Consejos de seguridad para PYMES: Protege tu negocio en el mundo digital

En la era digital, la ciberseguridad se ha convertido en una prioridad esencial para las pequeñas y medianas empresas (PYMES). Con el aumento de las amenazas cibernéticas, es crucial que las PYMES tomen medidas proactivas para proteger su información y asegurar la continuidad de su negocio. De acuerdo a un informe de SSH Consulting, el 71% de las pymes nacionales ha sufrido algún ataque desde el inicio de la pandemia. En 2020, el Instituto Nacional de Ciberseguridad (INCIBE) registró más de 130 mil incidentes graves, muchos de ellos dirigidos a este colectivo. Lo que contrasta con el hecho de que el 90% de las pymes nacionales aún no contemple el desarrollo de estrategias avanzadas de protección. Estos datos dejan claro que la ciberseguridad es una asignatura pendiente en gran parte de las pymes españolas. Es de capital importancia que se sensibilicen cuanto antes en esta materia, especialmente ante un entorno empresarial cada vez más conectado. Invertir en ciberseguridad es invertir en futuro.

Cada vez pasamos más tiempo en la Red que fuera de ella. Según un estudio, ya en 2020 usuarios de todo el mundo usaron Internet una media de 6 horas y 54 minutos al día, y dedicaron 2 horas y 25 minutos a las redes sociales.

La importancia de un plan seguro de ciberseguridad en PYMES

Con motivo del Día de la Pyme celebrado por el Instituto Nacional de Ciberseguridad (INCIBE) se divulgaron 12 medidas para mejorar la seguridad informática de las pymes. Teniendo en cuenta que de los 3 millones de empresas que hay en España 1,5 millones son autónomos y otros 1,2 millones son «microempresas» (de entre 1 y 9 empleados) es fácil ver que resulta difícil que todas cuenten con expertos o especialistas en ciberseguridad. A pesar de que los equipos y los datos que manejamos a diario pueden ser complejos, estas medidas de seguridad han de ser sencillas de entender e implementar y principalmente de carácter organizativo y sentido común. Un primer acercamiento al tema es concienciarnos de que la seguridad no es una broma. Puede causar problemas enormes o suponer multas millonarias.

Entre las consecuencias de un ciberataque podemos destacar la pérdida de información, paralización de actividad y una menor confianza del cliente en tus servicios. Invierte en ciberseguridad para proteger el activo más valioso de cualquier organización: su información.

A continuación, se presentan una serie de medidas básicas para proteger la información de tu empresa:

1. Concienciación y Formación

La primera medida pasa por la propia concienciación de los empleados: el 80% de las brechas de seguridad comienza en un error humano. Existen un montón de recursos en materia de ciberseguridad para pymes y autónomos, que te ayudarán a ti y a tus trabajadores a conocer las "malas prácticas" que llevan a las pequeñas y medianas empresas a sufrir un ciberataque. Informar sobre los tipos de ataques más frecuentes y sus pautas de actuación, facilita su pronta detección y reduce el riesgo de que otros compañeros muerdan el anzuelo. Es importante capacitar a sus empleados sobre cómo identificar enlaces maliciosos y correos electrónicos sospechosos.

2. Sitios Web Seguros

Es necesario insistir en la importancia de verificar la seguridad de los sitios web que los empleados visiten en su día a día, comprobando que implementan certificados de seguridad. Es algo muy sencillo: basta con buscar en la barra de direcciones del navegador el símbolo del candado o los protocolos ‘HTTPS’ o ‘SHTTP’. Este aspecto es especialmente relevante cuando tenemos que realizar algún pago, remitir datos o ejecutar cualquier otra operación que implique información sensible. Con el objetivo de asegurar esta práctica, una medida puede ser comprobar la información legal del comercio. En el apartado de información de la tienda online, a causa de diferentes normas legales, deben figurar: «Aviso legal», «Términos de uso» y/o «Política de privacidad». Otra medida para garantizar la seguridad es comprobar que se están realizando comunicaciones seguras, denominadas HTTPS. Hay que comprobar que la página web envía información en modo seguro HTTPS. La función de este protocolo es proteger la información intercambiada durante la compraventa, garantizando que viaja de forma segura, libre de intercepciones por parte de terceros.

