Inicio / Protege tu empresa / Blog / Ciberseguridad para pymes paso a paso

Ciberseguridad para pymes paso a paso

Publicado el 22/10/2013, por INCIBE
pymespasoapaso

Toda la información que maneja un negocio tiene valor, no solo para el empresario, sino también para otros, como por ejemplo para la competencia o para el crimen organizado. Siempre pensamos: —mis datos no son interesantes para los demás, o — ¿quién va a obtener beneficio con mis datos, proyectos, desarrollos...? Pero no podemos olvidar que si algo tiene valor para otros, está en peligro.

La seguridad al 100% no existe, los equipos fallan, las amenazas cambian continuamente y cometemos errores. No obstante, el peligro es real y no va a desaparecer, pero podemos reducirlo.

Además, las consecuencias pueden ser muy graves con importantes daños económicos y de imagen. Según un informe de Kaspersky las pérdidas por un incidente grave suponen de media para las pymes alrededor de 38.000 €. Además las multas por incumplimiento de la LOPD y la LSSI-CE también pueden resultar caras (hasta 600.000 €). 

Hace un año el CESG (Communications-Electronics Security Group), el análogo británico al Centro Criptológico Nacional Español CCN, junto con su departamento del gobierno para empresas, BIS (Business Innovation & Skills), publicaron una guía«10 steps to Cyber Security» con los pasos que una pyme debería seguir para cuidar de su seguridad en el ciberespacio. Nos ha parecido interesante y a modo resumen indicamos a continuación su contenido.  Estos son los primeros pasos a seguir para cuidar de la seguridad TIC de tu negocio:

  1. Comprende y gestiona tus riesgos

    Decide quiénes (o quién) serán los responsables de gestionar los riesgos de seguridad TI en tu empresa. Elige qué nivel de riesgo estás dispuesto a aceptar. Recuerda los consejos de nuestro reciente post «Si no inviertes en seguridad corres un alto riesgo».

    Elabora una Política de Seguridad que describa, paso a paso, qué estás dispuesto a hacer para gestionar los riesgos. Revísala al menos cada año para asegurarte que se ajusta a tus riesgos. Distribuye las responsabilidades de seguridad TI entre tus colaboradores y asegúrate que comprenden y asimilan su importancia.

  2. Actualiza tu software (configuraciones seguras)

    Haz un inventario con todos tus activos de tecnologías de la información (instalaciones, equipos, hardware, software,...) para ser consciente de lo que tienes y de su valor. Pon al día los sistemas operativos, el software, el firmware, etc. con parches y actualizaciones tan pronto como salgan.  Puedes activar la opción de «actualización automática» durante la instalación de muchos paquetes software. Asegúrate de que tienes licencias de todo el software instalado.

    Revisa periódicamente las debilidades de tus sistemas, por ejemplo, mediante un análisis de vulnerabilidades (para empezar puedes utilizar alguna herramienta gratuita) o, si tu equipamiento es más complejo, con una herramienta de pen testing valorando si has de contratar un equipo especializado y profesional. Al menos hazlo una vez al año o cuando realices algún cambio importante de hardware o software.

  3. Protege tu red

    Protege tu red contra ataques externos e internos. Comprueba si el dispositivo que conecta tu organización a Internet, el router que te ha proporcionado el proveedor de Internet (ISP del inglés: Internet Service Provider), incluye cortafuegos, que va a permitir controlar las conexiones de red del acceso a Internet. Si no es así instala uno o una suite de seguridad que incluya esta funcionalidad para tus equipos. Sigue las instrucciones del fabricante para mantenerlo bien configurado y actualizado. Permanece alerta de los mensajes que te vaya indicando. Consulta con un experto si sospechas que tu red ha sido comprometida o si observas una actividad poco habitual.

  4. Instala defensas contra el malware

    Utiliza en todos los equipos de la empresa un antimalware (algo más que un antivirus),o un paquete de seguridad con esta funcionalidad. Utiliza todas las prestaciones (antivirus, antispyware,...) que te ofrezca el paquete, aunque para ello haya que cambiar algunos hábitos. Asegúrate de que el escaneado se realiza al menos cada día y configura la herramienta para que se actualice automáticamente.

