La transformación digital y la economía hiperconectada generan grandes oportunidades para cualquier negocio. Al mismo tiempo, sin embargo, las innovaciones tecnológicas conllevan nuevos riesgos y fuentes de preocupación para los empresarios.

Los ataques cibernéticos pueden acarrear consecuencias nefastas para la supervivencia de cualquier empresa. Con el fin de ayudar a prevenir y gestionar este tipo de riesgos, la asociación para la prevención y protección de riesgos (CEPREVEN), la patronal de las pymes españoles (CEPYME) y la del seguro (UNESPA) han elaborado la guía “Ciberriesgos: su impacto en las pymes. Prevenir, mitigar, recuperar”. Este documento acaba de presentarse al mundo empresarial.

La guía es un compendio de buenas prácticas que permitirá a las empresas conocer cómo enfrentarse a los riesgos y protegerse ante incidentes cibernéticos, minimizar su impacto, garantizar la recuperación de aquello que haya podido resultar dañado y, principalmente, asegurar la continuidad del negocio tras un ataque.

En el acto de presentación de la guía intervinieron Alberto Hernández, director general del Instituto Nacional de Seguridad (INCIBE); Gerardo Cuerva, vicepresidente de CEPYME; Pilar González de Frutos, presidenta de UNESPA; María Teresa Gómez, directora general de AMETIC; y Jon Michelena, director general de CEPREVEN.

Alberto Hernández Moreno, director general de INCIBE.
La guía puede descargarse gratuitamente desde la web de UNESPA. Este documento ha sido elaborado por profesionales del sector asegurador, especialistas en la gestión de riesgo, y trata de ser una ayuda para que la empresa pueda hacer frente a estos nuevos retos.

Su publicación se enmarca dentro de la iniciativa Estamos Seguros puesta en marcha por parte de UNESPA para divulgar la cultura aseguradora y de la prevención. La Guía estable diez elementos para reducir el impacto de dicho ataques cibernéticos.

1.- Defina y documente una política corporativa de seguridad cibernética

Elabore la política en base a un análisis de riesgos (activos, vulnerabilidades y amenazas). Incluya en la política un plan de ciberseguridad, que contemple siempre un presupuesto específico, los riesgos identificados y las medidas a adoptar como, por ejemplo, la contratación de un seguro de riesgos cibernéticos

El plan puede elaborarse tomando como base las actividades y acciones a adoptar en cada uno de los otros apartados de este decálogo. Haga un seguimiento periódico de la implantación del plan y actualícelo en consecuencia.

2.- Asegure y proteja sus datos e información

Documente y mantenga operativo y actualizado un plan de back-up (respaldo o copia de seguridad) de sus datos e información, incluyendo la configuración de los sistemas y de las aplicaciones. El plan debe incluir: relación de activos que deben respaldarse obligatoriamente, por su importancia o carácter crítico, detallando su ubicación física o virtual. Periodicidad o frecuencia de realización de la copia de respaldo y el periodo de tiempo en que deben conservarse las copias efectuadas

Verifique periódicamente que la copia de seguridad puede restaurarse sin fallos ni pérdidas, y asegúrese de que la aplicación o software de respaldo funciona. También es importante mantener actualizado y disponible el software de arranque de los sistemas. Otra cuestión que se pide es documentar y mantener un plan de clasificación, protección y utilización de la información sensible, donde se identifique

3.- Utilice las redes sociales de forma segura

Utilice un cortafuegos (firewall) para proteger la red, bien habilitando el propio del sistema operativo o instalando uno de los disponibles en el mercado (libre o con licencia). Si la empresa dispone de una red wifi, asegúrese de que esté oculta configurando el punto de acceso inalámbrico para que no transmita el nombre de la red.

Asegúrese de igual forma de proteger con contraseña (cambiando la que viene preinstalada) de modo que solo pueda acceder a ella el personal autorizado. Si es posible, configure la red wifi de manera que sus usuarios autorizados no conozcan la contraseña.

4.- Protéjase contra el malware, código malicioso

Asegúrese de que todos los equipos de la empresa están equipados con software antivirus y antispyware y que se actualizan regularmente. Compruebe que todos los equipos que puedan ser utilizados para correo electrónico están equipados con filtros antispam.

Configure sus aplicaciones para que instalen las actualizaciones automáticamente. En caso contrario, instale los parches de seguridad proporcionados por los proveedores en cuanto los reciban. Si utiliza servicios en la nube, asegúrese de que dispone de protección contra el malware, actualice los parches y mantenga el software de seguridad.

