Cada día existen más amenazas a la ciberseguridad, y no pasa un día sin una noticia nueva sobre algún tipo de brecha o robo de datos. Aquellos de nosotros que tenemos o gestionamos pequeñas y medianas empresas sabemos que la ciberseguridad es crucial y que debemos prestar atención a estos temas. El problema es saber por dónde empezar.
La ciberseguridad puede resultar abrumadora y tremendamente complicada. No todos los encargados o dueños de pequeñas empresas tienen formación técnica, por lo que navegar por toda la jerga técnica e información contradictoria puede desconcertar hasta a los más decididos a tratar el problema.
Hemos creado esta guía precisamente para estas personas. Si eres un encargado muy ocupado o tienes la agenda hasta arriba de las tareas diarias que implica la gestión de tu empresa, no tienes tiempo de convertirte en un experto avanzado en todos los aspectos de la ciberseguridad. Sin embargo, si prestas atención a esta guía y trabajas con tu equipo (tus empleados y aquellos a quienes contratas para gestionar tu hardware, software y redes) para implementar las medidas de seguridad que describimos aquí, podrás dormir mejor por las noches. Proteger tu negocio no es tan difícil como muchos expertos afirman que es; con un poco de paciencia y orientación podrás implementar en tu pequeña empresa las medidas de seguridad más efectivas.
El primer paso para protegerte frente a amenazas en Internet consiste en determinar cuáles son tus vulnerabilidades (si no sabes cuáles son tus puntos débiles, ¿cómo vas a ser capaz de solucionarlos?; si no sabes qué datos almacena tu empresa, ¿cómo vas a protegerlos?).
Empieza por identificar las «joyas de la corona» de los datos de tu empresa. ¿Cuáles son los datos más importantes que almacena tu empresa?
Puede ser cualquier cosa, desde tu propiedad intelectual hasta información sobre los clientes, inventario, información financiera, etc. ¿Dónde guardas todos estos datos? Una vez tengas las respuestas a estas preguntas, podrás empezar a pensar en los riesgos a los que tus datos están expuestos.
Analiza cuidadosamente todos los procesos, tanto tuyos como de los miembros del personal, mediante los que recopilas, almacenas y eliminas estos datos. Piensa en todos los puntos a través de los cuales circulan estos datos, cada punto donde podrían filtrarse o ser robados. Analiza las consecuencias que tendría una brecha en la ciberseguridad para ti, tus empleados, tus clientes y tus socios; una vez hecho podrás empezar a tomar precauciones.
Tus ordenadores y otros dispositivos son los portales a través de los cuales se realiza prácticamente la totalidad de lo que hace que tu negocio funcione. Sin embargo, ya que estos dispositivos están conectados a Internet y a una red local, son vulnerables a ataques. A continuación te mostramos nuestras directrices para mejorar tu seguridad en todo el espectro de los sistemas informáticos de tu empresa.
El primer paso (y probablemente el más sencillo) para asegurar que tus sistemas no sean vulnerables a un ataque consiste en mantener el software actualizado. Siempre debes tener la última versión del software del cual tu empresa depende. Los hackers pasan su tiempo buscando bugs en software popular, aprovechando lagunas de seguridad y fallos para entrar en el sistema. Lo hacen por todo tipo de motivos: para ganar dinero, por motivos políticos o simplemente porque pueden. Este tipo de intrusión puede causar un daño incalculable a tu negocio: los hackers podrían robar los datos de las tarjetas de crédito de tus clientes de tu web o robar contraseñas de tu ordenador. Esto podría causar problemas serios a tu empresa.
Microsoft y otras compañías de software siempre están buscando vulnerabilidades en su software. Cuando encuentran una, lanzan una actualización que la arregla para sus usuarios. Asegurarte de descargar estas actualizacionessiempre que se lanzan es tan sencillo que uno se pregunta por qué tantas empresas no son cuidadosas al respecto.
