Ciberseguridad en las PYMEs

La información es poder, y eso bien lo saben los hackers. En los últimos años, ha aumentado el número de ciberataques a pequeñas y medianas empresas. Esto es resultado de la poca conciencia en cuanto a seguridad informática que tienen las empresas.  

Te puede interesar: 50 términos que debes saber sobre ciberseguridad 

Es importante que toda la información empresarial esté almacenada en entornos virtuales controlados y protegidos para evitar así el robo de información confidencial y que el sistema de gestión se infecte de algún virus informático.  

Independientemente de la salud financiera de tu negocio, en el siguiente artículo te contamos qué es un sistema informático y cuáles son las normas de seguridad informática clave para cualquier negocio y que puedes incorporarlas a tu empresa a partir de ahora.   

Ciberseguridad

Seguridad de la información, seguridad informática y ciberseguridad

Antes de desgranar los riesgos y tipos de ataques que existen en Internet, es importante saber a qué nos referimos cuando hablamos de seguridad de la información, seguridad informática y ciberseguridad.  

La seguridad de la información (SI) es aquella relacionada con la información física, como podría ser el papel, y la información digital, lo que se conoce como ciberseguridad.  

En cambio, la seguridad informática está centrada en proteger el hardware, software, información y personas. Es decir, hablamos de seguridad de la información al referirnos a las medidas, tanto preventivas como reactivas, que permiten proteger la información y los datos, es decir, el tratamiento de los mismos. 

Este concepto se basa en cuatro pilares: la disponibilidad, la integridad, la confidencialidad y la autenticación. En España se aplican los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición). 

Definición de ciberseguridad

Con estas palabras, ISACA (Information Systems Audit and Control Association) define el término ciberseguridad

Ciberseguridad

 ¿Qué es un sistema informático?

El sistema informático (SI) es un sistema encargado de almacenar, procesar y transmitir datos o información. Está integrado por tres partes: el hardware, el cual incluye los componentes físicos y materiales, el software, que incluye el sistema operativo, firmware y aplicaciones, y el humanware, el cual hace referencia al personal informático que programa o a los propios usuarios que utilizan el ordenador.  

Además de estas tres partes, los sistemas informáticos soportan elementos que no son propios del ordenador, pero sí forman parte de su sistema como son los conocidos periféricos. Estos elementos externos permiten meter información en el ordenador, como es en el caso del teclado, o sacar la información impresa en papel, como sucede con las impresoras. Existen cuatro tipos de periféricos: 

  • Entrada: teclado, micrófono, escáner… 
  • Salida: monitores, altavoces, impresoras… 
  • Entrada y salida: modem, router, fax… 
  • Almacenamiento: disco duro externo, pen drive… 

El objetivo de los SI es gestionar de manera eficiente la información, permitiendo guardarla, recuperarla, cambiarla y/o compartirla.

Ciberseguridad

Te puede interesar: Estrategia de ciberseguridad: panorama actual e implementación en la empresa  

IMPORTANCIA DE LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA 

La seguridad informática se ha convertido con el paso de los años en una de las principales preocupaciones de las empresas, debido a que es un factor clave para su competitividad. La era digital exige que las organizaciones tengan una gestión ágil y efectiva y un alto nivel de disponibilidad de los recursos y plataformas TIC así como que conozcan cuáles son las normas de seguridad informática. 

Los ciberataques han supuesto grandes pérdidas económicas y una gran exposición de pérdidas de datos sensibles e informaciones. Por ello, apostar por una buena seguridad informática en la compañía empieza por proteger la privacidad, la seguridad e integridad de la información que forman parte de los sistemas informáticos de la empresa.  

Las políticas de seguridad informática ayudan a que todo el personal de la compañía acceda a los recursos tecnológicos y de la información proporcionados por la organización a través de unas pautas de actuación y protocolos con los que velar por la protección de los datos sensibles para la empresa.  

