Según el National Cyber Security Index (NCSI), entidad externa e independiente que revisa el estado de la ciberseguridad de los países, Colombia ocupa el puesto 72 dentro de 160 países que se encuentran en su ranking.
Por esto hemos decidido recopilar una breve Guía de ciberseguridad para empresas con 10 consejos que puedes tener en cuenta para evitar ciberataques y no comprometer la seguridad online de tu negocio.
1
Mantener actualizado el software
Ten en cuenta mantener actualizado el Sistema Operativo (SO), antivirus y cualquier tipo de programa instalado en todos los dispositivos que se empleen para el desarrollo de la actividad profesional diaria: sobremesas, portátiles, tablets o smartphones.
Los hackers siempre buscan cualquier tipo de vulnerabilidad en los sistemas, a la hora de llevar a cabo un ciberataque. Por ello, las empresas deben concientizar a sus empleados acerca de la importancia de mantener actualizados los softwares de los equipos que utilizan, durante su jornada efectiva de trabajo. De esta manera, se evitan posibles vulnerabilidades que puedan comprometer la información sensible de la compañía, como datos de clientes, información financiera, etc.
Te gustaría impulsar la transformación digital de tu empresa
2
Cerrar siempre la sesión
Puedes prevenir el robo de información sensible o confidencial, por terceras personas.
Por tanto, siempre que se inicia sesión en cualquier dispositivo es recomendable cerrarla al terminar de utilizar la cuenta de usuario.
3
Navegación segura a través de páginas web con protocolo HTTPS
El protocolo HTTPS es un sistema de seguridad diseñado para mejorar la privacidad de los usuarios mientras navegan por internet. Este protocolo permite cifrar toda la información que se envía y recibe, entre el dispositivo de navegación que emplea un usuario, por ejemplo, desde un ordenador, y la página web de destino a la que accede.
Para saber si estamos accediendo a un sitio web seguro, basta con fijarse en la barra de navegación y observar cómo en ella aparece dibujado un candado, tras las letras ‘https’. Una forma muy sencilla de proteger los datos almacenados en cualquier dispositivo y evitar filtraciones.
4
Realizar backups siguiendo la regla del 3-2-1
Si nunca había oído hablar o leído acerca de la regla 3-2-1 de los backups, le aconsejamos que preste especial atención a este consejo de nuestra Guía de ciberseguridad para empresas, ya que, ante un posible ciberataque puede evitar perder toda la información valiosa vinculada con su negocio.
Según establece esta regla, se deben realizar tres copias de seguridad de todos los datos sensibles que se quieran respaldar de una empresa, a ser posible diariamente. Para ello, se emplearán al menos dos soportes distintos, como por ejemplo la nube, el disco local, disco de red, entre otros. En último lugar, se aconseja que uno de los dispositivos que almacena la información, esté disponible en un lugar seguro fuera de la empresa. De esta forma, la empresa contará con un sistema de copias de seguridad efectivo que le permitirá proteger y recuperar toda su información, ante cualquier tipo de ciberataque.
5
Cuidado con el correo electrónico
Una de las principales puertas de entrada de los ciberataques es el correo electrónico. En la actualidad, prácticamente la totalidad de las compañías emplean un cliente de correo electrónico, como Microsoft Outlook y Mozilla Thunderbird, frente a los servicios de webmail, como Gmail, destinados a uso de tipo personal.
Ahora bien, independientemente de la herramienta de comunicación corporativa que se utilice, resulta vital concienciar a los empleados de los peligros que entraña el mal uso del correo electrónico. En este sentido, se aconseja que la compañía tenga definida una política para el uso seguro y adecuado del correo electrónico que garantice su protección y evite los denominados correos spam y el phishing.
Tanto el spam o correo basura, como las estafas de phishing son dos de los mecanismos de los que se sirven los ciberdelincuentes, para conseguir datos sensibles como contraseñas y datos bancarios. En este sentido se recomienda:
No abrir emails de remitentes desconocidos.
Agregar el correo basura a su lista de spam y, posteriormente, proceder a su eliminación.
Fijarse en cualquier tipo de elemento sospechoso en el contenido del email.
Inspeccionar los enlaces antes de abrirlos.
Activar filtros antispam.
