Inicio / Protege tu empresa / Blog / Historias reales: ¡La carpeta con toda la información de mi negocio ha desaparecido!

Historias reales: ¡La carpeta con toda la información de mi negocio ha desaparecido!

Publicado el 21/03/2016, por INCIBE
Historias reales: ¡La carpeta con toda la información de mi negocio ha desaparecido!

Mónica y Gonzalo, son dos emprendedores del pirineo oscense que acaban de crear una pequeña empresa dedicada al turismo rural. Conocen muy bien el sector donde esta englobado su negocio y saben bien cuál es el servicio que demandan sus clientes. En esto de las nuevas tecnologías saben lo justo pero en su negocio es una pieza fundamental, así que comenzaron a utilizar su ordenador de casa para su nuevo proyecto y contrataron una conexión a internet. Tenían todo lo que necesitaban. Pero un día extraviaron sus ficheros y se pegaron un buen susto. ¿Quieres conocer lo que les paso?

Antes de abrir su negocio hicieron un estudio de mercado. Tras realizar un análisis, se dieron cuenta de la existencia de un nicho de mercado poco explotado en su zona que les venía muy bien a las características de sus alojamientos y de la estrategia de negocio que querían llevar a cabo.

Dado que el presupuesto era justo, decidieron realizar la gestión de su negocio desde un ordenador personal de sobremesa que adquirieron hace un par de años para que sus hijos pudieran realizar las tareas de clase.

Entre otras cosas, desde este ordenador gestionan una pequeña base de datos donde «apuntan» los datos de los clientes, junto a las características de las estancias, que han hecho una reserva en firme.

La comunicación con los clientes se realiza telefónicamente o por correo electrónico. En estas comunicaciones les informan de todas las dudas sobre sus alojamientos y, en muchos casos, sirve para concretar las reservas de los alojamientos.

Un buen día, revisando el correo electrónico, recibieron el boletín mensual de su asociación de alojamientos rurales. Incluía un curioso artículo de un tema que desconocían y que les produjo gran preocupación. En el artículo hablaba de la legislación que afectaba a los negocios del sector. Hablaban sobre leyes como la Ley Orgánica de Protección de Datos (LOPD) o la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), y de conceptos como «tratamiento» o «fichero» que hacían referencia a los datos personales que manejaban en su base de datos de usuarios. También se informaba de las posibles consecuencias, a modo de sanciones, que podrían derivarse de un mal tratamiento de los ficheros de datos personales de clientes.

Este tipo de cuestiones nunca se las habían planteado, así que inmediatamente, se pusieron a comprobar que tipo de datos almacenaban en la base de datos de las estancias de sus clientes. Pero al intentar abrirla, se dieron cuenta que la base de datos no estaba. El directorio de trabajo donde guardaban toda la información de trabajo no aparecía por ninguna parte. Buscaron en la papelera de reciclaje por si la habían eliminado accidentalmente y no estaba. Pensaron que podrían haber movido por error el directorio y buscaron por el resto de directorios del ordenador sin éxito.

¡La carpeta con toda la información de su pequeño negocio había desaparecido!

Pero, ¿Cómo podía ser? La noche anterior habían concretado unas reservas y todo estaba en su sitio.

¿Qué ha ocurrido?

Como el ordenador es de uso compartido con sus hijos, no es extraño que antes o después comenzaran los problemas.

Tras ponerse a investigar las causas del desastre, se dieron cuenta que el único que había utilizado el ordenador desde la última vez que se utilizó para temas de trabajo fue uno de sus hijos.

El niño había hecho limpieza de sus antiguas tareas del colegio y había borrado por error la carpeta donde se almacenaban los documentos de trabajo de sus padres.

El hecho de utilizar el mismo ordenador de trabajo para la realización de tareas las tareas domésticas es un riesgo muy importante que puede desembocar en todo tipo de problemas como el que les pasó a nuestros emprendedores.

Además de utilizar el mismo ordenador, accedían todos los miembros de la familia con la misma autenticación de usuario, por lo que los accesos no estaban controlados.

Cuando llevaron el equipo al servicio técnico para tratar de solucionar el problema y lo analizaron, vieron que:

  • tenían desactivadas las actualizaciones de seguridad;
  • el antivirus estaba caducado;
  • la cuenta de usuario que utilizaban los miembros de la familia tenía privilegios de administrador;
  • no tenían copia de seguridad de sus documentos importantes.

El simple hecho de no cumplir con estas medidas les hacía, además, no cumplir con las medidas de seguridad básicas que debían de cumplir según lo que habían visto en el boletín sobre la LOPD.

