciberdelincuentes cuentan con tecnologías muy sofisticadas que pueden probar miles de combinaciones diferentes cada segundo.

Por eso utilizar contraseñas robustas es primordial. El primer factor pasa por su longitud: es recomendable que contengan un mínimo de 12 caracteres. Y, por supuesto, hay que tener en cuenta su complejidad: combina letras, signos de puntuación, mayúsculas y minúsculas, números y caracteres especiales. Huye también de passwords que aludan a información personal y cámbialas cada cierto tiempo. El uso de gestores digitales de contraseñas es una buena opción para no tener que recordarlas ni dejarlas anotadas en ningún documento digital.

Contraseñas trabajo

7. Definir permisos

Toda empresa, independientemente de su tamaño, maneja una gran cantidad de información. Pero no toda tiene la misma importancia ni debe ser accesible para todos los empleados.

Cataloga tus datos corporativos en función de su criticidad, estableciendo permisos específicos para cada usuario en función de los requisitos y necesidades de su puesto de trabajo. La norma es simple: cuantas menos personas accedan a la información clave, menor riesgo correrás.

8. Protección de las redes inalámbricas

En ciertos sectores, la movilidad de los trabajadores es indispensable. Lo que hace que el uso de redes inalámbricas sea una práctica muy habitual. Sin embargo, éstas resultan endebles, ya que nuestra actividad puede ser fácilmente rastreada.

Por eso es importante activar las características de seguridad de las redes WiFi, y evitar las conexiones a redes públicas no cifradas. Por otro lado, la extensión del teletrabajo convierte en prioritario la implementación de una VPN o red privada virtual para que tus empleados puedan acceder a los archivos y documentación de tu empresa de forma anónima.

Copias de seguridad

9. Copias de seguridad

Sentimos decírtelo, pero es una realidad: por muchas medidas de seguridad que establezcas, nunca estarás completamente a salvo. Las copias de seguridad constituyen el principal recurso para recuperarte rápidamente de cualquier incidente y garantizar la continuidad de negocio.

Conviene realizarlas de manera frecuente, para lo que puedes valerte de herramientas de automatización evitando perder tiempo en esta tarea. No obstante, ten presente que no es suficiente con almacenar una copia en un dispositivo físico: también podría verse comprometida en caso de accidente o robo en tus instalaciones.

La mejor opción es tener al menos una réplica en la nube. Trabajar con un ERP como eactivo te ofrece esta funcionalidad de forma nativa: al tratarse de una solución SaaS, almacenada en un data center propio (Cloud Center Andalucía), incluye en la cuota de servicio toda la infraestructura de servidores y servicios de seguridad, incluyendo el BackUp de tus datos de empresa.

10. Desarrolla una auditoría de ciberseguridad

Finalmente, y si tu capacidad de inversión te lo permite, puedes contemplar el desarrollo de una auditoría de ciberseguridad. Confiar en el asesoramiento de profesionales externos especializados te permitirá detectar qué áreas de tu organización resultan críticas, cuáles presentan debilidades y dónde debes concentrar más esfuerzos. Una información muy útil para proteger de forma eficaz la información indispensable para la operativa diaria de tu negocio.

Los consejos que hemos recogido son solo algunos apuntes básicos a tener en consideración si quieres que tu empresa sea más segura. Obviamente, dependiendo del sector o la actividad, surgirán necesidades específicas que harán conveniente optar por una tecnología u otra.

Sea como sea, esperamos que hayas comprendido que la ciberseguridad no es una moda pasajera, ni tampoco una opción. En la era digital se presenta como una tarea prioritaria para proteger el activo más valioso de cualquier organización: su información. No pospongas más el desarrollo tu propia estrategia de ciberseguridad: los ciberdelicuentes no van a esperarte.