Entradas

ciberseguridad

7 pasos para ponerte a salvo de un ciberataque

El ciberataque del pasado viernes contra miles de empresas de todo el mundo ha vuelto a poner el foco en la vulnerabilidad digital. Telefónica y más de un centenar de multinacionales del mundo han sufrido una extorsión que no les suena raro a muchas pymes españolas. El cibercrimen se está expandiendo como la espuma en los últimos años. A pesar de no estar rodeado de tanta expectación mediática como el ataque de la semana pasada, lo cierto es que estos secuestros de datos a cambio de dinero, extorsiones y robo de información son cada vez más habituales entre los más vulnerables. Las pequeñas compañías. En 2016, el 32% de las pymes españolas sufrió un ciberataque, según el International Business Report de Grant Thornton.

Si la suya no es una de esas compañías, la pregunta que debe hacerse, según los expertos, es: ¿cuándo me va a tocar a mí? Resignados a lo que parece inevitable, el esfuerzo debe concentrarse en tratar de minimizar los daños de cualquier intento de abordaje informático hostil.

Por supuesto, decirlo es mucho más fácil que aplicarlo. El viernes que se produjo el ya famoso ataque de ransomware, Microsoft no tardó informar que el virus estaba atacando a una debilidad de su software e informaba de que el parche para “tapar” esa debilidad estaba disponible. Esto que para Chema Alonso, el famoso hacker contratado por Telefónica, pudo ser clave para frenar el ataque.  Pero seguro que esas indicaciones sonaban a chino en muchas pymes en las que el informático suele ser un colega del jefe que de vez en cuando se pasa por la empresa para “dar un repaso a los ordenadores”.

Dando por sentado que, aunque no debería ser así, la informática y la ciberseguridad no son las prioridades de muchas pymes, hay una serie de recomendaciones que hay que tener siempre muy presentes para guardar a buen recaudo la información más importante de la compañía.

 

1.- Ordenadores con antivirus. Sí, parece de Perogrullo, pero ocurre en más pymes de las que sería deseable: hay ordenadores con el antivirus sin actualizar. Eso que parece un descuido sin demasiada importancia es vital como primer muro de contención contra los continuados ataques informáticos que arrecian cada año. Más de 105.000 contra las pymes durante 2016, según los datos de Instituto Nacional de Cibersguridad (Incibe). Eso sí, tampoco hay que pasarse e instalar 10 como hacen algunas empresas. Con uno bueno es suficiente.

2.- Contraseñas cuidadas. Otro básico como el anterior. Increíble pero cierto, todavía hay contraseñas en el mundo empresarial, del tipo abc, o 1234. Que la pereza por pensar un poquito y utilizar alguna que otra neurona para la memoria no consigan ponérselo tan fácil a los hackers. Aquí sí, cuanto más rebuscada mejor, hasta que se generalicen los accesos vía lectura del iris del usuario o a través de la huella dactilar que ya usan algunas entidades financieras.

3.- Copias de seguridad guardadas en el cajón de la abuela. Aunque los términos puedan parecer contradictorios es la mejor de las decisiones. Hay que hacer copias de seguridad de manera periódica. No solo una, sino varias. Y de todas ellas, una debe ir a un lugar totalmente desconectado de internet. Esa será la tabla de salvación más segura para recuperar toda la información tras un posible ataque.

4.- Apostar por la nube. En este blog ya hemos hablado en muchas ocasiones de los beneficios de la nube para las pymes. Sin olvidar el consejo anterior. Alojar los archivos clave de una compañía en la nube, cada día se plantea como un requisito más imprescindible. Cualquier proveedor de alojamiento en la nube tiene sistemas e informáticos más capacitados para velar por la seguridad de los datos que albergan. Más que nada porque esa y no otra es la base de su negocio.

5.- Actualizar y actualizar y volver a actualizar. “Hay una nueva actualización disponible”. Quién no se han encontrado esta frase al abrir el ordenador y ha dicho. “Uff ahora no tengo tiempo”. Pues aunque suene repetitivo, cada vez que un proveedor de software envía este tipo de actualizaciones lo hace para “parchear” alguna fisura en la seguridad de los programas que suministra. No parase a actualizar significa dejar un poco más abierta la puerta a los ciberdelincuentes.