3. Uso de Equipos y Dispositivos

En la medida de lo posible, hay que evitar el uso de ordenadores y dispositivos personales vinculados a las redes corporativas, ya que son mucho más vulnerables. De ahí que sea más que conveniente hacer un esfuerzo económico adicional para dotar a todos los empleados de equipos específicos de trabajo, insistiendo en que su uso debe ser exclusivamente profesional. Otros detalles cotidianos incluyen el uso de portátiles y dispositivos de traer y llevar, el conocido BYOD (bring your own device o «tráete tus propios dispositivos») y los potenciales problemas que pueden suponer mezclar información personal y de trabajo en la misma máquina, incluso en un ordenador portátil, un smartphone o un pendrive. Si se pueden separar ambos mundos, mejor que mejor.

4. Actualización del Software

Es importante mantener las herramientas de trabajo de tu empresa constantemente actualizadas. Los proveedores de software publican actualizaciones por un sinfín de motivos, como mejora de la funcionalidad, corrección de defectos y parches de seguridad. Asegúrese de que el software esté continuamente actualizado a la versión más reciente, y en cuanto esté disponible. Aunque es buena idea comprobar de forma proactiva la existencia de nuevas versiones, si tu actividad diaria no te permite estar muy pendiente puedes habilitar las actualizaciones automáticas. Un error muy común es instalar aplicaciones web y no realizar un seguimiento de las actualizaciones de seguridad.

5. Antivirus Profesionales

Los mecanismos empleados por los hackers están en constante evolución. Es crucial contar con un software integral de seguridad, como un antivirus, antiespía o firewall, para evitar cualquier ataque. Apostar por un software profesional para empresas es ciertamente recomendable. Añaden capas de protección adicionales y trabajan con bases de datos constantemente actualizadas, para detectar y neutralizar inmediatamente cualquier amenaza. Es importante que tanto el software integral de seguridad como los programas y sistemas operativos instalados dentro del ordenador estén actualizados.

6. Gestión de Contraseñas

Un pilar básico en toda estrategia de ciberseguridad. Emplear contraseñas complejas dificultará el acceso a información sensible, usurpaciones de identidades o robo de datos. Las contraseñas son la primera línea de defensa para proteger la información de tu empresa, por lo que las claves de acceso de tu empresa deberán ser totalmente seguras. Por eso utilizar contraseñas robustas es primordial. El primer factor pasa por su longitud: es recomendable que contengan un mínimo de 12 caracteres. Y, por supuesto, hay que tener en cuenta su complejidad: combina letras, signos de puntuación, mayúsculas y minúsculas, números y caracteres especiales. Huye también de passwords que aludan a información personal y cámbialas cada cierto tiempo.

Mira este vídeo para saber cómo crear una contraseña segura, además de un método sencillo para recordarla.

7. Definir Permisos y Control de Acceso

Toda empresa, independientemente de su tamaño, maneja una gran cantidad de información. Limitar el acceso a la información es una de las prácticas más relevantes. Se debe a que cuantas menos personas tengan acceso a una información, menor es el riesgo de que esta se comprometa. Cataloga tus datos corporativos en función de su criticidad, estableciendo permisos específicos para cada usuario en función de los requisitos y necesidades de su puesto de trabajo. Toda empresa debe seguir el principio del mínimo privilegio, es decir, un usuario debe tener acceso a la información estrictamente necesaria para realizar sus funciones. Para ello, se deben seguir los siguientes pasos:

• Definir los tipos de información existentes en nuestra empresa, como pueden ser: datos, contabilidad, clientes, marketing, producción, etc.
• Designar quién puede acceder a las diferentes informaciones.
• Asignar quién y cómo puede autorizar el acceso a determinada información.

