0

Hablemos de ciberseguridad

ciberseguridad
ciberseguridad

Todos los días nos despertamos con la noticia de que tal o cual entidad o empresa han tenido un fallo de seguridad y sus datos están comprometidos, o lo que es peor, si teníamos alguna cuenta con dicha organización, nuestros emails y password de acceso pueden haber caido en malas manos.

Está claro que si empresas como Sony o Linkedin o algunos bancos han perdido sus batallas con los hackers, nosotros no lo vamos a tener más fácil. Si queremos saber si alguna de cuestras cuentas de correo o passwords pasan de mano en mano por la red, podemos recurrir a la página haveibeenpwned.com, donde cuentan con un registro de las mayores brechas de seguridad y sus damnificados.

Pero aunque seamos un diputado alemán o un simple mortal usuario de Adobe, no debemos caer en el masoquismo y debemos seguir confiando en que unas buenas prácticas en ciberseguridad pueden defendernos de la mayoría de los ataques, dentro de nuestra empresa. Porque un ladrón siempre encontrará más fácil colarse por una puerta abierta que por otra con varias cerraduras y alarmas.

Conceptos básicos de ciberseguridad

Podemos definir la ciberseguridad como aquellas acciones encaminadas a la protección de los activos digitales de la empresa. El objetivo es, por tanto, evitar todo tipo de amenazas que pongan en riesgo la información generada, procesada, transportada y/o almacenada por nuestra organización.

La ciberseguridad total no existe, como nos enseña la realidad, pero podemos conseguir un alto grado de seguridad. Para ello debemos construir sistemas fuertes que nos permitan actuar antes, durante y después de un ataque, si este llega a producirse.

Otro aspecto que debemos tener en cuenta es que cada empresa es un sistema global, donde todos los elementeos están en red y el grado de nuestra seguridad informática está determinado por su eslabón más débil. De nada sirve blindar zonas estratégicas si luego encontramos un PC de fácil acceso conectado a la misma red. Tampoco vale que los responsables de IT estén concienciados si el resto de los trabajadores no se responsabilizan de su ámbito de actuación.

Riesgos para la empresa

Podemos examinar los riesgos que corremos clasificándolos según los daños a los que estamos expuestos:

  • Robo de información. Esta información puede relacionarse con nuestra actividad y transacciones económicas, nuestra actividad comercial o el espionaje de nuestro área de investigación y desarrollo. En cualquier caso a la larga tendrá repercusiones económicas para la empresa.
  • Acceso a información sensible de los sistemas. Pensemos en el acceso a cuentas y passwords o datos personales de nuestros clientes (sus tarjetas de crédito, por ejemplo). En todos los casos supondrá una pérdida de credibilidad y un quebranto de la confianza de clientes y proveedores.
  • Paro de la actividad de la empresa. Un ataque puede paralizar nuestra actividad productiva o comercial y, en algunos casos el cese temporal de la actividad de la empresa (por ejemplo, el caso de una tienda on-line).
  • Exposición a ciberdelincuentes. Los datos extraidos podrían ser utilizados para fraudes a terceros o extorsiones a la empresa, con las consecuencias económicas y de imagen. A veces los datos no son utilizados directamente sino que son vendidos a terceros.
  • Ataques a la marca y reputación corporativa. Nuestra web o redes sociales pueden ser utilizadas por terceros para desligitimar las acciones de la empresa o directamente ser usados para emitir mensajes contrarios a la reputación de la empresa.
  • Incumplimientos legales y multas. Un ataque puede impedirnos cumplir la legalidad y dar lugar a demandas o multas, como, por ejemplo, por la difusión de datos personales de terceros.

Amenazas para las empresas

Los riesgos a los que estamos expuestos vienen de diversas fuentes, que también se pueden definir y clasificar como amenazas:

  • Software malicioso: programas diseñados para atacar nuestros sistemas, principalmente:
    • Virus: programas que requieren de nuestra participación para su activación.
    • Gusanos: programas que se activan y difunden por si mismos.
    • Troyanos: programas durmientes que monitorizan o se aprovechan de nuestros dispositivos, bien para robar información, atacar a terceros o realizar actividades en su provecho (minería de bitcoins, por ejemplo)
    • Ramsomware: es un tipo de programa que secuestra nuestro ordenador o dispositivo encriptándolo. La desencriptación solo es posible si accedemos a pagar un «rescate» por liberarlo, a los atacantes.
    • DOS: los ataques por denegación de servicio se producen cuando nuestro servidor es saturado intencionadamente por peticiones de acceso. La finalidad es bloquear nuestra actividad web o de nuestra empresa.
    • Botnets: redes de dispositivos esclavos que se utilizan para, entre otros usos, ataques a terceros, generar spam o minería de bitcoins. Un troyano puede convertir nuestro ordenador o dispositivo en parte de una red de este tipo, ralentizando su funcionamiento y convirtiéndonos en cómplices de los ciberdelincuentes.
    • Exploits: pequeños programas que aprovechan las vulneravilidades o fallos de código de otros programas. Muchas veces se incorporan a los mismos como puertas traseras para los atacantes.
  • Ingeniería social: nos referimos a aquellas técnicas en las que es el propio usuario, engañado o no, quien proporciona sus datos sensibles. También puede ser de varios tipos:
    • Ataques directos: la suplantación de usuarios o empresas para conseguir la información. Suele existir una investigación previa sobre empresas o personas concretas. Los métodos más comunes son el uso del teléfono, email, sms o sistemas de mensajería.
    • Phishing: el envío de mensajes aleatorios, suplantando identidades de terceros, normalmente por email, mediante los cuales intentan optener datos de acceso o de tarjetas de crédito o cuentas. También pueden intentar que descarguemos archivos adjuntos con software malicioso.
    • Amenazas internas: son las que provienen de los propios trabajadores, bien por actitudes maliciosas, por que hayan sufrido engaños o extorsión o porque simplemente son descuidados en sus prácticas habituales.