6.- Formación y concienciación de los empleados. No, no hay que estudiarse un tratado de informática. Solo aplicar el sentido común. El buzón del correo electrónico hay que gestionarlo de la misma forma que se gestionan las relaciones personales. Y todos los directivos y empleados de la empresa deben tener esto muy claro. El Instituto Nacional de Ciberseguridad Español (Incibe) asegura que el mayor riesgo de las empresas no está en los ataques externos, sino en las prácticas de riesgo de los propios empleados.

Estos deben saber que hay que ser tan precavidos en sus comportamientos virtuales como en la vida off line. Es la manera más segura de actuar. Por ejemplo, imagine que se encuentra a alguien en el metro y le dice, ¿me podrías dar tu email y te envío cositas? ¿Cómo reaccionaría? Probablemente espantado. De la misma manera hay que actuar cuando un desconocido en Internet o en redes sociales solita información personal.  Hay que huir de mails de desconocidos y mucho menos si en ellos te invitan a pinchar en algún link. Por supuesto, ni que decir tiene si la información que solicita es algún dato personal como: emails, contraseñas, números de cuenta.

7.-Redes sociales. Se han convertido en una herramienta clave para las estrategias de marketing de las pymes. Pero también son un peligro de alto voltaje para la seguridad digital. Es el lugar donde es más natural interactuar con desconocidos que pueden tratar de colocar algún tipo de virus en las empresas a las que, por ejemplo, quieran robar datos. Aunque el principal problema al que se enfrentan las empresas en las redes sociales es la suplantación de identidad y los perfiles falsos que pueden dañar su imagen y los equipos de sus clientes.

 

Además de estos consejos básicos, todas las empresas deberían actualizar sus protocolos de seguridad y atender a la formación especializada que el Incibe está impartiendo para las pymes. Tampoco está de más repasar su Kit básico de concienciación.

hacking_etico

El hacking ético, un modelo de ciberseguridad cada vez más habitual

Hoy en día prácticamente todas las empresas, ya sean grandes, medianas o pequeñas, tienen un nexo de unión con las nuevas tecnologías y el entorno digital. Un medio que ofrece infinidad de ventajas pero que también abre puertas a nuevos riesgos, como los ciberataques: caída de sistemas, robos de bases de datos, desaparición de secretos industriales…

Los ciberataques

A cierre de 2015, España era el tercer país del mundo donde más ciberataques se registraban, unos 70.000 incidentes según el Ministerio de Asuntos Exteriores. Por eso, parece que no es baladí invertir recursos en la protección de los equipos informáticos que guardan en su interior datos sensibles de la compañía. Mucho más si ésta se mueve a nivel internacional, algo cada vez más frecuente. Y se traslada tanto en softwares eficaces contra las infecciones como en profesionales especializados en la materia.

Este último caso, mucho menos económico pero más efectivo, está recomendado para aquellas corporaciones cuya supervivencia depende del correcto funcionamiento de sus sistemas o de la información que guarda en ellos: servidores, servicios en la nube, patentes, propiedad intelectual e industrial o bases de datos son sólo algunos ejemplos.

El equipo

No se trata sólo de contar con un buen equipo de especialistas informáticos que ponga sus esfuerzos en gestionar de forma óptima las distintas redes de una compañía. También existen profesionales centrados en la ciberseguridad capaces de descubrir los ‘puntos flacos’ de los sistemas y de trazar un plan que tape esos agujeros que ponen en peligro a nuestra empresa.

Se trata de los llamados hackers de sombrero blanco o hackers éticos, que ya están muy presentes en aquellos sectores críticos para mantener los servicios básicos de nuestro día a día: luz, agua, telecomunicaciones, banca, transportes. Éstos realizan pruebas en sus propios ciberespacios para detectar vulnerabilidades y poder corregirlas antes de que ocurra un ciberataque. De esta manera se combate al ciberdelincuente con sus mismas armas.

¿A quién se debe recurrir?