8. Protección de las Redes Inalámbricas

En ciertos sectores, la movilidad de los trabajadores es indispensable. Lo que hace que el uso de redes inalámbricas sea una práctica muy habitual. Por eso es importante activar las características de seguridad de las redes WiFi, y evitar las conexiones a redes públicas no cifradas. En los casos en los que la seguridad sea algo especialmente relevante por alguna razón no está de más considerar la contratación de una red privada virtual (VPN) que garantice la confidencialidad de las comunicaciones. La utilización de una VPN para acceder a Internet protege su información privada, incluso de su ISP. Hoy en día, las VPN de software son muy utilizadas en todo el mundo, y existen buenos motivos para ello.

9. Copias de Seguridad

Sentimos decírtelo, pero es una realidad: por muchas medidas de seguridad que establezcas, nunca estarás completamente a salvo. La mayor catástrofe para una empresa tras un ciberataque es la pérdida de la información necesaria para trabajar. Ya sea una copia cifrada en la nube o un disco duro externo guardado en tu desván, la buena ciberseguridad en las pymes pasa siempre por contar con más de una copia de seguridad que ponga todos los datos a salvo de los ciberdelincuentes. Conviene realizarlas de manera frecuente, para lo que puedes valerte de herramientas de automatización evitando perder tiempo en esta tarea. La mejor opción es tener al menos una réplica en la nube. El soporte elegido para almacenar la copia de seguridad debe ser fiable. Hay tres variables a tener en cuenta a la hora de crear la copia de seguridad:

• Analizar con un software integral de seguridad la información de la que se va a realizar la copia, de los sistemas y de los repositorios donde se encuentra.
• Deben hacerse pruebas de restauración periódicas con el fin de garantizar que no haya problemas en caso de tener que recuperar la información.
• Debe llevarse un control de los soportes de copia mediante un etiquetado y registro de la ubicación de los soportes.

10. Auditoría de Ciberseguridad y Análisis de vulnerabilidades

Finalmente, y si tu capacidad de inversión te lo permite, puedes contemplar el desarrollo de una auditoría de ciberseguridad. Confiar en el asesoramiento de profesionales externos especializados te permitirá detectar qué áreas de tu organización resultan críticas, cuáles presentan debilidades y dónde debes concentrar más esfuerzos. Entre las medidas de protección que puede tomar una pyme, desde acens remarcan, además, la conveniencia de realizar análisis de vulnerabilidades del sistema de seguridad o pentesting. “Los datos alojados o los recursos asociados a un servicio habrán de estar protegidos por diferentes capas de seguridad lógica, y en todas ellas hay que realizar los ajustes oportunos para evitar accesos no autorizados y, para ello, es conveniente tener un análisis de vulnerabilidades del sistema de seguridad.

Medidas Adicionales para la Ciberseguridad en PYMES

• Protección del correo electrónico: El correo electrónico es la puerta de entrada más habitual de las ciberamenazas. Comprueba siempre que la dirección del remitente sea la correcta y desconfía de cualquier mensaje que contenga caracteres extraños o errores ortográficos. Se debe añadir filtros antispam y sistemas de encriptado de mensajes más confidenciales, con el fin de asegurar la protección y privacidad de la información de la compañía.
• Almacenamiento seguro: Será tarea de la empresa decidir qué información guardar en qué tipo de soporte, en función de las políticas de seguridad a las que estén adscritos.
• Protección del puesto de trabajo: La seguridad es una de las principales preocupaciones para cualquier usuario de un producto o servicio tecnológico y, en especial, para las empresas que están presentes en Internet.
• Actualizaciones de seguridad: Para minimizar los riesgos, desde acens aconsejan, en primer lugar, la formación y explicaciones al personal “sobre todo en lo relativo al correo electrónico y medidas de precaución en su uso.