En 2017, un ataque global de un ransomware llamado «WannaCry» afectó a miles de víctimas, incluyendo a organizaciones enormes como FedEx y el Sistema Sanotario Nacional del Reino Unido (más sobre el ransomware más abajo). Antes del ataque Microsoft lanzó un parche, una actualización que arreglaba el problema, pero muchos administradores de sistemas no la instalaron y sufrieron este ataque masivo. Afortunadamente el ataque se consiguió detener, pero no siempre ocurre así. La manera más sencilla de evitar convertirse en la próxima víctima de los hackers consiste en mantener tu software actualizado.
¿Por dónde empiezo?
Los virus son programas maliciosos que infectan tu ordenador sin previo aviso. Pueden hacer muchas cosas, pero, por lo general, consiguen acceso a tus archivos y los borran o modifican. Los virus se propagan rápidamente al replicarse y enviarse a sí mismos a otras personas de tu lista de contactos. Si un ordenador de la red se infecta, el virus se puede propagar rápidamente por todos los equipos de tu compañía, causando una importante pérdida de datos. Si te comunicas con tus clientes por email (cosa que hacemos prácticamente todos), corres el riesgo de infectarlos también a ellos.
El malware y el ransomware son los dos tipos de virus más peligrosos en circulación hoy en día. Existen algunas diferencias entre malware y ransomware. La palabra malware viene de malicious software (software malicioso), y lo que hace éste es engañar a la víctima para que descargue determinado software, el cual permite el acceso al ordenador de la víctima. Puede rastrear lo que haces en tu ordenador, robar información confidencial o propagar spam a través del correo electrónico.
El ransomware es un tipo de malware específico que bloquea tu equipo e impide el acceso a archivos importantes hasta que pagues el ransom o rescate. El ransomware cifra tus archivos utilizando una clave privada que sólo conocen sus creadores, y el WannaCry mencionado arriba es un tipo de ransomware. Pagar el rescate no garantiza que se va a solucionar el problema: no existe garantía de que los hackers realmente van a desbloquear tus archivos tras recibir el pago.
Existe una serie de pasos que puedes llevar a cabo para evitar infectar tu ordenador con virus. En primer lugar, instala un software antivirus en todos los equipos de la oficina. Los programas antivirus analizan los mensajes de email entrantes, así como todos los archivos de tu ordenador, y borran o ponen en cuarentena los virus que encuentran. Los hackers siempre están creando nuevos virus, por lo que debes actualizar tu antivirus con frecuencia. Los mejores antivirus incluyen una característica que ordena a tu ordenador que descargue las actualizaciones automáticamente. Debes asegurarte de que tu personal sea consciente de que no debe abrir archivos sospechosos y de que deberá eliminar todo archivo adjunto en los emails de fuentes que no reconozcan como de confianza.
Acceder a Internet utilizando una VPN también constituye una mejora en la seguridad. Las VPN hacen que rastrear tu ordenador o cifrar tus datos sea extremadamente difícil para los hackers, ya que te permiten acceder a internet de forma anónima y cifran todos los datos de tu tráfico. Un buen proveedor de VPN te enviará una advertencia de seguridad cuando intentes acceder a URLs sospechosas.
Si en este momento eres víctima de un ataque de ransomware, no es demasiado tarde.
Esta guía paso a paso te ayudará a vencer a un ataque de este tipo.
¿Por dónde empiezo?
Al igual que en la mayoría de empresas hoy en día, seguramente todos los dispositivos de tu oficina estén conectados a una conexión a Internet de banda ancha que está siempre activa. Si es el caso, existe una probabilidad importante de que hackers criminales hayan sondeado tu red al menos una vez. Los hackers hacen esto aleatoriamente, pero cuando encuentran una dirección de ordenador válida se aprovechan de todas y cada una de las vulnerabilidades para conseguir acceso a la red y a los equipos de ésta.
Instalar un firewall o cortafuegos es la mejor manera de evitar que ocurra un ataque de este tipo. Los cortafuegos separan las diferentes partes de la red, permitiendo que circule únicamente el tráfico autorizado por la parte protegida de ésta. Si llevas una pequeña empresa, tu cortafuegos es la barrera que protege a tu red privada local del resto de Internet. Un buen cortafuegos examina cada paquete de datos que entra en tu red, se asegura de que es legítimo y filtra los paquetes que considera sospechosos; con el fin de evitar que los hackers se centren en equipos individuales de tu red, éste también oculta la identidad individual de cada ordenador.
