Loading...
  • Susana Gonzalez Derecho Digital y Tecnológico

    Susana Gonzalez

Cómo proteger tu empresa frente al cibercrimen.

Cómo proteger tu empresa frente al cibercrimen.

El coste del cibercrimen que pagan las PYMES por operar sin un plan de seguridad de la información.

Manual de buenas prácticas en ciberseguridad para las empresas.

En cualquier empresa u oficina de profesional (en lo que aquí nos ocupa ambos son prácticamente lo mismo con la única diferencia de la personalidad jurídica con que operan) nuestra responsabilidad principal debería ser asegurarnos de que todas las operaciones se ejecutan sin problemas, limitando los riesgos al mínimo posible.

cibercrimen ciberataques seguridad de la información

Pautas y recomendaciones para proteger la información frente a ciberataques

Esto, en un mundo como el de hoy, quiere decir no solo estar a salvo y verificando el cumplimiento de la normativa que nos aplica, sino también hacer todo lo posible por asegurar la información que manejamos, los datos tanto propios como de nuestros clientes y mantenerlos a salvo de posible ataques cibernéticos.

De acuerdo con un reciente estudio de ciberseguridad realizado por Symantec, nada menos que el 83% de las pequeñas empresas operan sin tener un plan formal de seguridad cibernética. Más aún, el 69% de las empresas encuestadas no tienen ni siquiera un manual de buenas prácticas en lo que a ciberseguridad se refiere a pesar de que utilicen Internet para sus operaciones diarias, con lo que están completamente expuestos a cualquier posible amenaza.

En la mayoría de casos, esto sucede por la creencia de que los ataques cibernéticos y la cibercriminalidad son solo casos aislados y que nunca nos afectarán. Nada más lejos de la realidad. El pasado año el cibercrimen afectó a 556 millones de personas/empresas con un coste estimado de 85.000 millones de euros, triplicando las cifras del narcotráfico.

Sin embargo, aunque nunca podremos estar protegidos al cien por cien, hay una serie de recomendaciones y medidas preventivas que deberíamos tomar para proteger nuestros datos y los de nuestros clientes. Para proteger, en definitiva, nuestra empresa o actividad profesional.

Dentro de los distintos tipos de cibercriminalidad existentes en la actualidad, unos de los que más importancia tiene, tanto por su rápida tasa de crecimiento como por los resultados que consiguen, son aquellos que pertenecen al ámbito de la Ingeniería Social.

¿Qué es la Ingeniería Social?.

La ingeniería social utiliza la manipulación psicológica para que los usuarios entreguen información confidencial, tales como contraseñas y números PIN. Este tipo de ataques están diseñados para hacer creer al atacado que está verificando información con o mediante un servicio de una fuente de confianza. Una vez capturada, esta información es o bien vendida o bien utilizada para manipular sus cuentas.

Es un tipo de ataques que está creciendo de manera exponencial en los últimos tiempos, hasta el punto de llegar a una tasa de éxito superior a un 45% de acuerdo a un reciente estudio de Google.

Diferentes tipos de Ingeniería Social.

La ingeniería social puede darse en cualquiera de las vertientes en que usamos la red: puede darse en el correo electrónico, en nuestro navegador web o en cualquier visita y/o consulta que hagamos online.

El phishing es una de las técnicas más comunes de ingeniería social. A primera vista, estos sitios y correos electrónicos parecen legítimos y, por tanto, de fiar; la mayoría de ellos son un clon muy similar a los sitios web que habitualmente visitamos, o parecen ser correos procedentes de gente u organizaciones que conocemos o nos resultan familiares.

Sin embargo, una inspección cuidadosa revela detalles que deben ponernos en alerta. Por ejemplo, podrían tener el nombre de la marca en la URL pero ser parte del dominio principal. Este es un signo seguro de que nos enfrentamos a una amenaza de phishing.

Embeber el malware en software o herramientas que aseguran actualizarnos las que tenemos instaladas es otro de los tipos más comunes de técnicas de ingeniería social. Estos supuestos avisos suelen incluir plugins o complementos que, cuando se activan, nos pueden robar todo tipo de información sensible.