Entrevista: Genís Margarit: «El error más común y grave es no evaluar el impacto que tiene un ciberincidente sobre la empresa» 

Ciberseguridad

¿CUÁL ES LA ESTRUCTURA DE UN SISTEMA INFORMÁTICO SEGURO?

Tal y como hemos comentado anteriormente, un sistema informático se compone por un hardware, un software, el humanware y los periféricos. Estos componentes contienen sistemas de información (SI) que pueden definirse como el conjunto de datos o mecanismos que permiten administrar, recuperar y procesar la información. Se caracterizan por estar interconectados e interactuar entre sí. Entre sus principales actividades se encuentra la de almacenamiento, tratamiento y gestión.  

Es importante ser conscientes de que la información es un bien muy preciado tanto para empresas como para particulares. Es un activo que es a la vez tangible (ordenadores, dispositivos de almacenamiento o teléfonos móviles), e intangible (Know-how, reputación, propiedad intelectual). 

Existen ciertos tipos de características que deben cumplir los sistemas de información: 

1. Integridad

La información no podrá ser modificada o alterada por aquellas personas y/o procesos informáticos que no estén autorizadas para hacerlo. Para asegurarse que esa información no ha sido manipulada sin autorización, es conveniente crear un conjunto de datos (metadatos) de comprobación con los que compararlos.  

2. Confidencialidad 

Solo las personas autorizadas podrán leer la información y estos no deberán divulgarse a personas, entidades o procesos no autorizados.  

3. Disponibilidad

La información debe estar disponible para el momento en que lo requieran las personas, procesos o aplicaciones autorizadas para ello.  

4. Autentificación 

Para preservar la identificación de los accesos se debe generar un sistema que permita conocer qué usuario está accediendo en todo momento. Para ello, es necesario implementar una combinación de cuentas y contraseñas con diferentes tipos de acceso a la información según el rango de privilegios que se defina a cada persona.  

5. Irrefutabilidad (no-rechazo o no-repudio)

Evita que un usuario, programa o proceso informático pueda negar o rechazar la autoría de una acción. 

Ciberseguridad

Tipos de seguridad cibernética e incidentes

Existen tres tipos de incidentes de seguridad relacionados con la información que se posee. Según el Instituto Nacional de Ciberseguridad se clasifican en función de si son: 

  • Accidentales. Realizados por empleados sin ninguna malintencionalidad.  
  • Intencionados por empleados o insiders. En este caso sí que existe una voluntad por quebrantar los mecanismos de seguridad. Puede darse por motivo propio o bajo la influencia o soborno de hackers.  
  • Causados por ciberdelincuentes o hackers. Estos incidentes informáticos son muy comunes y se realizan mediante códigos maliciosos o malware.  

Los tipos de seguridad informática que existen son: 

  • Seguridad de Hardware. Esta seguridad es la encargada de proteger los equipos físicos, es decir, ordenadores o dispositivos, de posibles intromisiones, manipulaciones o amenazas. Uno de los métodos más utilizados son los cortafuegos o firewalls de hardware y los servidores proxy. También se deben mantener la seguridad física de las máquinas y dispositivos resguardándolos en espacios con accesos restringidos, así como incluyendo contraseñas y copias de seguridad con las que evitar perder información o datos. 
  • Seguridad de Software. La seguridad de software vela por proteger la información almacenada en los SI. Bloquea e impide ataques maliciosos de hackers tanto en los programas como en los datos e informaciones de las empresas. Tiene como objetivo hacer que cualquier software continúe funcionando eficientemente. 
  • Seguridad de Red u online. Se incluye dentro de la disciplina de la ciberseguridad y se relaciona con la protección de datos e información en red. Sirve para proteger toda la información y datos accesibles a través de Internet. Este tipo de seguridad es la encargada de luchar contra las amenazas que existen en la Red, como pueden ser ciberataques de virus, troyanos, gusanos, intrusiones de espías, robos de datos e información… Para combatirlos se usan antivirus y antispyware, cortafuegos, sistema de prevención de intrusiones (IPS) y redes privadas con las que poder garantizar el acceso seguro a la Red. 
  • Ciberseguridad en PYMEs

¿Por qué tu empresa debe contar con un sistema informático seguro?  

