Despachos de profesionales, la ciberseguridad llama a vuestra puerta

Fecha de publicación 08/11/2018
Autor
INCIBE (INCIBE)
Imagen de acompañamiento

Los despachos de profesionales se han convertido en un objetivo muy apetecible para los ciberdelincuentes, debido en gran medida al tipo de información que manejan. Ésta suele ser confidencial con datos especialmente sensibles como documentos de identificación personal, datos bancarios, informes médicos, etc. A todo esto, hay que añadir que una gran cantidad de despachos de profesionales son pymes, objetivo más fácil de atacar que si se tratara de una gran organización con su propio departamento de informática especializado en salvaguardar su principal activo, la información.

Fugas de información y otros riesgos

Son varios los riesgos a los que tiene que hacer frente un despacho de profesionales. Pero hay uno que destaca en gran medida por las graves consecuencias que podría generar para la organización: la fuga de información.

Una fuga de información puede producirse de varias formas: accidentalmente, de forma intencionada por un miembro de la organización o «insider», o por medio de un ataque externo perpetrado por ciberdelincuentes. Esto suele producirse debido a la inexistencia de controles de seguridad a nivel organizativo, como la falta de medidas de control de acceso o de clasificación de la información.

Otra de las causas más comunes por las que suele producirse una fuga de información es por no llevar a cabo buenas prácticas relacionadas con el uso del correo electrónico o los sistemas en la nube. Contraseñas débiles, enviar un correo con información confidencial a otro destinatario o abrir adjuntos en correos electrónicos sin haber comprobado antes el remitente o la posible existencia de malware, son solo algunos ejemplos de cómo se puede comprometer la seguridad de una organización.

Los despachos de profesionales tampoco están exentos de sufrir un ataque de ingeniería social como es el del falso soporte técnico o que utilicen la web corporativa de la organización para alojar malware o un phishing con el que llevar a cabo todo tipo de fraudes.

Todos estos riesgos pueden tener consecuencias muy graves para la organización, ya que su reputación está en juego, por ello es necesario llevar a cabo una serie de buenas prácticas y requisitos legales para salvaguardar su seguridad.

Buenas prácticas y requisitos legales

El principal objetivo es proteger la información y los sistemas que la gestionan, ya que son los elementos primordiales sobre los que se sustenta la organización. Para conseguirlo habrá que aplicar una serie de buenas prácticas y políticas de seguridad que aumenten el nivel de seguridad.

  1. Utiliza métodos de autenticación robustos para acceder a los sistemas en la nube, al correo electrónico y a cualquier otra herramienta que uses en tu día a día. En caso de ser posible, activa el doble factor de autenticación.
  2. Establece una política para clasificar la información que gestionas en función de su criticidad. Este punto es especialmente importante, ya que no toda la información debe tratarse de la misma forma.
  3. Implanta medidas de control de acceso para que únicamente acceda a la información quien debe. Además, realiza copias de seguridad periódicas y comprueba que es posible su restauración.
  4. Mantén siempre los sistemas y herramientas que utilizas actualizados, ya que de esta forma, además de contar con las últimas funcionalidades, harás uso de los últimos parches de seguridad.
  5. Utiliza herramientas antimalware en todos los dispositivos que utilices y vigila los correos electrónicos que recibes, sobre todo, si contienen enlaces o archivos adjuntos, ya que pueden ser maliciosos.
  6. Conciencia a todos tus empleados en ciberseguridad, es la principal herramienta para prevenir cualquier incidente de seguridad.
  7. Aplica una política de gestión de incidentes, de acuerdo al Reglamento General de Protección de datos o RGPD: cualquier organización que sufra un incidente de seguridad debe notificarlo a la autoridad competente y a los afectados en un máximo de 72 horas, si los datos afectados entrañan un riesgo para su privacidad.

Garantizar el éxito presente y futuro en un despacho de profesionales dependerá en gran medida de la confianza generada entre sus clientes. Una organización que sufra fugas de información y no sean gestionadas de forma correcta, no contará con la confianza de los mismos y sin ésta, el negocio no se mantiene. Apuesta por la ciberseguridad, cuida tu organización y cuida a tus clientes.