La única recomendación fiable en estos casos es ser extremadamente prudente a la hora de introducir información sensible y/o contraseñas en la red. Vigilar que el servicio que nos lo está pidiendo es legítimo, que no es una información redundante sobre algo que ya habíamos introducido y, desde luego, desconfiar ante la más mínima duda.

Comprobar las URL  y el texto de los mails o sitios sospechosos nos ayudará a reconocer cuales pueden ser peligrosos. Es recomendable también no descargar ni ejecutar archivos que no provengan de una fuente absolutamente reconocida y de fiar.

Como última recomendación para minimizar los daños de contraseñas robadas mediante técnicas de ingeniería social, la implementación de la verificación en dos pasos hará que, pese a que nos hayan sustraído claves de acceso a cuentas o servicios, no puedan acceder a ellas al necesitar ese segundo código de autenticación que sólo llegará a nuestro dispositivo móvil a través de SMS o correo electrónico.

Cibercrimen Ciberseguridad Seguridad IT

Pautas y recomendaciones de protección de seguridad de la información en las PYMES

Insisto siempre en que seguridad y comodidad no suelen ser buenas amigas. Puede que la verificación a dos pasos frente a autorizar al buscador que mantenga el recuerdo de nuestras contraseñas sea menos cómodo, pero desde luego es infinitamente más seguro. No podemos olvidar que en gran parte de cómo configuremos nuestras cuentas se desprende nuestra diligencia en la custodia y tratamiento de la información que manejamos propia y de terceros.

Además de los ataques utilizando la ingeniería social, los métodos más o menos tradicionales, si es que se pueden denominar así, de ataques cibernéticos siguen siendo utilizados a diario por los cibercriminales con la intención de llegar a nuestra información. Se hace por ello necesario seguir una serie de recomendaciones básicas, especialmente si trabajamos con información sensible.

Protección antivirus y anti malware.

Parece una recomendación obvia, pero pese a serlo, el 80% de las víctimas de ataques cibernéticos durante el último año, según un estudio de Verizon, no tenían ningún tipo protección.

El malware se utiliza en la mayoría de las fugas de datos. Puede llegarnos a través de sitios web de spam, correos electrónicos sospechosos que contienen archivos o enlaces maliciosos, o a traves de conexiones Wi-Fi no seguras. Si se llega a instalar en nuestros sistemas, el malware puede capturar información de inicio de sesión y las pulsaciones de teclado. Luego, lo tienen todo para acceder a nuestros equipos, contraseñas y cuentas, incluso bancarias.

La buena noticia es que es sorprendentemente fácil de proteger nuestra empresa contra el malware y los virus. Basta con instalar un software de protección apropiado y mantenerlo actualizado regularmente.

Cifrar los datos importantes.

Los datos sensibles, tales como cuentas bancarias o información sensible de nuestros clientes y/o empleados, deberían ser cifrados ya que  es exactamente el tipo de información que los ciberdelincuentes están buscando. Las herramientas de cifrado de disco, que son estándar para la mayoría de sistemas operativos, se deberían utilizar en todo momento.

El cifrado de datos también se debería utilizar para los servicios basados ​​en la nube y en los servidores de correo electrónico.

Uso de redes seguras.

La mayoría de los ataques se producen a través de redes Wi-Fi mediante la exploración por parte de los ciberdelincuentes de un área concreta hasta que encuentran una red no segura desde la que pueden acceder a robar contraseñas, cuentas y otros datos sensibles.

Si utilizamos en la empresa redes inalámbricas deberemos asegurarnos de configurarlas con contraseñas seguras; desactivar la función de transmisión SSID en el router con el fin de ocultar nuestra red; no nombrar nuestra red con el nombre comercial de nuestra empresa; evitar el uso de cifrados WEP (por el momento, WPA2 parece ofrecer una mejor protección), y mejor aún si filtramos las IP o MAC de los dispositivos que pueden conectarse.

Comunicar el Plan de Seguridad.

Es fundamental que nos aseguremos de que los empleados o compañeros de nuestra empresa están todos en la misma línea cuando se trata de seguir las directrices básicas de seguridad. Explicar los riesgos relacionados con ciertas acciones, cómo se debe proceder ante una amenaza, el modo de utilizar su propio dispositivo y cuáles son las recomendaciones básicas de seguridad que no deben desatender en ningún momento.