Apostar por un sistema informático seguro es uno de los compromisos que debe tener cualquier empresa en la actualidad. La transformación digital ha hecho que empresas tradicionales deban adaptarse a nuevos ecosistemas digitales, y no siempre disponen de los conocimientos necesarios para implementarlo sin poner en riesgo sus datos e informaciones sensibles. 

A continuación, te mostramos algunos de los motivos por los que tu empresa debe contar con un SI seguro:  

  1. Proteger los datos privados de los empleados y clientes ayuda a prevenir ataques cibernéticos de hackers.
  2. Es importante contar con planes de contingencia con los que minimizar los posibles errores que puedan darse. Debe contemplar medidas de prevención, detección y corrección.
  3. Implementar programas antivirus en nuestros ordenadores es el recurso perfecto para evitar manipulaciones maliciosas de datos por parte de hackers. Esto contribuirá a una de las características que hace que un sistema informático sea seguro: integridad. 
  4. Utilizar software y hardware seguros ayudará a prolongar el buen funcionamiento de los equipos informáticos. 
  5. Controlar los accesos mediante códigos de verificación facilitados a los usuarios autorizados para ello.
  6. Un SI seguro mejora la productividad, debido a que minimiza los posibles riesgos o desafíos que puedan retrasar el proceso laboral.  

Te puede interesar: Por qué invertir en un servicio de ciberseguridad tras la covid -19: riesgos y consejos para combatir los ciberataques 

Estos son algunos de los beneficios que puede reportar la ciberseguridad o seguridad informática. Es crucial tener en cuenta si se quiere ser una empresa competitiva, debido a que ayudará a proteger la privacidad, seguridad e integridad de la información y de los datos empresariales.   

 
Elementos sensibles del sistema informático de tu empresa a proteger

Para implementar cualquier plan de ciberseguridad en tu negocio debes ser consciente de los factores que debes proteger íntegramente para preservar la seguridad en el sistema de tu organización: 

  • La fuente de almacenamiento. La información es poder y, por ello, es importante que toda empresa proteja todo lo que integra la base de datos y almacenamiento.  
  • Canal de comunicación. Además de proteger los datos, también es importante disponer de sistemas de seguridad que eviten daños como pueden ser los modems, routers, firewalls… 
  • Proceso de información. Hay que establecer un sistema mediante el cual el uso de ordenadores personales, servidores de aplicación u otros elementos sean manipulados correctamente, debido a que si no existe un protocolo ni un buen uso puede suponer una gran pérdida económica. 

Controles de seguridad informática imprescindibles

Existen muchos controles de seguridad informática imprescindibles para toda empresa dependiendo de los objetivos y prioridades fijados. Todos ellos se caracterizan por ser concretos, claros y obligatorios.  

Estos controles de seguridad informática se pueden clasificar en función de si se dirigen al equipo directivo, al personal técnico o a los empleados. A continuación, te mostramos cuáles son los controles o normas de seguridad informática que puedes aplicar en los diferentes recursos digitales con los que tu negocio trabaja.  

CODIFICACIÓN, CIFRADOS Y AUTORIZACIÓN DE ACCESOS

Una de las primeras acciones que toda empresa debe hacer es establecer la configuración de privacidad que incluya un sistema de cifrado de la información crítica y sensible, así como establecer e implementar unas reglas de acceso que permita limitar a los empleados acceder a según qué tipo de informaciones. Esto permitirá a la compañía llevar un control de los distintos niveles de acceso a la información que existen en la empresa.  

Además de estos protocolos, también se deberá fijar un sistema de cifrado para crear contraseñas seguras y robustas que deberán actualizarse cada 3-6 meses. Adicionalmente de incluir mayúsculas, minúsculas y números, se recomienda también combinar guiones superiores e inferiores. 

