Durante el año pasado el 30% de las pymes españolas sufrieron algún problema de seguridad, según la información facilitada por Panda Security. Sin embargo, y a pesar de constituir el 99% del tejido empresarial español y representar el 65% del PIB, las pymes españolas todavía no son conscientes de su vulnerabilidad.
Pero las amenazas siguen extendiéndose y las pymes continúan siendo víctimas de ataques internos y externos, sin que parezca tener una solución. Pero sí la tiene, aunque, como es natural, necesita inversión para contar con expertos capaces de analizar la situación de la empresa y establecer las líneas a seguir.
El resultado de no hacerlo, además de las pérdidas económicas, es la pérdida de oportunidades, daños a la reputación, asunción de costes para eliminar el ataque y restaurar el servicio. Todo ello, combinado, debería ser suficiente para planificar la seguridad de la red empresarial.
El Plan Director
El primer paso para remediar esta situación, según orienta el Instituto Nacional de Ciberseguridad (INCIBE) en su informe Decálogo de Ciberseguridad para empresas, es elaborar un Plan Director de Ciberseguridad, que recogerá la política, normativa y buenas prácticas de la organización en esta área. En este post revisaremos brevemente esos diez pasos, pero es importante profundizar en ellos y aplicarlos con la guía que ofrece INCIBE.
Es importante tener en mente que la ciberseguridad no es, solo, definir un plan e, incluso, tampoco es aplicarlo con más o menos recursos. Hay que convertirla en un proceso inherente al negocio e integrarla en la cultura empresarial, de forma que se convierta en un hábito tanto en la planificación como en la acción.
Todo plan director de seguridad para una pyme debe realizarse bajo el paraguas de la legislación vigente. No tendría sentido que para cumplir una norma interna se saltara la seguridad legal. En España la principal legislación es la siguiente:
- Ley Orgánica de Protección de Datos, cuya evolución y actualizaciones pueden consultarse en la Agencia Española de Protección de Datos;
- Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico;
- Y la Ley de Propiedad Intelectual.
Toc, Toc. ¡Adelante! o ¿Quién es?
Llaman a la puerta. Vives en un barrio normal pero lo normal, hoy día, ya no es suficientemente seguro. ¿En serio eres de esas personas que abren el portal solo porque suena el timbre del automático? Bueno, permítenos aconsejarte que es mejor que no lo hagas. No sabes quién está entrando, si es un vecino conocido que se dejó las llaves o un caco. Sí, cada vez hay más cacos. En internet se les llama crackers; un hacker tiene los conocimientos y la posibilidad pero, a pesar de lo que se cree, no es violento ni intrusivo y su objetivo no es ilícito. De hecho, muchas organizaciones los contratan para proteger sus sistemas. El desestabilizador es el cracker y es a él a quien hay que parar. Quizá contratar un hacker de prestigio sea una buena idea para tu empresa.
De la misma forma que no permites que tu casa se convierta en la pasarela Cibeles, dejando entrar a cualquiera, tampoco lo haces en tu empresa. El control de acceso es un factor esencial para la seguridad de tus datos, archivos de clientes, proveedores… La riqueza de tu organización reside, en buena parte, en esa información.
Según una encuesta realizada por la consultora Ernst & Young, las vulnerabilidades que aumentan el riesgo de exposición a las amenazas proceden, en un 60%, de los fallos y descuidos de los empleados; un 37% tiene su origen en los accesos no autorizados.
Actualmente, el control de accesos es complejo debido a que la tecnología y la conectividad, el intercambio, acceso y depósito de datos en la nube, se encuentran en todas partes: el portátil de la oficina, el de casa, el móvil, la tablet, incluso nuestro Fitbit o cualquier otro dispositivo que aparezca en el futuro o que se conecte a un sistema, como una nevera o un automóvil, gracias al Internet de las Cosas.
Por ello hay que determinar cuál es la política de accesos que se aplicará en la organización. Esta política no se refiere, únicamente, a la identificación, autenticación, permisos y registro de los eventos que realice un usuario concreto. Va mucho más allá y es necesario establecer los procedimientos necesarios para determinar qué información está accesible y a qué perfiles, qué departamentos han de acceder a unos datos y no a otros, establecer permisos (lectura, edición, descargas de archivos sí o no…) o cómo proceder con los accesos extraordinarios, entre otros parámetros.
Perfil de un antimalware óptimo
Los virus informáticos han evolucionado tanto como la propia tecnología, como es natural. Ahora los denominamos malware y abarcan, además de los virus, otros tipos de software malicioso como los gusanos, troyanos, spyware o el adware.
El antimalware es uno de los factores esenciales que mantendrán segura a nuestra empresa y debe guardar estas características:
- Agilidad para detectar, en tiempo real, todo tipo de amenazas;
- Un buen archivo de virus activos o no activos, actualizado permanentemente.
- Antiphishing y antispam para el email;
- Realización de comprobaciones automáticas de cualquier descarga de ficheros;
- Medidas para evitar el mal uso de los recursos de la empresa;
- Filtración de páginas web y aplicaciones permitidas (lista blanca);
- Capacidad para bloquear las configuraciones de seguridad, que deben ser gestionadas por un experto, impidiendo cambios por parte de cualquier otro usuario;
- Programación de análisis periódicos.
Estos, y otros sistemas asociados a la protección cuyo detalle encontrarás en el informe de INCIBE, están dirigidos a proteger tu negocio y tu futuro. En el escenario actual de cambio en la forma de competir, con la aparición de nuevos modelos de negocio y a unas velocidades sin precedentes, las pymes han de concienciarse del valor que tiene su actividad y obrar en consecuencia. Además de tomar el tren de la transformación digital, es preciso protegerla.
Fuente: SAP Business One