Instalar un cortafuegos es un proceso complicado que sólo debe hacer un profesional cualificado. Esto hace tu trabajo más fácil; todo lo que tienes que hacer es hablar con tu administrador del sistema y asegurarte de que tu red está protegida.
¿Por dónde empiezo?
Dado que estos dispositivos son portátiles y pueden sacarse de la oficina, los laptops u ordenadores portátiles son un riesgo particular de brechas de seguridad. Son objetivo de ladrones dada su facilidad de robo y reventa, y también ocurre que los empleados no suelen ser particularmente cuidadosos con éstos ya que la mayoría de empresas simplemente proporcionan uno nuevo si pierden uno o se los roban. Aún así, reemplazar un portátil constituye un desembolso significativo para las pequeñas empresas; sin embargo, esto no es el problema principal, ya que los portátiles del personal, especialmente los de los cargos más altos, probablemente contengan información confidencial que podría causar daños a tu empresa si cayera en las manos equivocadas.
Hay algunas precauciones que tú y tu personal deben tomar tanto para evitar el robo de portátiles como para mitigar las consecuencias en caso de que ocurra uno. En primer lugar, cuando un empleado utilice un portátil en un espacio público o incluso en una reunión o conferencia, esa persona nunca deberá perderlo de vista. Los portátiles deben mantenerse siempre en equipaje de mano y nunca dejarse en zonas de almacenamiento de hoteles o aeropuertos.
Los hackers pueden también acceder fácilmente a los datos de un portátil o dispositivo móvil si la conexión no es una red segura. Recomendamos una serie de medidas para proteger tus datos; algunas de ellas son utilizar una contraseña segura, realizar copias de seguridad de todo el trabajo que has hecho en tu portátil antes de irte de viaje y cifrar tus datos. Estas directrices son especialmente relevantes en cuanto a portátiles, y las exploraremos en más detalle en la sección 3, «Protege tus datos».
Vale la pena estar preparado por si se da el caso de que se roba uno de los dispositivos de tu empresa. Si utilizas una solución en la nube de algún software, echa un vistazo a las características de gestión de dispositivos móviles de tu proveedor. Los principales proveedores de cloud computing permiten borrar la cuenta de un dispositivo que se pierde.
Todos estos consejos son igual de importantes para los teléfonos móviles de empresa. Existe una serie de pasos para asegurar los teléfonos móviles de empresa, y esta guía específica para iPhones te guiará a través del proceso. Recomendamos utilizar una serie de aplicaciones de seguridad, así como algunas formas de cambiar los ajustes del teléfono para hacerlo más seguro.
Una de las mejores formas de proteger los dispositivos, ya sean portátiles, smartphones, el dispositivo Alexa de Amazon o incluso tu PS4 (¡si tu oficina es de esas amenas que tiene una!) consiste en instalar una VPN que cifre todos los datos que circulan a través de estos dispositivos. No necesitas instalar una VPN en cada dispositivo, basta con instalarlo directamente en el rúter de tu oficina. De esta forma, todos los dispositivos que utilizan la conexión a internet de la oficina estarán protegidos.
También es importante formular una política sobre qué dispositivos se permite a los empleados traer al trabajo. Muchas empresas alientan a sus trabajadores a traer sus propios portátiles y otros dispositivos al trabajo porque es mucho más barato que comprar equipo informático para cada empleado. Nosotros recomendamos que establezcas la obligación de que todos los dispositivos que tus empleados introduzcan en la oficina lleven software antivirus instalado y se actualicen con regularidad.
¿Por dónde empiezo?
No importa qué tipo de negocio lleves, tus datos son el núcleo de la empresa. Sin la información de contacto de tus clientes, tu inventario, la información confidencial y todo lo demás, tu empresa sencillamente no podrá operar. Tus datos pueden perderse de mil maneras: el hardware puede resultar dañado o romperse, los hackers pueden abrirse paso en tu sistema y tomar el control, o puedes sufrir un desastre natural. Tu objetivo, por tanto, debería ser asegurarte frente a una posible pérdida de datos tomando precauciones ante las peores consecuencias que tendría.