PROTEGER EL CORREO ELECTRÓNICO 

El correo electrónico, junto con las redes sociales, se ha convertido en una fuente de información sensible que debe ser protegida. Hay que ser consciente de todos los datos que se pueden concentrar en el correo, así como de las múltiples trampas que existen como el phishing o suplantación de identidad, con la que pueden extraer hasta datos sobre nuestra tarjeta de crédito.  

Una de las medidas de seguridad que se recomienda es la de usar filtros antispam, así como sistemas de encriptación de mensajes. Con estas acciones se asegurará la protección y privacidad de la información almacenada en el correo electrónico. El ataque a correos electrónicos es una de las amenazas y fraudes en los sistemas de información más recurrentes.  

ALMACENAMIENTOS VIRTUALES

Uno de los grandes recursos que tiene tanto ventajas como desventajas son los almacenamientos virtuales. La acelerada transformación digital que ha vivido la mayor parte de las empresas en los últimos años ha hecho que se potencie el trabajo colaborativo mediante plataformas y herramientas de almacenamiento virtual.  

La nube es un espacio de almacenamiento virtual que permite almacenar todo tipo de información. Ahora bien, al estar en la red es vital que esté bien protegido ante cualquier ataque dirigido. Otro de los sistemas de almacenamiento de datos a los que se puede recurrir son el almacenamiento local, mediante dispositivos físicos, y el almacenamiento Red, el cual almacena la información en una red interna a la que se puede acceder mediante unos permisos.   

Tanto el almacenamiento en la red corporativa como en los equipos de trabajo y en la nube, todos deben contar con un plan de actuación para evitar la pérdida de información sensible. 

Debe establecerse una estrategia que contemple criterios de almacenamiento y clasificaciones de la información corporativa en los que se delimite qué deben almacenar los trabajadores, quiénes pueden tener acceso a estas informaciones y cuándo y cómo deben borrarse. 

Además, se deberá definir un plan de copias de seguridad en el que se fije cada cuánto tiempo deben realizarse, el lugar de almacenamiento de los datos, así como el tiempo de conservación de la copia. También se deberá cifrar toda aquella información crítica y sensible antes de guardarla localmente. 

CONTRATAR SERVICIOS DE SEGURIDAD INTEGRAL Y ACTUALIZACIONES AL DÍA

Aunque parezca increíble, aún existen usuarios que no tienen un antivirus instalado en sus terminales informáticas. Ya seas una empresa o un particular, debes tener instalados softwares integrales de seguridad como son el antivirus, el anti-espías o un firewall.  Con esta acción lograrás proteger la información ante cualquier posible ataque.  

Además de contar con servicios de seguridad integral, es importante que todos los programas y sistemas operativos instalados en el PC estén actualizados. Siempre hay que intentar tener la última versión. 

ACCEDER A PÁGINAS WEB Y COMPRAS SEGURAS 

Otro de los errores más comunes de los usuarios es acceder a páginas web que no cuentan con el protocolo https en su URL. Si dispone de la ese final, eso significa que la página web o site cumple con los estándares de seguridad

Además de vigilar la URL, también es importante ver los métodos de pago electrónico que ofrece la página web. Cada vez son más los e-commerce que dentro de su pasarela de pago incluyen varios procesos de verificación para que la transacción sea lo más segura posible. 

CUMPLIMIENTO LEGAL 

Una organización colabora con muchos stakeholders, y entre ellos encontramos a los proveedores. Es importante que todos los datos e informaciones almacenadas tengan su seguridad garantizada. Para ello, los empresarios deben comprobar, revisar y cumplir los derechos de propiedad intelectual propios y de terceros, así como adecuarse al Reglamento General de Protección de Datos (RGPD) y establecer un procedimiento para notificar a las autoridades casos de brechas en la seguridad informática. 

PROMOVER ENTRE LOS EMPLEADOS LA CULTURA DE LA SEGURIDAD INFORMÁTICA

Uno de los principales problemas cibernéticos a los que se enfrenta cualquier empresa es la conocida ingeniería social, el uso que hacen los hackers de técnicas de manipulación psicológica a empleados con las que obtienen información confidencial. 