  5. Gestiona el acceso a tus sistemas (privilegios de usuario)

    Para controlar el acceso a los sistemas y equipos utiliza nombres de usuario y contraseñas. Cerciórate de que los empleados utilizan contraseñas seguras, y que no las apuntan en papel o las comparten con otros usuarios. Limita los privilegios de administración de sistemas a quienes realmente sean administradores. Asegúrate de que los empleados sólo tengan acceso a las carpetas que necesiten para su trabajo. Mantén los datos sensibles (contabilidad, nóminas, clientes, estrategia,...) separados y vigilados.

  6. Controla los dispositivos extraíbles (pendrives, discos,...)

    Permite exclusivamente el uso de CD, DVD, USB, tarjetas SD o cualquier tipo de memoria flash que proporcione tu administrador de sistemas.  Vigila su uso, dónde están, quién los tiene e, idealmente, que contienen. Asegúrate que permitan cifrado y de que son escaneados para detectar malware cada vez que se usen. Muchos paquetes antimalware tienen la opción de analizar los dispositivos y medios extraíbles.

  7. Monitoriza tus redes y servicios

    Para detectar posibles fallos de hardware o actividad inusual en tu red o en los dispositivos que se conectan a Internet, es indispensable monitorizarlos, para empezar puedes utilizar alguna herramienta gratuita de monitorización o de análisis de protocolos. Si dispones de una red compleja deberías plantearte utilizar herramientas comerciales de control de tráfico de red que incluyen análisis de tráfico, uso de IP, etc. Asegúrate que los empleados avisan al responsable de seguridad ante cualquier actividad inusual que detecten y de que el analista dispone de los planes y experiencia para actuar ante estos fallos.

  8. Enseña buenas prácticas (sensibilización y formación de usuarios)

    Asegúrate que toda la plantilla conoce y aplica la Política de seguridad y de que se insiste en su importancia en el protocolo de admisión de nuevos empleados. Incluye el cumplimiento de la Política como una clausula en los contratos.  Recuerda periódicamente a tu plantilla las buenas prácticas de seguridad, especialmente cuando cambia la Política o los riesgos.

    Si tu empresa utiliza Redes Sociales asegúrate de que la plantilla está al tanto de cómo se han de comportar en las mismas cuando representan a la empresa y de que existen documentos que no se pueden compartir (sensibles o sujetos a propiedad intelectual). Puedes seguir como referencia la Guía para empresas: identidad y reputación online de INTECO.

  9. Controla los dispositivos móviles de trabajadores

    El uso de dispositivos móviles privados o corporativos (teléfonos, tabletas,…) para uso profesional es cada vez más habitual pero siembre debe tener la aprobación del responsable de seguridad. Como mínimo nos aseguraremos:

    • que tienen un antimalware instalado y actualizado
    • que usan PIN, contraseña u otro sistema de autenticación
    • que están cifrados
    • que podemos rastrearlos y borrarlos remotamente en caso de pérdida o robo

    Los empleados informarán inmediatamente al responsable de seguridad en caso de pérdida o robo para que los datos puedan ser eliminados a la mayor brevedad.

  10. Gestiona los incidentes y la continuidad del negocio

    Cualquier evento, como un ataque de malware, pérdida o corrupción de datos, robo de portátiles, catástrofe, fallo crítico,... que interfiera con la actividad normal del negocio es un incidente. Decide, redacta y aprueba, qué hacer y qué no hacer en caso de que ocurra. Prueba que este plan funciona. Puedes seguir la Guía práctica para implantar un Plan de Continuidad de Negocio. Obtén ayuda y experiencia, externa si fuera necesario, para tratar con los incidentes. Si no dispones de ella, identifica a quién puedes llamar. Para aprender de la experiencia registra cada incidente, sus causas, lo que ha costado recuperarse y cómo prevenirlo en el futuro.

Estos 10 pasos son los esenciales y seguro que muchos ya estás aplicándolos. Para otras situaciones particulares recomendamos también estas guías de Inteco:

Etiquetas: 
Buenas prácticas
Empresa
Políticas
Artículos relacionados
Carteles con flechas Reactiva-Proactiva
INCIBE | 07/03/2023
¿Por qué adoptar un enfoque proactivo en nuestra organización?
Manos con imagen de correo electrónico
INCIBE | 28/02/2023
Los riesgos y las medidas de seguridad del correo electrónico
Lupa buscando personas
INCIBE | 21/02/2023
Qué es el egosurfing y cómo practicarlo en mi empresa