El empresario debe ser muy consciente de que el hacker al que vaya a contratar tendrá acceso a todo tipo de información confidencial para poder evitar ciberataques, así que se recomienda tener plena confianza en el profesional o en la empresa proveedora de servicios. También sería pertinente formalizar un contrato con todo tipo de cláusulas que penalicen con dureza al experto informático si filtra o emplea para su beneficio propio datos de la compañía.

La mayoría de los especialistas en la materia aseguran que, a la hora de decantarse por uno de estos hackers, es mejor elegir a alguno que trabaje para reconocidas compañías de seguridad informática. O que, al menos, cuenten con las certificaciones pertinentes, emitidas por entidades de sobrada reputación. Cualquier precaución es poca cuando se trata de la seguridad de nuestro negocio.

¿Cómo pueden ayudarnos frente a ciberataques?

La pericia de estos profesionales puede salvarnos no sólo de pérdidas de información que repercutan en nuestra cuenta de resultados. También nos evitará una caída de reputación, denuncias y falta de credibilidad por no haber evitado la filtración de, por ejemplo, datos sensibles de clientes.

Y para muestra, un botón: ¿recuerdan aquella plataforma web que invitaba a cometer infidelidades de manera premeditada y con todo tipo de garantías de seguridad y privacidad para mantener al usuario en el anonimato? Pues hace unos meses sus sistemas sufrieron un ciberataque. Se filtraron los datos de todos sus clientes y ahora éstos sufren la extorsión de determinadas mafias, que amenazan con desvelar sus secretos. Por supuesto, la compañía tuvo que cerrar.

Quizás sea éste un caso muy extremo en ciberataques, algo oscuro, pero no hay que olvidar qué tipo de datos guardan ciertas compañías sanitarias, farmacéuticas o de investigación de salud humana. Muy sensibles, relacionados con ensayos de nuevos fármacos, en los que los resultados de los pacientes deberían ser sólo números anónimos. ¿Cómo afectaría un ciberataque a una corporación de este calado? O a las empresas editoriales, discográficas, cinematográficas, ¿qué repercusiones tendrían si un hacker entrase en sus sistemas y robase gigas y gigas de propiedad intelectual?

Son sólo ‘pequeños’ ejemplos en un océano de casos. Hoy por hoy, prácticamente todas las empresas están en internet, y es importante saber protegerse para poder seguir adelante con el negocio.

blindar_comunicaciones

Claves para blindar las comunicaciones de tu empresa

blindar_comunicacionesLos últimos cambios de WhatsApp sobre confidencialidad y cifrado de conversaciones han vuelto a reabrir el debate sobre la vulnerabilidad cibernética a la que estamos sometidos ciudadanos y empresas, y sobre todo, a lo inocentes que todavía somos en la utilización de las nuevas tecnologías.

No importa las veces que nos hayan contado que hay programas que permiten escuchar el sonido de una habitación a través del teléfono aunque el aparato esté apagado; o que existen softwares que envían lo que vemos en el ordenador a otro terminal en cualquier parte del mundo. Ni las innumerables alertas sobre correos electrónicos que al abrirlos roban la información del disco duro. Todavía seguimos pensando que esos son problemas que les ocurren a otros o pasan en otras empresas más importantes.

Pero que nuestras conversaciones acaben donde no deben, o que nuestra empresa sea víctima de los hackers es una amenaza cada vez más real. Según el Instituto Nacional de Ciberseguridad (Incibe), en España se registraron más de 50.000 ataques informáticos en 2015, recogiéndose casos en todos los sectores. Esta cifra suponía un incremento del 177% respecto al año anterior y revela no sólo una mayor prevalencia en los ataques sino una constante evolución en los métodos empleados y en la virulencia de los efectos que provocan.

Solo en 2015, las pymes acumularon el 59% de los ataques de “spear phishing”, según recogía hace unos meses un artículo del diario ABC. En él, los expertos consultados también advertía de que la empresas medianas y pequeñas son “un blanco para las estafas telemáticas”. ¿El motivo principal? La falta de prevención.

Para remediarlo conviene empezar por aplicar unas pautas muy básicas.

