Las pymes también son víctimas de los ciberataques

A veces se cae en el error de pensar que las pequeñas y medianas empresas están ajenas a los grandes ciberataques, pero si no se toman las medidas correspondientes, estas pueden ser víctimas del robo de información, suplantación de identidad, infección con malware o la pérdida de información de sus clientes y/o proveedores. En el siguiente artículo analizamos a qué puede quedar expuesta una PYME, y cómo se debería enfrentar a estos riesgos.

Por Gabriela Sepúlveda Bravo.

El gran error en el que caen las pequeñas y medianas empresas (PYMEs) en ámbitos de Ciberseguridad radica en pensar que la información que poseen, y cualquier dato sensible que manejen, no son de interés para los ciberdelincuentes. Debido a esto, por lo general se presta poca atención a la protección de sus datos y/o elaboración de una estrategia frente a diversos ataques. Incluso, a veces se piensa que las soluciones son de alto costo y no está en sus planes invertir en ello.

El problema recae en que esta información tiene un valor tremendo para un atacante, ya que puede ser la llave para elaborar otros ataques, tanto dirigidos como otros a mayor escala.

La barrera más poderosa que tenemos frente a ello está lejos de ser sofisticada, y por el contrario, recae más en temas de concientización sobre nuestros empleados y prácticas muy sencillas de seguir. Veamos un poco cuáles son y cómo nos puede afectar el no seguirlas.

  1. Conciencia del Riesgo

La base de todo es comprender que el riesgo de un ataque siempre estará, y como tal se debe elaborar una estrategia de Ciberseguridad que incluya un manual de buenas prácticas y qué hacer frente a diversos tipos de ataques. Entre las buenas prácticas, podemos destacar varias:

  • Mantener actualizados los sistemas operativos de los equipos de trabajo.
  • Contar con un antivirus completo y firewall actualizados.
  • Realizar copias de seguridad de los equipos de trabajo.
  • Cambiar las contraseñas que vienen por defectos en los dispositivos que se adquieran.
  • Utilizar solo redes de confianza.
  • Utilizar claves robustas en los dispositivos.
  • No conectar dispositivos de origen desconocido a los equipos de trabajo (como pendrives, discos externos, etc.).

Además de ello es importante contar con un encargado que tenga claridad de los activos tecnológicos con los que cuenta la empresa, tanto software como hardware. De esta manera realizar análisis de vulnerabilidades sobre ellos será mucho más ordenado y claro.

  1. Software Actualizado

Muchas veces no basta solo tener un sistema operativo con un antivirus y un firewall, sino que parte de la solución es mantenerlo con las últimas actualizaciones. A veces hay que despojarse de aquella idea que plantea que los equipos actualizados funcionan más lento y/o peor.

En estos casos se recomienda mantener activa la opción de ‘actualización automática’ en los activos tecnológicos, y es muy importante ir revisando regularmente las posibles debilidades que puedan existir en estos sistemas. Ayudarse con el inventario de activos para mantener al día las actualizaciones.

  1. Cuidado en la Red

La red utilizada en la PYME debe estar protegida tanto de ataques internos, como de externos. Es importante además revisar las configuraciones de seguridad. 

  1. No basta con un simple antivirus

Ya no basta un simple antivirus pues los ataques no solo vienen en forma de un virus informáticos. Se hace indispensable contar con una suite completa que proporcione protección frente a distintos tipos de malware como spywares, adwares, etc. Lo ideal es programarlos para escanear diariamente nuestros dispositivos y mantenerlos actualizados.

  1. Cuidado con los permisos

Los equipos de trabajo deben contar con protección frente a personas ajenas a la PYME. Es por ello que cada empleado debe contar con su nombre de usuario y contraseña para entrar tanto a la red como a los equipos. Además de ello, limite al mínimo necesario los permisos de los usuarios que no sean administradores, y configure de manera adecuada los permisos a las diferentes carpetas con datos sensibles. Se recomienda que estos datos estén debidamente separados en su tipo (por ejemplo datos de proveedores, de contabilidad, clientes, etc …).

Pero lo más importante es la capacitación del personal

Finalmente más de alguna vez hemos mencionado que el ser humano pasa a ser la primera línea de defensa frente a los atacantes, y si consideramos que sobre el 85% de los ataques se efectúan por errores humanos, es lógico pensar que punto clave de una buena estrategia de Ciberseguridad debería incluir la capacitación de los empleados frente a estas temáticas.

La clave radica en lograr que los empleados conozcan y apliquen la política de seguridad que la pyme ha adoptado (por eso es importante un plan y una estrategia). Una buena manera es incluirla en los contratos de trabajo o acuerdos de trabajo, y de manera periódica recordar las buenas prácticas de seguridad acordadas. En estos puntos hoy por hoy se hace esencial incluir aspectos referentes a las redes sociales, ya que perfiles públicos que comparten demasiada información pueden ser una fuente para que los delincuentes elaboren ataques dirigidos a ciertos empleados y desde allí escalen hacia el interior de la empresa.

La concientización frente a las campañas de phishing es fundamental para que los empleados no caigan en los tipos de ataques más comunes. De igual forma el enseñarles a que siempre desconfíen de dispositivos de almacenamiento externos de origen desconocido, y/o la deshabilitación en la configuración de la ejecución automática de las macros en aplicaciones de ofimática (Como Microsoft Office), son algunas de las prácticas que alejan más y más a los empleados de ser víctimas de diversos ataques.