Utilizar contraseñas seguras para acceder al email.
Utilizar la copia oculta cuando se remite un mismo email a varios destinatarios.
6
Contraseñas robustas
El uso de contraseñas, al igual que otros sistemas biométricos de seguridad, como la huella dactilar o el reconocimiento facial representan los principales métodos de autenticación, para tener acceso a los diferentes dispositivos o servicios disponibles en los entornos empresariales, cada vez más digitalizados.
Sin embargo, el mal uso y gestión de las contraseñas, por parte de los empleados, puede convertirse en una fuente de vulnerabilidades para las organizaciones. Anotarlas en un papel, reutilizarlas para diferentes programas o compartirlas por correo electrónico son algunos ejemplos de malas prácticas, llevadas a cabo por el factor humano de las compañías.
Entre los consejos para crear una contraseña segura destacan:
Longitud de más de 8 caracteres.
Utilizar mayúsculas, minúsculas, números y caracteres especiales, como paréntesis, arroba, corchetes, etc.
No utilizar elementos de carácter personal (nombre, fecha de nacimiento, etc.).
Suprimir el uso de vocales o reemplazarlas por números.
No emplear una sola palabra (para evitar el denominado ‘ataque del diccionario’).
Se recomienda usar una cadena de palabras, sin relación entre ellas.
Cambiar la contraseña, como mínimo, cada seis meses.
7
Empleo de varios métodos de autenticación
Además del uso de contraseñas robustas, se recomienda emplear otros sistemas de autenticación, como por ejemplo el envío de un OTP (siglas en inglés de One Time Password) vía SMS, app o voz, entre otros.
De esta forma, se garantiza que el usuario conoce la contraseña para acceder al servicio y que, además, es quien asegura ser, ya que aporta un código que solamente él conoce.
El uso de la autenticación doble o multifactor representa un importante mecanismo de seguridad para las empresas y su implementación puede reducir, en gran medida, los riesgos derivados de cualquier posible ciberataque.
8
Formación interna
Las empresas deben concienciar a todos sus empleados, independiente de su nivel de responsabilidad, de la importancia de adoptar hábitos de trabajo seguros que minimicen las posibles consecuencias de un ciberataque.
Actualmente, el área de seguridad cibernética de las empresas representa uno de los principales motivos de preocupación para las mismas, ya que, un ciberataque puede dañar gravemente su reputación, seguridad y rentabilidad.
9
Mayor protagonismo del departamento de ciberseguridad
El actual ecosistema digital que rodea a las empresas y los riesgos que ello implica ha promovido que el papel de los profesionales que se ocupan de gestionar la ciberseguridad en las empresas, cobre mayor protagonismo.
Sin embargo, todavía falta mucho por avanzar en este sentido. Según datos publicados por el Instituto Nacional de Ciberseguridad, INCIBE, a través del INCIBE-CERT (Centro de Respuesta a Incidentes de Seguridad) durante el año 2020 se gestionaron más de 133.155 incidentes de ciberseguridad, de los cuales 106.466 corresponden a ciudadanos y empresas, 1.190 a operadores estratégicos y 25.499 a la Red Académica y de Investigación española (RedIRIS). De la cifra total de incidencias en ciberseguridad, el 35,22% están relacionadas con malware, el 32,02% con diferentes tipos de fraude y el 17,39% con vulnerabilidades en los sistemas.
Con estas cifras, y ante el aumento de empresas que deciden apostar por la transformación digital, resulta imprescindible que las compañías incrementen sus presupuestos en materia de ciberseguridad y que los departamentos implicados en esta cuestión, como el Departamento de IT, el de Sistemas o Soluciones, tengan mayor protagonismo en la toma de decisiones estratégicas.
10
Redes sociales corporativas
Gestionar de forma adecuada las redes sociales corporativas, constituye un requisito fundamental para garantizar la ciberseguridad y evitar posibles fugas de información.
Por lo tanto, se deben tener en cuenta una serie de recomendaciones como actualizar las contraseñas periódicamente, crear una cuenta de correo electrónico específica para las gestiones relacionadas con las redes sociales, no facilitar información confidencial de la empresa y contar con la figura de un community manager para la gestión profesional de los perfiles de la empresa en internet.