Para prevenirlo es necesario que la empresa apueste por un programa de concienciación y formación sobre seguridad informática dirigido a todos sus empleados, además de promover la difusión de la política de seguridad de la propia empresa. 

Ataques informáticos más comunes 

A medida que ha ido evolucionando el ecosistema digital, también lo ha hecho la inseguridad cibernética. Es importante contar con una educación en Seguridad Informática para asegurar la protección de datos de proveedores y clientes, así como para disponer de un plan de actuación contra los ciberataques que se van perfeccionando con la ayuda de la inteligencia artificial y el machine learning.  

Estos son algunos de los ataques informáticos más utilizados para atacar a las pymes y a los autónomos: 

Ciberseguridad en las PYMEs

Phishing: qué es y cómo evitarlo 

El phishing es una de las técnicas más utilizadas por los hackers y consiste en robar los datos personales y bancarios de las víctimas a través de páginas web falsas que simulan ser instituciones oficiales, bancos o empresas que cuentan con la confianza de los consumidores. Este es uno de los ataques más comunes y que todo plan de ciberseguridad de pymes y autónomos debe contemplar.  

MECANISMO DEL PHISHING 

Su mecanismo es muy sencillo, se basa en: 

  1. Enviar un mail, SMS o whatsapp acompañado de una oferta atractiva. 
  1. Incluye una url que redirige a una página web falsa en la que se solicitan datos personales a la víctima. Esta página web simula ser la oficial y en ella se pide a la víctima sus datos de acceso. 
  1. Obtienen el usuario y contraseña de la víctima, por lo que ya han conseguido la información necesaria para poder robarle.  

¿CÓMO EVITARLO? 

Para evitar ser víctima de phishing debes: 

  • Usar un buen navegador que permita bloquear las posibles amenazas. Los navegadores más seguros son Mozilla Firefox, tanto en Windows como en Mac, y Microsoft Edge en Windows. 
  • Utilizar un antivirus que complemente a la protección que ofrece el navegador. Hay que vigilar a la hora de elegir el antivirus, puesto que no todos protegen por igual contra el phishing.  

Ciberseguridad en las PYMEs

Denegación de servicio: ¿qué son los DDoS? 

La denegación de servicio o DDoS (Distributed Denial Of Service) es un ataque a la red en el que se colapsan los límites de capacidad del servidor de una página web. Suelen ser generados a través de una red zombie, es decir, con la ayuda de bots que generan un gran flujo de información desde varios puntos de conexión hacia una misma página. 

Esto hace que el servidor se sobrecargue y, por ende, que deje de prestar su servicio. Puede pasar que o bien la respuesta a las solicitudes sea mucho más lenta de lo habitual, o que se ignoren algunas o todas ellas.  

Esta técnica suele ser utilizada para desacreditar o dañar una compañía. En ocasiones, también es usado como método para comprobar la capacidad de tráfico que puede soportar un ordenador sin dejar de funcionar correctamente.  

Spyware: ¿qué es y cómo eliminarlo? 

El spyware es un término genérico que hace referencia a los softwares maliciosos que infectan los ordenadores y dispositivos móviles con el fin de robar información personal, navegación y otros datos que son enviados a un ordenador externo. Puede darse por espionaje industrial o bien por un ataque masivo de algún hacker.  

Se caracteriza por su ejecución silenciosa y en segundo plano, así como por su difícil detección si no se disponen de conocimientos sobre seguridad informática.  

¿CÓMO ELIMINAR EL SPYWARE? 

Si nuestro ordenador está infectado por un spyware lo podremos eliminar con una herramienta anti-spyware o de forma manual detectando algún software que no recordemos haber instalado o que no deseemos. Otra de las acciones que deberemos llevar a cabo es la reinstalación de nuestro sistema operativo. 