Cambiar las contraseñas con regularidad.

La mayor responsabilidad y el mayor riesgo en una red profesional o empresarial es el número de personas que acceden a diario a ella. Cada nombre de usuario y contraseña es un punto de acceso potencial y cualquier ciberdelincuente podría explotar incluso el acceso de un usuario básico para tomar el control de la red.

Es por ello que la recomendación de cambio periódico de contraseñas es muy importante para minimizar esta puerta de acceso.

No utilizar la misma contraseña para todo.

Es cierto que cada vez utilizamos más y más contraseñas y que, por lo tanto, cada vez es más difícil recordarlas. También es cierto que quienes nos dedicamos a seguridad de la información recomendamos no tener la misma contraseña en todas nuestras cuentas, que sea lo más fuerte posible y, para colmo, cambiarlas periódicamente. Parece de locos…

Todos hemos sido responsables de reutilizar una contraseña porque la recordamos fácilmente. El problema es que no todos los servidores son igual de seguros y si utilizamos la misma contraseña para la red del trabajo que para Gmail, por ejemplo, significará que un atacante sólo tendrá que encontrar una contraseña para tener acceso a toda nuestra información. Al menos, será una de las primeras pruebas que realice un atacante cuando se haga con una de nuestras claves de acceso.

Cambiar nuestras contraseñas no significa simplemente añadir un número al final de la habitual. Significa hacerlas distintivas y completamente diferentes.

Por supuesto, contraseñas largas (mínimo 8 caracteres) y combinando mayúsculas, minúsculas, símbolos y caracteres especiales.

Por obvio que parezca, sigue siendo práctica habitual apuntar las contraseñas en el blog de notas del móvil, o peor aún en un post-it debajo de la almohadilla del ratón, permitir a los sistemas que recuerden nuestras contraseñas de acceso para agilizar el nuestro (y facilitar el de los cibercriminales), así como dejar las contraseñas que vienen por defecto en ningún dispositivo, especialmente los routers. De hacerlo así, cualquier visitante que venga a nuestra oficina y tome nota del modelo de router, podrá fácilmente hacerse con el control de la red en cuanto termine su visita.

Puertos cerrados.

Un puerto abierto es un enorme agujero en nuestra red. Solo en casos muy excepcionales ciertos programas o dispositivos necesitan un puerto abierto para operar. En una empresa no debería haber ninguna necesidad de puertos abiertos por lo que deberemos asegurarnos de que esta parte de la red es tan segura como sea posible.

Hacer regularmente copias de seguridad cifradas y en un soporte aparte.

Normalmente tenemos extintores en la empresa y, a pesar de ello, tenemos contratado un seguro contra incendios porque no tenemos una garantía al 100% de poder aplacar un fuego que se pueda producir.

Por la misma razón, aunque cumplamos todas las recomendaciones anteriores, no podemos estar completamente seguros ante un potencial ataque.

Tener copias de seguridad, con la información cifrada, y almacenadas en ubicación distinta al de nuestra actividad, es nuestro seguro para que nuestra red y nuestra información sea recuperable en caso de haber entrado en riesgo. A

La copia de seguridad representa la diferencia entre seguir trabajando o tener que cerrar la persiana para siempre o empezar desde cero nuestro negocio. Ante cualquier contingencia del tipo ataque por ransomware podríamos recuperar nuestra información sin aplacarnos a la extorsión y seguir funcionando con normalidad.

¿Qué os parece? ¿Son medidas fuera del alcance de todos o simplemente nos cuesta prevenir?

Fuente imagenColor_Keys1.jpgBy forbiddenarts
Fuente imagen 2 Keys_Coloured.jpgBy forbiddenarts
By | 2017-04-17T21:08:14+00:00 noviembre 3rd, 2015|Artículos Derecho TIC, Blog, Seguridad IT|0 Comments

About the Author:

Abogado especialista en Derecho Digital y Tecnológico, seguridad de la información, Auditora jefe ISO 27000, protección de datos y Ciberseguridad, innovación, estrategia digital, marketing y comunicación #AlwaysON©

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.