 

  • Identificar al enemigo. Y no, no siempre es un hacker que quiere esquilmar a la empresa. A veces, muchas, el riesgo está dentro de la empresa: empleados que con intención, o a veces sin ella, exponen los secretos más íntimos tanto financieros como organizativos.

 

  • Utilizar páginas https, servidores seguros y sistemas de autentificación que no sean permeables a terceros.

 

  • Establecer dentro de la compañía niveles de acceso determinados a la información que se maneja, obligando a los empleados a firmar acuerdos de confidencialidad que reconozcan que los ordenadores y cuentas de correo son propiedad de la empresa.

 

  • Si se desempeña alguna actividad de comercio electrónico, es imprescindible contar con pasarelas de pago seguras que cifren la información y den máxima seguridad a los clientes a la hora de realizar pagos telemáticos.

 

  • Evitar que se guarde el historial de navegación que se hace en un ordenador, de modo que nadie pueda rastrear información. Para lograrlo, hace ya algunos años se diseñó Tor, un sistema que permite cifrar la comunicación entre ordenador y servidor.
  • Diseñar un perímetro de seguridad o firewall para prevenir ataques externos y accesos no autorizados. En este sentido, cada vez es más frecuente en las empresas que se acojan a redes privadas virtuales (VPN, según sus siglas en inglés).
  • Y por último, pero no por ello menos importante: colaborar con los malos. Sí, la última tendencia de las grandes empresas y a la que ya se están sumando las pymes estadounidense se llama bug bounty programs. Como explica la web Ticbeat, se trata de poner a disposición de los hackers blancos o ‘buenos’ todo el sistema informático de la compañía para que detecten las vulnerabilidades del mismo a cambio de incentivos. Es algo así, como pagar al ‘malo’ por adelantado y así tenerlo controlado. Si no puedes con el enemigo únete a él, es la máxima que domina esta tendencia. Todo vale con tal de mantener la reputación y la información empresarial a resguardo.
identidad_digital

Cómo proteger la identidad digital

franquicias_en_espana_restauracionEl mundo digital ofrece una gran cantidad de posibilidades y ventajas a las empresas, tanto en el funcionamiento interno como en la relación con sus clientes. Sin embargo, también conlleva serios peligros que es necesario evitar, poniendo en práctica una buena estrategia de ciberseguridad para que ningún hacker pueda entrar en el sistema y evitar, así, (o al menos minimizar) los intentos de robo, manipulación de datos y  fraudes. El elemento central de esta estrategia es la identidad digital.

 

La identidad digital es un asunto clave para garantizar el funcionamiento de cualquier negocio que pretenda aprovechar las ventajas de internet y comercializar sus productos y servicios a través de la red. Los expertos señalan que se trata de un factor que también se está reconociendo como un diferenciador de negocio, ya que permite que los consumidores y empleados accedan fácilmente y de forma segura a sus datos desde cualquier dispositivo, a través de múltiples redes, aplicaciones y canales.

 

Pero los delincuentes también saben que muchas empresas no toman las suficientes medidas de seguridad en este proceso. Conocen perfectamente sus debilidades e intentan aprovechar cualquier resquicio que les permita suplantar una identidad digital e introducirse fraudulentamente en los sistemas para cometer actuaciones fraudulentas. Estos resquicios pueden encontrarse en un ordenador, en una tableta, en un teléfono móvil o en cualquier otro dispositivo electrónico que, en un momento dado, se haya conectado sin las suficientes garantías, sin claves, a través de redes abiertas, etc.

 

El asunto no es baladí, ya que los fraudes cometidos por los cibercriminales que se apropian de una identidad digital ajena pueden suponer pérdidas millonarias al cabo del año para muchos negocios. Además, el riesgo económico no es el único daño, ya que hay que tener también en cuenta el serio perjuicio que cualquier actuación de este tipo supondría para la imagen de las compañías ante sus clientes y el público en general.

