El otoño pasado, Google España lanzó una campaña nacional de ciberseguridad para apoyar con inversiones el ecosistema de la ciberseguridad en España. La primera fase de esta campaña se centra en formar a las pequeñas empresas sobre las buenas prácticas de seguridad en internet, ya que la investigación ha revelado que, a menudo, las PYMEs son las más vulnerables a los ciberataques.
Las oficinas han pedido a sus empleados que se queden en casa trabajando de forma remota y, gracias a la tecnología, los trabajadores pueden mantenerse conectados pese a no encontrarse todos en el mismo lugar. Sin embargo, cuando el traslado desde una oficina protegida por cortafuegos a una vivienda se hace con poca antelación, pueden surgir algunos riesgos importantes para la seguridad de los datos de la empresa.
Los piratas informáticos se están dando cuenta de ello y lo ven como una oportunidad para aprovecharse de la confusión en torno a la pandemia de COVID-19. Según la Agencia de Ciberseguridad de la Unión Europea (ENISA), ya se ha registrado un incremento de los ataques de phishing relacionados con el coronavirus, en los que los hackers piden a la gente que facilite su contraseña u otra información personal; asimismo, están surgiendo webs falsas sobre el coronavirus a través de las cuales circulan malware, ransomware o desinformación.
Incluso antes de la pandemia, las pequeñas empresas ya eran el blanco de ciberataques, tanto por falta de recursos y de tiempo, como, a veces, por desconocimiento del problema. Según nuestro reciente informe sobre Ciberseguridad en España, un 67% de las PYMES españolas carecen de protocolos de seguridad específicos, de formación o de políticas claras sobre seguridad en internet. Muy recientemente, la Policía Nacional advirtió sobre intentos fallidos de usar el correo electrónico no deseado (spam) para introducir ransomware en los sistemas informáticos de los hospitales españoles. Afortunadamente, estos ataques han sido detectados y parados rápidamente.
Con el fin de ayudar a los empleadores de cualquier empresa, grande o pequeña, queremos explicar cuáles son las buenas prácticas que pueden implementar para la seguridad de su negocio cuando su personal trabaja de forma remota. No existen defensas infalibles frente a los ciberataques, por lo que debemos ver cada una de estas prácticas como un ladrillo para construir el muro que nos protegerá: todas ellas juntas contribuirán a mitigar los riesgos para la empresa poniéndolo más difícil a quien quiera comprometer su seguridad.
- Inicios de sesión más seguros gracias a la autenticación en dos pasos: Al configurar la verificación en dos pasos, reduces considerablemente la posibilidad de que alguien obtenga un acceso no autorizado a tu cuenta. En nuestra investigación hemos comprobado que un código SMS enviado a un número de teléfono de recuperación permite bloquear un 96% de ataques masivos de phishing y un 76% de ataques dirigidos. Asimismo, las llaves de seguridad permitieron bloquear el 100% de los ataques masivos de phishing y el 100% de los ataques dirigidos.
- Mantener los sistemas actualizados: Cuando sea posible, habilita las actualizaciones automáticas para asegurarte de contar con las últimas correcciones de seguridad y protecciones integradas frente a malware y phishing. La actualización automática debe estar habilitada para todo el software que utiliza tu empresa, así como para el CMS de tu página web. Si la actualización automática no es posible, comprueba periódicamente si hay actualizaciones disponibles. Evita el uso de aplicaciones que no ofrezcan opciones de seguridad (por ejemplo, las que no dispongan de opción de actualización).
- Guarda una copia de seguridad de la página web de tu empresa: La copia de seguridad de la web de tu empresa servirá para restablecerla y recuperar el contenido original. Si es posible, utiliza la función de copia de seguridad automática y haz varias copias (por ejemplo, una en Internet y otra sin conexión)
- Implementa el protocolo HTTPS: El HTTPS es un mecanismo que permite a un navegador o una aplicación conectarse de forma segura con un sitio web. Cuando cargas una página web en un HTTP simple, tu conexión no está encriptada, lo que significa que cualquier persona en la red puede ver cualquier información que se transmite y se recibe, pudiendo incluso modificar el contenido de la web antes de que lo veas. Por el contrario, con el protocolo HTTPS tu conexión a una web está encriptada, por lo que nadie puede espiarte y la información que envíes a la web (por ejemplo, contraseñas o datos de tarjetas de crédito) será privada.
- Formar a los empleados: La formación que proporciones a tus empleados para aprender a ser cuidadosos puede mejorar la seguridad de tu empresa. Ofrece regularmente formación y recursos, tanto generales como específicos; define normas y responsabilidades claras para los empleados (por ejemplo, cómo instalar y usar el software); diseña protocolos para informar sobre incidentes y eventos relacionados con la seguridad, como ataques de malware o phishing, y premia a los empleados que informan de dichos incidentes. Es importante disponer de pautas para el uso de las redes sociales y el tratamiento de datos sensibles (acceso privilegiado, acceso restringido por defecto y auditorías periódicas).
- Asegurar la red WIFI: Ejecuta una actualización del firmware del router. Asegúrate de tener una contraseña segura y plantéate sustituirla, si no lo has hecho en algún tiempo, por una nueva contraseña larga y exclusiva. Recuerda activar el cifrado WPA2 y habilitar el firewall del router. Si tienes empleados con conocimientos técnicos, deberían hacer que el enrutador resulte ‘invisible’. Esto se puede hacer desde el panel del router.
- Uso de los dispositivos de trabajo: Comunica a tus empleados que deben evitar el uso de los dispositivos de trabajo para actividades privadas con el fin de reducir el riesgo de phishing y malware. Durante el actual brote de coronavirus, las personas tienden a buscar información actualizada sobre la difusión del virus y podrían descargar sin saberlo archivos maliciosos que infectan sus dispositivos de trabajo. Asimismo, los trabajadores deben usar el bloqueo de pantalla incluso cuando están en casa, sobre todo si tienen hijos. Recuérdales también que no compartan información crítica de la empresa a través de conexiones no cifradas.
No olvides proporcionar a tus empleados que trabajan desde casa consejos básicos de seguridad como: tener cuidado con los correos electrónicos de phishing; asegurarse de tener el antivirus instalado y totalmente actualizado; comprobar que el software de seguridad está actualizado.
Puedes encontrar más consejos online sobre seguridad visitando nuestro Centro de Seguridad y la sección Seguridad de la Cuenta de Google. El Instituto Nacional de Ciberseguridad (INCIBE) también dispone de información útil para proteger tu empresa en este enlace.
Los comentarios están cerrados.