Lo que las pymes tienen que saber en materia de seguridad

Se acaba el año y además de hacer balance, no está de más reflexionar en torno a la seguridad, cada vez más crítica. Check Point aporta su granito de arena y acaba de hacer público un decálogo de recomendaciones clave para frenar el hostigamiento creciente que vive el mercado pyme, que se han convertido en los objetivos preferidos por los ciberdelincuentes debido a su menor tamaño. Sin embargo, poseen información y recursos de gran valor para los atacantes.

Un reciente informe de Verizon demuestra que las pequeñas empresas raramente son capaces de recuperarse de un ciberataque; “sin embargo, existen sencillas prácticas en materia de seguridad que muchas veces se olvidan o se pasan por alto y que puede ayudar sobremanera a poner una barrera más robusta que dificulte el hostigamiento de los hackers”, asegura Mario García, director general de Check Point.

No utilizar contraseñas comunes: Las contraseñas representan la primera línea de protección en materia de seguridad y por eso las pymes deben asegurarse de usar contraseñas largas, de al menos ocho caracteres, y complejas, es decir, que incluyan minúsculas, mayúsculas, números y caracteres no alfanuméricos.

Proteger cada entrada: Todas las vías de acceso a la red deben de ser revisadas. Esto incluye asegurarse de tener contraseñas seguras en portátiles, smartphones, tablets o puntos de acceso WiFi. También, utilizar la funcionalidad de prevención de amenazas del firewall, asegurar los terminales, como portátiles o PCs de escritorio con software específico (antivirus, antispam y antiphising), así como alertar a los empleados para que no conecten dispositivos USB desconocidos en los recursos de la empresa.

Segmentar la red: Una forma de proteger la red es dividiéndola en zonas y protegiendo cada una de ellas de forma adecuada, delimitando, por ejemplo, aquella destinada a trabajos críticos. Los entornos públicos como los servidores web no deben tener acceso a la red interna y se debe establecer un acceso apropiado para invitados.

Definir, educar y reforzar políticas: Muchas pequeñas empresas no tienen una política de seguridad. Es necesario establecer una política clara de uso para las páginas web, redes sociales, así como para aplicaciones permitidas o no permitidas. No permitir aplicaciones de alto riesgo (como clientes Bit Torrent o P2P) y bloquear TOR y otros sistemas de anonimato deben ser una prioridad.

Concienciarse sobre las redes sociales: Los cibercriminales las usan para obtener información de las personas y mejorar así sus ratios de éxito al atacar. La ingeniería social y el phishing comienzan con la recolección de datos en estos entornos por lo que es necesario educar los empleados para ser cautos a la hora de compartir información en las redes.

Encriptarlo todo: Asegurarse de que todos los datos sensibles están cifrados, lo que engloba, por ejemplo, sistemas de encriptación en el pre arranque de portátiles, adquirir discos duros y llaves USB con encriptación, así como usar sistemas de encriptación robustos en la redes inalámbricas (considerar sistemas como WPA2 con encriptación AES) o usar sistemas VPN (redes privadas virtuales).

Mantener la red: Hacer un mantenimiento regular de la red asegura la eficacia de todas las medidas. Esto implica revisar que los sistemas operativos de los portátiles y servidores están al día (funcionalidad Windows Update activada), actualizar el navegador, así como el componente Flash en aplicaciones Adobe y activar actualizaciones automáticas cuando sea posible (Chrome, Firefox, etc). Usar dispositivos equipados con sistemas IPS es recomendable también para evitar ataques en portátiles sin actualizar.

Ser cuidadosos con el Cloud: Si se usan sistemas Cloud, asumir que el contenido que se envía dejará de ser totalmente privado, por lo que se ha de cifrar antes de enviarlo, incluyendo copias de seguridad. Comprobar la seguridad del proveedor Cloud y no usar la misma contraseña para estos sistemas son otras recomendaciones que se han de tener en cuenta.

No dejar que cualquiera sea Administrador: El acceso Administrador ofrece a los usuarios mayor libertad, pero estos privilegios son un riesgo para la seguridad. No se debe permitir que los empleados utilicen usuarios con privilegios de Administrador para su trabajo diario, y es necesario limitar el número de empleados con acceso mediante una cuenta de usuario para reducir la probabilidad de infecciones con software malicioso.

Asumir la tendencia BYOD: Crear una política específica para el entorno “Trae tu propio dispositivo” (BYOD) y considerar, por ejemplo, reforzar el bloqueo de contraseñas en los dispositivos de los empleados, activar el modo invitado (sólo navegación) o no permitir almacenar información sensible en dispositivos personales.