 

Para evitar que todo esto suceda, es conveniente implementar una adecuada estrategia de ciberseguridad. Eso sí, ésta debe pasar por aunar en un mismo sistema centralizado todas las medidas adoptadas y olvidarse de una estrategia muy utilizada hasta ahora, consistente en que cada departamento o sección tomaba sus propias medidas, lo que restaba eficacia al conjunto del negocio y a las diferentes actuaciones con empleados, clientes, proveedores, socios, etc.

 

El mercado ofrece múltiples soluciones de ciberseguridad que simplifican el proceso y permiten conseguir esta centralización. Muchas firmas tecnológicas comercializan soluciones flexibles para ayudar a cualquier empresa a combatir los peligros relacionados con la identidad digital. Gracias a ellas, estas empresas pueden controlar cómo sus empleados, clientes y socios autorizados acceden a la información y a los servicios que se hayan determinado previamente. Algunas de estas soluciones incluyen una serie de componentes comerciales y de código abierto; y proporcionan elementos escalables que tienen muy en cuenta las áreas críticas y las diferentes sensibilidades de cada departamento o negocio.

seguridad_datos

Vigila la privacidad de tus datos y la credibilidad de tu empresa

Hace unos días comentábamos en este blog los riesgos que tienen las pymes de ser objetivo de los cibercriminales. Como decíamos no hacer falta ser el propietario del secreto de la Coca-Cola para sufrir un robo de datos o un ataque cibernético. Más allá de la de cada empresa para blindarse ante estos problemas, los estudios de Instituto Forrester han detectado que hay una demanda creciente de los consumidores por preservar la seguridad de sus datos personales.

En otras palabras, que si una compañía no es capaz de construirse una credibilidad suficiente en materia de seguridad informática es probable que en un futuro no muy lejano tenga problemas con su clientela o simplemente no tenga clientela.

La advertencia que lanzan desde Forrester no es nimia. El artículo, firmado por Thomas Husson, se titula “Construir confianza o morir”. En él, dedica buena parte de su contenido a alertar de creciente interés de los usurarios que compran a través del móvil de mantener bajo control sus datos y su privacidad, pero también hace referencia a un tema que resultará crucial para las pymes: los cambios legales que va a implicar esta tendencia.

No está demás pararse a pensar en esta advertencia y empezar a actuar. Esperar a que una ley exija acción puede ser demasiado tarde puesto que en ese tiempo la confianza de los consumidores puede haber desaparecido y el negocio también.

“Es fundamental para las marcas y vendedores, en los ecosistemas de datos y marketing, para evolucionar sus prácticas de negocios, y para construir la confianza”, advierte Husson. Es decir, liga la supervivencia de las marcas a su capacidad de generar confianza. Un reto en el que toda empresa que tenga proyecto a futuro debería comenzar a trabajar desde ahora mismo. Eso no quiere decir que tenga que desembolsar ingentes cantidades de dinero para blindarse ante hackers, simplemente actuar con ética y transparencia en los procesos de gestión de datos y en sus estrategias de gestión del denominado big data, del que también hemos escrito en Asesoresdepymes.

Los expertos en marketing y los analistas informáticos han consensuado algunas de las claves para construir esa necesaria confianza cuando se trata de gestionar datos en internet.

Para ello, hay que explicar con exactitud el motivo por el que la empresa solicita los datos, sobre todo cuando se exige a los clientes una identificación personal.

Identificar la tecnología y los pasos que está adoptando la compañía para evitar ataques de hackers. Todo el mundo sabe que la seguridad máxima es un imposible. Pero que una empresa esté tomando medidas genera confianza ante sus procesos y es un elemento distintivo frente a otras que no lo hacen o que no comunican que lo hacen.

Explicar el destino de los datos, y la gestión de big data que se hace con ellos. ¿Qué van a hacer con mi dirección personal? ¿Enviarme publicidad? ¿De qué? ¿Se van a vender esos datos a otras empresas? ¿Para qué? Si todo esto queda clarificado, la decisión de ceder datos no generará tantas reticencias como ocurre ahora.