¿Qué medidas deberían haber tomado para que no sucediese esto?

Para haber evitado esto, y otros muchos problemas parecidos, tendrían que haber establecido un entorno seguro de trabajo desde el principio. Partiendo de la base de que lo ideal hubiera sido tener un portátil o PC totalmente diferente al que tenían, además deberían de haber aplicado una serie de medida de seguridad. Algunas de estas medidas son:

1. Correcta autenticación de usuarios, creando perfiles de usuario diferentes para cada tipo de uso. De esta forma, se crea un perfil para la gestión del negocio y otro para el uso personal. Estos perfiles deben estar protegidos con contraseña.

2. Actualizar el sistema operativo y todas las aplicaciones de trabajo con frecuencia.

3. Mantener actualizado el antivirus del equipo.

4. Ser muy restrictivos a la hora de instalar aplicaciones innecesarias o de riesgo, que puedan incluir malware que se instale en el dispositivo, lo que lo hace vulnerable.

5. Realizar copia de seguridad de los archivos de trabajo en algún tipo de dispositivo externo.

6. Configurar correctamente los parámetros de seguridad del dispositivo.

Respecto a los aspectos legales que les preocupaba cumplir, en el caso de nuestros dos emprendedores, tienen que cumplir con la LOPD (esta ley aplica a la mayoría de las empresas) por tener una base de datos de clientes y reservas que contiene los datos personales de sus clientes, proveedores y empleados. Pero este trámite resultó sencillo y barato frente al susto que se llevaron y el coste que les supuso (sobre todo en imagen frente a las reservas que tenían para los siguientes día ¡Tenían que volver a llamarles para volver a tomar nota de sus datos!). En muchas ocasiones, el planteamiento de este tipo de legislación, como la LOPD, y las medidas que recoge nos ayudará a evitar sustos innecesarios en la protección de uno de los principales activos: la información.

¿Qué hicieron para que no les volviese a suceder?

Aprendieron muy bien la lección, y para asegurarse que no les volviera a suceder algo parecido, consultaron el problema con su servicio técnico. Desde el servicio técnico, les indicaron una serie de medidas a tomar que les ayudo a establecer la base de un entorno seguro de trabajo y que garantizara la ciberseguridad de su empresa y que, además, les permitía cumplir con las medidas que la LOPD les obligaba.

Para ello, lo primero que hicieron fue adquirir un nuevo ordenador para utilizar únicamente en la gestión de la empresa. En él establecieron las siguientes medidas:

  • Crearon un usuario sin privilegios de administración protegido por contraseña segura para utilizar únicamente en labores de gestión del negocio
  • Configuraron el equipo para que actualizase automáticamente el equipo con las actualizaciones más importantes, y para que les mostrase aviso de otras posibles actualizaciones menores
  • Instalaron un antivirus que incluye, además del análisis del sistema en busca de virus, opciones avanzadas de seguridad (servicio de cortafuegos, protección activa de navegación, escaneo de correos en busca de virus, etc.). también configuraron correctamente las actualizaciones del mismo.
  • Comenzaron a realizar copias de seguridad semanales de los documentos de trabajo y del correo electrónico en DVD. Copias que almacenan en el almacén de suministros de sus alojamientos, para tenerlas separadas físicamente de donde tienen instalado su nuevo ordenador.

*Para ayudarte a desarrollar un plan de mejora de seguridad de tu empresa, INCIBE ha creado el "Decálogo hacia la ciberseguridad en las empresas", un conjunto de 10 pasos orientados a mejorar el nivel de seguridad de su empresa y, por tanto, a proteger tu negocio.

*INCIBE pone a su disposición una herramienta de autodiagnóstico especialmente diseñada para ayudar a la empresa a evaluar su estado de ciberseguridad y, así, poder mejorar su nivel de protección frente a posibles riesgos y amenazas.

Finalmente, pudieron recuperar la totalidad de la información. En el servicio técnico, utilizaron un programa de recuperación de datos que permite recuperar datos y restaurar ficheros borrados accidentalmente.

Tras el susto, Mónica y Gonzalo se concienciaron de la importancia de trabajar en un entorno seguro de trabajo. En poco tiempo pudieron implantar las medidas legislativas y de seguridad suficientes para poder gestionar su negocio de forma segura y sin sobresaltos.

Cada cierto tiempo revisan y actualizan las medidas de seguridad implantadas. Ahora dedican la mayor parte de su tiempo a lo que más les gusta: su negocio de turismo rural y el trato directo con sus clientes.