Buenas prácticas y recomendaciones

Si hasta aquí hemos visto los riesgos que corre una empresa y cual es el posible origen de las amenazas, vamos a pasar a definir algunas buenas prácticas que ayudarán a mantener, en la medida de lo posible, la ciberseguridad de nuestra organización.

  • Formación y concienciación: la primera práctica debemos desarrollarla en el ámbito de la actitud. Como hemos comentado la seguridad informática afecta actualmente a todos los departamentos y personas dentro de la organización y si las personas no participan de forma activa en la ciberseguridad, al nivel que les corresponda, nuestros esfuerzos serán inútiles. Por lo tanto realizar campañas, charlas, cursillos, de manera habitual, sobre aspectos generales o concretos de ciberseguridad es fundamental.
  • Uso de software legal: la utilización de software pirata, aparte de ser ilegal, nos expone al riesgo de incorporar con el mismo software malicioso.
  • Uso de software actualizado: las empresas desarrolladoras sacan nuevas versiones cada vez que detectan y corrigen algún fallo de seguridad o vulnerabilidad en sus programas.
  • Uso de antivirus: aunque no puedan garantizarnos un 100% de eficacia, los antivirus y firewalls son una primera barrera de protección. Mantenerlos siempre actualizados. Mantenerlos siempre activados. Muchas veces se pueden contratar, al mismo tiempo, servicios de atención al cliente en caso de ataque. No usar nunca antivirus desconocidos o servicios ofrecidos a traves de páginas web.
  • Uso de contraseñas y bloqueos de pantalla: los dispositivos deben estar siempre protegidos por contraseñas y con una protección de bloqueo de pantalla para cuando los dejemos desatendidos.
  • Contraseñas seguras y diferenciadas: elegir contraseñas fuertes, de al menos, 8 caracteres, en los que incluyamos mayúsculas, minúsculas, números y signos. Una contraseña diferente para cada dispositivo o servicio.
  • Cifrado de datos. Cifrar aquellos documentos que consideremos sensibles para la empresa, de forma particular o mediante el cifrado de carpetas. Los propios sistemas operativos suelen incorporar herramientas sencillas para realizarlo.
  • Vigilar el email. El correo electrónico es uno de los principales medios de entrada para los ciberdelincuentes, por lo que debemos seguir ciertas normas:
    • Sospechar de emails en idiomas distintos al habitual.
    • Sospechar de emails procedentes de traducciones automáticas, con errores gramaticales o de ortografía.
    • Comprobar que la dirección sea de un remitente conocido.
    • Sospechar de los emails con saludos no personalizados.
    • Sospechar de emails que nos solicitan información personal o sensible.
    • No descargar nunca archivos adjuntos si no tenemos plena seguridad en el remitente.
    • No acceder a enlaces de webs donde nos soliciten información personal o sensible.
    • Comprobar que la firma del email sea de un interlocutor conocido y en su forma habitual.
    • No abrir emails que nos han enviado sin nuestro consentimiento previo.
    • Pasar todas las direcciones sospechosas a nuestros filtros de spam.
  • Realizar copias de seguridad. Una vez que un ataque se ha producido, las soluciones más rádicales pasan por el borrado de archivos afectados y, en los casos más graves, por el formateo completo del dispositivo afectado, con la consecuente pérdida de información. Por tanto, en la mayoría de los casos, las copias de seguridad serán la única manera de recuperar los datos perdidos en el ataque.
  • Política de mesas limpias y ordenadores apagados. No dejar información sensible en nuestro puesto de trabajo, si lo abandonamos, y cerrar todos los dispositivos al finalizar la jornada laboral. Tener también cuidado con los documentos enviados a imprimir a centros comunes.
  • Protocolos de seguridad. Como última recomendación podríamos añadir la creación de un protocolo de actuación para casos de ataque, en el que se describiera las prioridades, desde el punto de vista de la actividad de la empresa, y los pasos a seguir, antes, durante y después de un ataque. Protocolos que se adapten a cada ambito de actuación y de comprensión sencilla, por ejemplo, mediante hojas de chequeo de acciones.

Donde pedir información y ayuda

Además de los técnicos IT de la empresa y de los servicios de seguridad que nos ofrezca nuestro antivirus, existen organismos oficiales que pueden ayudarnos en temas de formación, prevención e incluso donde podemos presentar denuncias o avisos de los ataques sufridos, aquí os dejo los más cercanos:

Para terminar os dejamos estos consejos de la abuela en este video de la URJC:


Deja un comentario

Puedes usar las siguientes etiquetas HTML y atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.