Finalmente, un tema clave son los incentivos. ¿Qué gano yo con esto? El consumidor es cada vez más consciente de que sus datos son valiosos y por lo tanto busca el mejor postor para ellos. Es muy útil explicarles que los datos que suministran ayudan a categorizar mejor el servicio que se les presta. De esa forma solo van a recibir aquella información sobre los productos o servicios que realmente les son interesantes. Es el poder del big data lo que hay que transmitir también a los clientes.

Con toda esta información al alcance de los clientes, al menos, nos aseguramos la transparencia en nuestra forma de actuar. A la larga, sin duda repercutirá en la necesaria credibilidad de la marca.

segu

Convertir los ciberriesgos en ciberseguridad

Ninguna empresa se salva de los ciberriesgos, por muy grande que sea la compañía y por muchas inversiones que haya realizado en sofisticados sistemas de seguridad. Pues bien, las pymes –que cuentan con menos recursos y presupuesto- están aún más expuestas a estos peligros, que pueden trastocar muy seriamente la evolución del negocio y generar serios e irreparables problemas. Además de crear disfunciones en la operativa diaria, los ciberconflictos son capaces de derivar en serias consecuencias como poner en jaque a los sistemas de información, crear litigios de propiedad intelectual, complicar el cumplimiento normativo, dañar la reputación, provocar la pérdida de clientes…

 

Solo hay una forma de evitar todos estos problemas: convertir los ciberriesgos en ciberseguridad. Y para lograrlo, todas las empresas deberían tener en cuenta los siguientes pasos:

 

Determinar los riesgos. Lo primero es conocer al enemigo. Entre los riesgos a tener en cuenta se encuentran los ciberataques, la caída de de redes e infraestructuras, la paralización de las comunicaciones, el robo de datos, la violación de la privacidad, el incumplimiento de la propiedad intelectual, el chantaje y la extorsión, los fallos en la red…

 

Controlar los instrumentos sensibles. Algunos piensan que solo las empresas de e-commerce han de preocuparse seriamente por los ciberriesgos. Sin embargo, todas las compañías pueden tener problemas relacionados con ellos o caer en las redes de los ciberdelincuentes. Y es que todos estos peligros pueden llegar a través de un ordenador, una tablet o cualquier otro dispositivo electrónico conectado a internet; y hoy en día trabajar sin ellos sería inconcebible en cualquier compañía.

 

Aplicar la defensa a todas las áreas y proyectos. Las medidas de ciberseguridad deben ser aplicadas a todas las áreas y proyectos que se realicen en cualquier momento. Es decir, no solo a los mecanismos de funcionamiento ordinario de la empresa, sino también a ámbitos tan dispares como el desarrollo de nuevos productos, la compra de compañías o la ampliación del negocio a nuevos territorios y países.

 

Formar a los directivos. El conocimiento de los ciberriesgos y de los elementos de ciberseguridad no tiene porqué ser una cuestión específica de los directores de tecnología, sino que su conocimiento debe extenderse a los principales directivos de la empresa, especialmente al CEO, al director financiero, al director jurídico, al director de riesgos y al de recursos humanos.

 

Establecer defensas cibernéticas. Los antivirus no son suficientes para evitar todos los ciberriesgos, sino que cada empresa debe definir una estrategia específica y equilibrada para hacer frente a todos los peligros que tiene por delante, así como un estricto y eficaz plan de actuación y seguimiento. Además, ha de procurar salvaguardar siempre de forma especial los datos más críticos para el negocio y la viabilidad futura de la firma.

 

Testar el sistema. Los riesgos acechan continuamente y evolucionan de forma constante. Por eso, es necesario comprobar si realmente las defensas que se han establecido funcionarán con eficacia ante las nuevas amenazas que van surgiendo. Para ello, es conveniente evaluar de forma periódica la protección, tanto interna como externamente, realizar pruebas de intrusión y establecer un sistema de puntuación de ciberseguridad.

 

Crear un plan de respuesta ante incidentes. A pesar de todas las medidas de seguridad, puede ocurrir que un ciberriesgo consiga penetrar en la empresa y se convierta de pronto en una amenazante realidad. Para evitar mayores consecuencias, la compañía debe estar preparada en todo momento y contar con un plan de contingencia eficiente que disponga de  medidas reactivas capaces de limitar los daños.