5.-Utilice el correo electrónico de forma segura

Defina una política de utilización segura del correo electrónico que incluya aspectos tales como los siguientes: no abrir mensajes si no se conoce al remitente o si son inesperados. Sospechar de los mensajes que no están dirigidos directamente a la persona destinataria o no utilizan su nombre correcto. No responder ni reenviar correos del tipo cadena (pidiendo que se reenvíe a los contactos).

Ser muy cuidadoso y precavido al hacer clic en cualquier enlace o abrir un archivo adjunto. Utilizar un filtro antispam para correo electrónico no deseado. Elimine mensajes de spam sin abrirlos No compartir la dirección de correo electrónico en línea a menos que sea necesario. Configure, si es posible, una dirección de correo electrónico diferente para utilizarla en formularios online o para transacciones.

6.- Asegure el sistema remoto y físico de los equipos

Defina una política de acceso remoto seguro a sistemas y equipos que incluya aspectos tales como los siguientes: impida el acceso o el uso de equipos por parte de personas no autorizadas Utilice contraseñas fuertes, diferentes para cada equipo o persona. Actualice (cambiar) las contraseñas periódicamente. Asegure que no se almacenan o mantienen las contraseñas en los equipos y sistemas (de forma especial en la navegación web).

Proporcionar a todo el personal acceso individual, con cuenta de usuario y perfil diferentes, no compartido. Proporcionar acceso exclusivamente a los sistemas, equipos y funciones imprescindibles para desarrollar su labor. Otorgue privilegios de administración solamente al personal estrictamente necesario. Limite o restrinja el acceso físico al hardware de equipos y sistemas. No sitúe o proteja conexiones de red en zonas de acceso público de la empresa. Almacene los dispositivos portátiles no utilizados en lugares seguros.

7.- Proteja los dispositivos móviles y la información que contienen

Evite en lo posible que los dispositivos móviles contengan información de la compañía o tengan acceso a la red. En caso contrario, protéjalos con contraseña, cifre los datos e instale en ellos aplicaciones de seguridad (contraseñas y antivirus) que eviten el robo de información Asegúrese de que tengan actualizado el último firmware, descargado del sitio web o de la aplicación del fabricante.

No utilice dispositivos móviles que no permitan protección. En caso de hacerlo, evite conectarlos a la red. Asegúrese de configurar y cambiar las contraseñas preinstaladas al utilizar un nuevo dispositivo móvil. No utilice dispositivos móviles con información de la empresa en redes wifi o con equipos públicos. Mantenga al día un sistema de registro de seguimiento de utilización o préstamo de dispositivos móviles de la empresa.

8.- Mantenga sus aplicaciones actualizadas

Asegúrese de tener actualizado todo el software de la compañía: actualice periódicamente sistemas y equipos, fijos y móviles, configurando actualizaciones automáticas o de forma manual. Mantenga y actualice las protecciones de seguridad utilizadas por su empresa. Esto puede incluir crear copias de seguridad, actualizar el software de seguridad, cambiar las contraseñas regularmente, etc.

Asegúrese de que los sistemas operativos están actualizados, incluyendo los parches proporcionados por el proveedor. Actualice los navegadores web. Verifique regularmente, e instale en su caso, el software de seguridad (antivirus, cortafuegos…). Asegúrese que los proveedores de servicios en la nube mantienen actualizados las aplicaciones contratadas.

9.- Diseñe y ponga en marcha un Plan de respuestas a incidentes

Diseñe, aplique y mantenga un plan de respuesta a incidentes, no solamente ataques, para reaccionar y responder en caso de que se produzcan, minimizar el impacto y asegurar la continuidad del negocio. Incluye normalmente puntos como identificación de activos críticos (datos, información, equipos, etc.).

Distribuya los roles y responsabilidades entre el personal de la empresa. Información necesaria (listados de contactos, teléfonos, alarmas, etc.). Forma de proceder ante un incidente o ataque. Forma de proceder ante el robo o pérdida de información.

10.- Conciencie, forme e informe a todo el personal de su compañía

Asegúrese de que todo el personal conoce sus responsabilidades en materia de ciberseguridad, así como la forma de proceder en caso de incidente o ataque cibernético. Organice regularmente campañas de información y concienciación del personal de la compañía en materia de ciberseguridad: utilización de equipos y dispositivos.

Políticas de contraseñas, correo electrónico, técnicas de ingeniería social (phishing, etc.). Uso de redes sociales y navegación web. Tipos de ataques más comunes (phishing, ransomware, etc.) Forme sobre las políticas de seguridad en red a todo el personal que tenga acceso a Internet o a la red interna.

ALD/Confilegal