Existen dos tipos de backups o copias de seguridad. Una de ellas consiste en realizar un backup total, una copia de la totalidad de los datos seleccionados y guardarla en otro dispositivo o transferirla a un medio diferente. La otra, un backup gradual, consiste simplemente en añadir a la copia de seguridad externa los datos creados desde que se realizó el último backup de tu sistema.
El método más sencillo y eficiente consiste en combinar los dos. Realiza una copia de seguridad total periódicamente y un backup gradual cada día entre ellas. Otra opción consiste en realizar un backup total cada noche después del horario de trabajo. Es crucial comprobar que tus backups funcionan; sería una tragedia perder todos tus datos y ver que tus sistemas de copias de seguridad no funcionan. Puedes hacer esto restableciendo una parte de tus datos en una nueva ubicación, lo que te asegurará que tus sistemas de copias de seguridad funcionan y te ayudará a identificar posibles problemas en el proceso.
Existen muchas maneras de realizar backups de tus datos. Puedes almacenarlos en un dispositivo físico como una unidad USB o disco duro secundario, o almacenarlos en una carpeta compartida de tu red; también deberías guardar copias de seguridad en una ubicación externa segura. Desafortunadamente, almacenar tus datos en una ubicación física en concreto no te será de ayuda si ocurre un desastre natural o un robo en ese lugar, por lo que recomendamos encarecidamente a todas las empresas invertir en un sistema de backup en la nube – más información en la siguiente sección.
¿Por dónde empiezo?
Hoy en día, la mayoría de las empresas guardan sus datos en una plataforma en la nube; puede que en un sistema de almacenamiento en la nube como Dropbox o en una plataforma SaaS (Software as a Service, «software como servicio») como Salesforce. Ya que nos referimos a estos sistemas como «la nube», solemos imaginar que nuestros datos están a salvo en algún lugar abstracto y virtual; en realidad, lo que significa es que tus datos no están almacenados en tu disco duro o red local sino en centros de datos remotos de tu servicio de la nube. Por este motivo es esencial examinar cuidadosamente qué tipo de medidas de seguridad ha implementado tu proveedor y analizar si tus datos están protegidos del modo adecuado.
Existe una serie de medidas que puedes llevar a cabo para asegurarte de que los datos que guardas en la nube están a salvo. La manera más sencilla y segura consiste en cifrar tus archivos manualmente, y existen varios programas que te pueden ayudar a hacerlo. Al cifrar tus datos no tendrás que depender de la seguridad de tu proveedor de servicios en la nube y podrás usarlo sin preocuparte, simplemente asegúrate de no subir tus claves de cifrado.
Dicho esto, deberías investigar tus opciones de almacenamiento en la nube cuidadosamente. Cada vez hay más proveedores en el mercado, y algunos de los más pequeños y menos conocidos tienen medidas de seguridad más robustas que los más conocidos. Algunos de estos servicios cifran tus datos automáticamente antes de subirlos a la nube.
Otra opción consiste en utilizar BitTorrent Sync, un servicio totalmente gratuito. BitTorrent Sync fue diseñado como reemplazo de sistemas basados en la nube, pero en realidad no almacena los archivos en la nube sino que te permite colaborar en documentos mediante una plataforma de intercambio de archivos P2P. Estos servicios suelen utilizar el cifrado de mayor grado AES-256 y disponen de autenticación de dos factores, lo cual añade una capa de seguridad adicional.
Esta guía completa sobre privacidad en Internet lo explica en mayor profundidad.
¿Por dónde empiezo?
El modo más común de autentificar la identidad de quien accede a tu red o a tus datos importantes es a través de una contraseña. A diferencia de otros sistemas de autenticación de alta tecnología como tarjetas inteligentes, escáneres de huellas dactilares o reconocimiento de iris, las contraseñas son útiles porque no cuestan nada y son fáciles de usar; no obstante, también son susceptibles a un ataque. Los hackers han desarrollado sofisticadas herramientas automáticas que les permiten descifrar contraseñas simples en cuestión de minutos. También pueden utilizar varios métodos fraudulentos para acceder a las contraseñas de tu empresa, como un ataque de phishing, en el que los hackers se hacen pasar por una entidad oficial (como Google) y engañan a la gente para que les faciliten sus contraseñas.
