Ciberseguridad: 5 hábitos para proteger tu negocio

Hay actividades que en principio pueden parecer inocuas pero que ponen en riesgo los negocios, dado que suponen un riesgo difícil de medir o se arrancan sin ningún tipo de prevención ante posibles peligros. Este tipo de situaciones se detectan fácilmente realizando una sencilla auditoría de ciberseguridad, que comprueba la situación de sistemas críticos y prácticas poco seguras al tiempo que aporta posibles soluciones. Estos serían cinco problemas típicos en relación al peligro que suponen, y cómo evitar que supongan un gran riesgo.

 

Descubre cómo proteger tu pyme en este webinar

 

 

1. No proteger sistemas críticos ante ataques DDoS

 

Los ataques DDoS han causado estragos en organizaciones de todo tipo, tanto privadas como públicas o las dependientes de la administración. Tras estos ataques masivos que consisten básicamente en saturar los servidores con peticiones difíciles de evitar –porque parecen tráfico real– hay a veces razones políticas, de competencia o simple y llanamente extorsión para conseguir dinero a cambio de parar los ataques. Considerar que todas las máquinas son iguales y no diferenciar entre los sistemas más críticos y los prescindibles puede ser un grave error. Tampoco hay que olvidar que ciertos sistemas industriales pueden estar conectados a la IoT y que para algunas organizaciones puede ser tan desastroso quedarse sin calefacción, acceso a las puertas o a su maquinaria como tener un servidor web caído. Esto lo hemos visto suceder en edificios inteligentes, hospitales y oficinas de la administración.

La clave para evitar problemas es auditar qué sistemas son realmente críticos para mantenerlos protegidos dentro del perímetro de seguridad ante cualquier posible fallo. En caso de que se produzca un ataque las páginas de una tienda, la pasarela de pagos u otros sistemas que gestionan información vital, podrán mantenerse en pie. Mientras tanto, otros servidores pueden estar en una zona con menos medidas de seguridad porque no supone un desastre que pasen unas horas sin funcionar mientras se capea el temporal del ataque.

 

2. No estar preparados para un ataque de ransomware

 

Cada vez son más comunes los ataques con ransomware que pide dinero a cambio de «descifrar» los ordenadores que han sido inutilizados; de hecho en 2021 ya hemos visto unos cuantos. Este «secuestro de información» es relativamente fácil de llevar a cabo en comparación con otro tipo de ataques, y algunos cibercriminales se han dado cuenta de que ya no hace falta robar los datos y moverlos de un lado a otro para amenazar con un daño cierto, porque todo sucede en las instalaciones que han sido atacadas.

Las mejores prácticas permiten evitar el ransomware y no quedarse de brazos cruzados esperando a que algo suceda: tener un buen sistema de análisis de todo software que se instale, formar a los empleados para evitar que caigan en trampas y, sobre todo, mantener copias de seguridad completas, replicadas y fiables de los sistemas críticos.

 
   

3. No guardar a buen recaudo la información sensible

 

El valor de los datos personales, métodos de pago e incluso contraseñas de empleados y clientes es tan alto que algunos ataques están dirigidos a robarlos para a continuación venderlos o usarlos para la extorsión. En los últimos años incluso las más grandes empresas han sufrido de esta lacra, que supone una importante pérdida de reputación, cuando no cuantiosas multas cuando transcienden. Para colmo de males, a veces los sistemas mal diseñados hacen que si se roban cuentas de un servicio se puedan usar para atacar otros totalmente diferentes, lo que acrecienta el problema (la gente tiende a usar los mismos datos de registro y contraseñas, que muchas veces están mal protegidas).

También hay que estar preparados para las formas más rudimentarias –pero efectivas– con las que los atacantes suelen conseguir esta información: ataques mediante phishing (correos o mensajes falsos que suplantan a empresas auténticas) o ingeniería social, donde en persona o a través del teléfono o la mensajería móvil se engaña con habilidad a alguien para hacerse pasar por otra persona, conseguir información delicada o acceder a su cuenta por métodos alternativos. En este caso la mejor defensa es la educación: concienciando y formando adecuadamente a los empleados nada de eso debería suceder.

 

Inscríbete al webinar sobre ciberseguridad corporativa

 

 

4. No proteger todo lo protegible: de la Internet de las cosas a las redes sociales

 

Al depender de muchos servicios, las empresas deben tener en cuenta que no sólo tienen que proteger su oficina y servicios como el correo o los servidores web. Están las cuentas de las redes sociales, los dispositivos conectados a la IoT e incluso conceptos como las «identidades» personales y corporativas. Esto se plasma en la red en forma de dominios, cuentas oficiales y pasarelas entre dispositivos que deben ser protegidas para que todo funcione, nada se pare y no sea posible ningún engaño o suplantación de identidad. Lo mismo se aplica a las políticas de seguridad: quién puede acceder a qué, qué métodos de autenticación se usan e incluso cómo se gestionan protocolos tales como la salida de un empleado de la organización.

 

5. No hacer una auditoría de seguridad periódicamente

 

Este consejo probablemente la «madre todos los consejos» porque engloba a todos los demás. Cuando la empresa, sus sistemas o el riesgo al que se enfrenta en caso de fallos o problemas alcanza cierto nivel, una auditoría de ciberseguridad es la forma más completa y efectiva de chequear en unos días que todo está bien y se va por el buen camino.

Tener en cuenta todos estos hábitos como algo que forma parte del día a día y no como algo excepcional es clave para mantener la organización segura. La idea es evitar los malos hábitos, blindar todas las posibles vías de acceso, saber por dónde puede ser atacada la organización y tener una respuesta preparada antes de que se produzca cualquier incidente. Igual que pasamos inspecciones periódicas con el automóvil o auditamos la contabilidad para garantizar que todo está bien en las cuentas de la empresa, una buena auditoría de ciberseguridad permite estar más tranquilos sabiendo que todo está bien.

 

Apúntate al webinar gratis sobre ciberseguridad

 

Sobre este Autor

Álvaro Ibáñez. Editor de Microsiervos, uno de los más conocidos blogs de divulgación sobre ciencia, tecnología e Internet en castellano. Participó en el nacimiento de proyectos españoles de internet como Ya.com/Jazztel y Terra/Telefónica.

Enviar una respuesta

Aviso de Privacidad.
Los datos facilitados en este formulario, quedarán registrados en un fichero titularidad de SARENET S.A.U., responsable del Fichero cuyos datos se detallan en el Aviso Legal, con la finalidad que los usuarios interesados contacten con los asesores y estos den respuesta a sus dudas e inquietudes en relación a los servicios ofrecidos. Podrás ejercer tus derechos de acceso, rectificación, supresión o limitación de la información personal, así como el de oposición a su tratamiento, mediante comunicación al e-mail: protecciondedatos@sarenet.es. Para más información sobre como tratamos tus datos, visita nuestra Política de privacidad.

No hay comentarios