El pasado mes de mayo toda clase de empresas y pymes fueron víctimas de WannaCry, el ransomware que infectó en un día a más de 200.000 dispositivos de 150 países. Seguramente la mayoría de estas empresas, sobre todo las grandes, habían dedicado una partida de su presupuesto a la protección de la seguridad de sus datos y comunicaciones, pero el ataque les llegó directamente a través de los ordenadores de sus empleados.
Hasta ahora, la seguridad en muchas empresas era algo reactivo, cuando se detectaba el problema era cuando se actuaba para solucionarlo. Actualmente, con los ciberataques a la orden del día, la prevención se ha vuelto esencial y determinante para poder proteger tanto la información de la empresa, su reputación, así como a sus propios clientes. Las empresas han de ser conscientes que es tan importante la prevención como la estrategia de defensa ante un ciberataque.
Las pérdidas sufridas por las empresas víctimas de ciberataques son tanto económicas como de información, por lo que es muy importante que éstas dispongan de recursos y medidas capaces de evitar un incidente de seguridad, así como de permitir que el negocio pueda recuperarse con la mayor agilidad posible si no ha sido posible evitarlo.
El “enemigo” en casa
¿De que sirve dedicar muchos recursos en temas de seguridad de las redes y equipos, si luego la puerta de entrada de los ciberataques serán nuestros empleados?
Muchas son las grandes y medianas empresas que ante los recientes acontecimientos de ciberseguridad están formando a sus trabajadores para evitar ser víctimas de nuevos ataques. No hace falta convertir a nuestros empleados en expertos en ciberseguridad, simplemente dotarlos con algunas nociones básicas que permita reconvertirlos en piezas clave para la prevención de ciberataques. Conocimientos que, además, les valdrá a todos ellos no sólo a nivel profesional, sino que también serán de aplicación a nivel particular, en su día a día cuando interactúen con sus dispositivos personales.
Los empleados han de ser conscientes que en sus manos está también la seguridad de la información de la empresa, conocer los posibles peligros con los que se puede enfrentar su empresa, y los riesgos a evitar.
Consejos básicos de seguridad informática
Aunque son innumerables los artículos que recalcan una y otra vez los mismos consejos de seguridad de la información a tener en cuenta, como yo misma hice en una entrada del blog de marzo de “riesgos en la seguridad de la información en empresas“, parece ser que aún hay gente a quien no le ha llegado, así pues pasaré a comentar alguno de ellos.
– Formación de todo el personal: como he comentado anteriormente, es de vital importancia la formación de los empleados de la empresa para que sean precavidos ante cualquier sospecha de intento de ciberataque, y lo pongan en conocimiento de los expertos en seguridad de la empresa.
– Cuidado con el correo electrónico: es la principal (y más sencilla) vía de entrada para los virus, así pues, hay que ser precavido y no clicar sobre enlaces o archivos adjuntos que nos lleguen de remitentes desconocidos. Además, hay que usar contraseñas difíciles de adivinar, con alguna mayúscula, letras y números, y algún carácter especial como “!”, “?”, etc.
– Almacenaje de los archivos de la empresa: independientemente de que nuestra empresa opte por almacenarlos en la nube, o bien el ordenadores propios de la empresa, ha de existir un protocolo claro y definido sobre su uso y almacenaje que han de conocer todos los empleados.
– Limitar el permiso de administrador en los ordenadores de la empresa: solamente aquellos usuarios más avanzados, o los informáticos de la empresa han de tener permisos de administrador en los ordenadores, para evitar la instalación y/o ejecución de programas de fuentes poco fiables. Cada ordenador por defecto ya ha de tener instalado todos los programas necesarios para que el empleado pueda desarrollar su trabajo sin problemas.
– Internet limitado: La empresa ha de redactar una normativa clara y concisa sobre el uso que se espera de los ordenadores y otros dispositivos que se pongan a disposición de los empleados para realizar sus tareas. Básicamente para evitar que se acceda a páginas de internet que no tengan que ver con el trabajo y puedan conllevar un riesgo para la seguridad del equipo, y por tanto para la empresa.
– Copias de seguridad: Es clave que el personal informático de la empresa realice copias de seguridad de los datos, puesto que, ante cualquier incidencia técnica, error humano, incendio, o ciberataque que provoque daños o robo de información de la empresa, permitiría recuperar los datos.
– Mantenimiento y actualización de los equipos: mantener los equipos actualizados evitará vulnerabilidades en nuestros sistemas.
– Seguridad en los ordenadores y resto de dispositivos de la empresa: instalar antivirus, antimalware y antiphishing en los equipos permitirá identificar y eliminar vulnerabilidades (podéis encontrar algunos en la página de la Oficina de Seguridad del Internauta: https://www.osi.es/es/herramientas).
– Seguridad en las conexiones a Internet: el uso de cortafuegos o firewalls permitirá controlar el tráfico desde y hacia Internet, y detectar posibles intentos de intrusión.
– Acceso seguro y privacidad: por último, pero no por ello lo menos importante, es recomendable controlar el acceso a los datos de la empresa de forma segura usando certificados digitales.
Me ha sido util el articulo.
Un buen articulo.