Las contraseñas pueden volverse ineficaces por varios motivos. A menudo somos descuidados y no protegemos nuestros documentos confidenciales con contraseña, lo que implica que cualquier persona que utilice uno de los ordenadores de tu oficina puede acceder a dichos documentos. Muchos empleados escriben sus contraseñas a plena vista con el fin de evitar olvidarlas y, lo que es más importante, la gente suele usar contraseñas débiles que son fáciles de recordar, utilizando la misma contraseña una y otra vez y no suelen cambiarla nunca. Todos estos errores dejan la puerta abierta a los hackers.
Estos siete pasos para crear una contraseña robusta te ayudarán a prevenir ataques de hackers:
Crear una contraseña más robusta no es tan difícil. Utiliza una herramienta de contraseñas como esta, la cual te dice cómo de segura es tu contraseña y cuánto tiempo le llevaría a un hacker descifrarla. También puedes usar un generador de contraseñas seguras al azar que creará una contraseña totalmente aleatoria y segura.
Formar a tu personal sobre la importancia de que las contraseñas sean robustas es crucial si quieres que tus contraseñas sean una herramienta clave en tu arsenal de ciberseguridad y no una puerta trasera por la que los hackers puedan conseguir acceder.
¿Por dónde empiezo?
Si te paras a pensar en la cantidad de personas que tienen acceso a información confidencial de tu empresa, la respuesta seguramente sea demasiadas. Toma medidas para restringir el acceso a tu sistema; sólo aquellos miembros del personal autorizados a gestionar tu sistema e instalar software deberían tener cuentas de administrador.
También suele ocurrir que las empresas permitan a varios miembros del personal compartir un único nombre de usuario y contraseña, lo que hace imposible determinar cómo o cuándo ocurrió una brecha en tu sistema. Proporciona a cada usuario su propia cuenta, habilitada con los permisos específicos que su puesto requiera. Si utilizas Windows, puedes asignar diferentes niveles de permiso a los usuarios basados en sus roles dentro de la empresa, y si un miembro del personal se ausenta durante un período largo o ha dejado la empresa, anula su acceso y permisos lo antes posible.
¿Por dónde empiezo?
Otra forma que tienen los hackers para acceder a tu sistema es mediante la red wifi de tu oficina. Dado que las redes wifi utilizan un enlace por radio en lugar de cables para conectar los ordenadores a Internet, todo lo que necesitan los hackers para entrar en tu sistema es entrar en el radio de esta red inalámbrica y cierto software. Los intrusos que consigan acceso a tu red pueden robar tus archivos y dañar tus sistemas. Aunque los dispositivos wifi disponen de medidas de seguridad para evitar que esto ocurra, la mayoría tienen estas características desactivadas por defecto para hacer que el proceso de configuración sea más sencillo.
Si utilizas una red wifi, asegúrate de que estas características de seguridad están activadas. También puedes limitar el acceso wifi a las horas de trabajo, de modo que los hackers no puedan entrar en tu sistema por la noche, y también puedes evitar que cualquiera pueda usar tu conexión al restringir el acceso wifi a determinados ordenadores estableciendo puntos de acceso.
¿Por dónde empiezo?
Cuando tú y tu personal navegan por Internet, las actividades son rastreadas de varias maneras sutiles e imperceptibles. La actividad suele ser grabada por terceros sin consentimiento alguno. Tus empleados podrían navegar por páginas web peligrosas que roban la información de tu empresa, y tu información personal o empresarial podría verse comprometida si se introduce en páginas webs a través de una conexión no cifrada.
La mejor manera de cifrar tu conexión y asegurar tanto la privacidad de tu empresa como la personal de cada empleado consiste en instalar una VPN. Una VPN o red privada virtual oculta la dirección IP de tu empresa y cifra tus datos de navegación; también hace anónima la navegación, algo que puede ser importante si tu empresa suele investigar a la competencia o si tu historial de navegación podría revelar información confidencial a tu competencia.
Fuente Cortesia: vpnmentor.com
Haga clic en uno de nuestros contactos a continuación para chatear en WhatsApp
Si haces trabajo remoto y quieres cuidar tu informacion haz clic aqui!