Mejores herramientas en seguridad informática 

Para que puedas implementar las normas de seguridad informática claves para cualquier empresa, te mostramos algunas de las mejores herramientas en SI. 

CIFRADO DE PUNTO FINAL O END POINT DISK ENCRYPTION  

Este proceso de codificación de datos permite que nadie que no guarde la clave de descifrado pueda acceder a la información. Con esta herramienta podrás proteger tu sistema operativo en diferentes puntos finales de la red de la instalación de archivos corruptos, cumpliendo con los estándares de regulaciones GDPR y SOX. 

ESCÁNER DE VULNERABILIDADES 

Con este software podrás realizar análisis automáticos para buscar posibles vulnerabilidades que existan en cualquier aplicación, sistema o red de la compañía. Existen dos tipos de escáneres de vulnerabilidades: autenticados, se realizan pruebas y ataques potenciales desde la propia red; y no autenticados, un investigador o hacker ético simula ataques informáticos para poner a prueba la infraestructura de la compañía y detectar así posibles vulnerabilidades. 

FIREWALLS O CORTAFUEGOS 

Es un sistema de seguridad con el que puedes bloquear accesos no autorizados a ordenadores, pero sin interrumpir la comunicación entre el ordenador y otros servicios autorizados. Este sistema solo protege de manera individual a aquellos ordenadores que lo tengan instalado.  

INFRAESTRUCTURA DE CLAVE PÚBLICA O PKI 

La Public Key Infrastructure (PKI) es el conjunto de componentes y servicios informáticos (conjunto de roles, políticas, hardware, software) con los que puedes crear, gestionar, distribuir, controlar, administrar, revocar y validar certificados digitales

Esta combinación de software y hardware permite que las empresas protejan su información a través de cifrados robustos.  

PENTESTER O TEST DE PENETRACIÓN 

Esta práctica es relativamente nueva dentro del campo de la seguridad informática y consiste en entornos y sistemas informáticos con el fin de identificar fallos, errores o vulnerabilidades. Con esta identificación se consigue prevenir posibles ataques externos.  

Existen diferentes tipos de Pentesting según el tipo de información que se tenga a la hora de realizar los test: 

  • White Box – Pentesting de caja blanca. Forma parte de un análisis integral. En este caso, el auditor conoce las estructuras, contraseñas, IPs, firewalls… 
  • Black Box – Pentesting de caja negra. No tiene casi datos, por lo que es el test que mejor emula el comportamiento que tendría un ciberdelincuente. 
  • Grey Box – Pentesting de caja gris. Podría definirse como un híbrido de los dos tests anteriores.  

SERVICIOS MDR (MANAGED DETECTION AND RESPONSE) 

El servicio MDR utiliza inteligencia artificial y machine learning y es un servicio de seguridad administrativa avanzado que permite la búsqueda de amenazas, supervisión de la seguridad, un análisis de incidentes y respuesta a incidentes. Es decir, ayuda a que las organizaciones con pocos recursos tomen conciencia de los riesgos para mejorar así su capacidad de detección y respuesta a posibles ataques y amenazas.  

SERVIDOR PROXY 

Los servidores proxy son servicios con los que mejorar nuestra privacidad cuando navegamos por la Red. Son equipos informáticos que hacen de intermediario entre las conexiones de un cliente y un servidor de destino. No hay que confundirlos con las redes VPN.  

SOFTWARE ANTIVIRUS 

Los software antivirus son aplicaciones o programas diseñados para encontrar y eliminar los tipos de malware o virus que se encuentren en los sistemas informáticos y redes. También son empleados como una acción preventiva, debido a que protegen a los ordenadores de posibles ciberataques. Existen 3 tipos de antivirus: software antivirus autónomo, paquetes de software de seguridad, software antivirus en la nube. 

Ahora que ya conoces la importancia de contar con un plan de seguridad informática en tu empresa, es el momento de que crees o revises tus políticas y protocolos de ciberseguridad y ¡protege a tu empresa de las amenazas virtuales!

Artículos relacionados