El 20% de las brechas de seguridad de las pymes las generan los propios trabajadores
En un mundo cada vez más digitalizado, la mayoría de las pymes subestiman la importancia de la información que manejan a diario. Por ejemplo, los datos de sus cuentas bancarias, el registro fiscal con sus proveedores y trabajadores, o incluso los datos personales de cada uno de ellos. Sin embargo, y aunque cada vez existe una mayor conciencia sobre el peligro que supone los hackers, muchas veces olvidamos que el 20% de las brechas de seguridad de las pymes las generan los propios trabajadores.
Tabla de Contenidos
Por ello, “es importante comprender que la ciberseguridad es una responsabilidad compartida. Tanto las empresas como los individuos tienen un papel que desempeñar en la protección de nuestros datos y sistemas informáticos”, reflexiona Hervé Lambert, Global Consumer Operations Manager de Panda Security.
No obstante, las pymes deben empezar a asimilar que necesitan herramientas de cifrado de datos en sus sistemas informáticos. Es importante tener en cuenta que este tipo de aplicaciones supondrán un elevado ahorro de los costes que se producirán cuando la empresa sufra un data breach. Es decir, si unos ciberdelincuentes acceden a la información sensible de una compañía, o si incluso alguien pierde un móvil o un ordenador con datos importantes.
En este sentido, el ciberexperto menciona la importancia de una educación en el uso de sistemas e infraestructuras de la empresa para evitar aperturas de riesgo involuntarias dentro de la propia organización, lo que se conoce como insiders accidentales. “También existen insiders negligentes, cuando se actúa de manera inadecuada esperando que no se convierta en un ciberataque o, los insiders maliciosos, personas que actúan con la intención de perjudicar a la organización”, recalca.
En medio de este contexto que afecta a todo el tejido empresarial, surge el Día Europeo de la Protección de Datos, una oportunidad perfecta para reflexionar sobre la importancia de la educación en ciberseguridad y cómo podemos mejorar nuestra protección contra los ciberataques.
Todo conocimiento que nos acerque a una mayor comprensión del funcionamiento de los sistemas y sus riesgos sirve para mejorar, cualitativa y cuantitativamente, la protección sobre nuestra vida laboral y privada. Acciones tan simples como el uso de contraseñas débiles, la inercia de un clic a un enlace malicioso u olvidar crear parches de seguridad pueden suponer la puerta de entrada de un hacker a nuestra empresa.
La educación en esta materia es necesaria para asegurar el cumplimiento de las regulaciones y leyes de protección de datos. Concretamente el Reglamento General de Protección de Datos (RGPD) de la Unión Europea en 2018, por el cual las empresas adquieren responsabilidades legales para proteger la información personal de los individuos. Una buena gestión de esta seguridad beneficia a las empresas, no solo para cumplir con estas regulaciones, sino para evitar posibles multas por incumplimiento.
Estas son las “puertas preferidas” de los hackers para atacar a las pymes
Por tanto, si después de haber pagado una multa, encima un hacker accede a datos sensibles de una pyme, es probable que incluso tenga que echar el cierre. Es por ello, que hay que tener en cuenta los tres puntos de acceso a los datos sensibles de cualquier empresa que muchas veces pasan por alto.
Contraseñas débiles. Por lo general, las pymes usan contraseñas débiles o incluso la misma contraseña para todo. Y no nos referimos “solo” a aquellas claves de acceso a aplicaciones online. En muchas ocasiones se comparte el mismo código para las tarjetas de crédito, las cajas registradoras y el candado de la bicicleta.
“Según nuestros cálculos cada trabajador tiene una media de 25 cuentas que necesitan alguna autenticación. Si la contraseña es débil, un ciberdelincuente podría, no sólo esquilmar las cuentas de la empresa. Además, podría colarse en su casa o robarle la bicicleta”, advierte Hervé Lambert .
El clásico “pinché sin querer”. Recibimos tantos mensajes por medio de tantas aplicaciones al día, que en ocasiones, hacemos clic o pulsamos cualquier enlace por pura inercia. Los hackers lo saben y, por eso, nos bombardean con SMS, emails e incluso Whatsapps para llevarnos a webs fraudulentas. “Es importante contar con soluciones de ciberseguridad para bloquear este tipo de mensajes. Sobre todo porque cuando hayamos pinchado en el enlace o se haya descargado el archivo malicioso, se eliminen y no dejen rastro”.
No actualizar la seguridad de los dispositivos. Al igual que recibimos miles de mensajes, también estamos sobresaturados de actualizaciones en nuestros móviles que consumen la memoria física. Sin embargo, en gran parte de los casos, estas actualizaciones llevan parches de seguridad para eliminar nuevas vulnerabilidades.
Cuando nos olvidamos o de forma deliberada preferimos no actualizar nuestros sistemas operativos, estamos dejando una puerta abierta perfecta para que un equipo de ciberdelincuentes entre a nuestra empresa por la puerta de atrás.
El plan de acción para securizar a las pymes
Desde Panda Security hemos actualizado un plan de acción para tomar medidas que refuercen la defensa y seguridad de la privacidad y protección de los usuarios, proveedores y clientes:
Capacitación y educación en ciberseguridad de la plantilla: Un equipo que siga las mismas líneas de aprendizaje y actuación ante posibles amenazas cibernéticas contribuye, de manera real, a la protección holística de los datos de la empresa. “En este sentido y, tal y como ya hemos recomendado otras veces, es adecuado establecer un plan de prevención, acción y seguimiento en ciberamenazas. Así como también realizar formaciones continuas en este ámbito. Desde los altos cargos hasta los más técnicos”, señala Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Protección de dispositivos móviles: El incremento del uso de dispositivos móviles para realizar nuestro trabajo diario, lo pone en el foco de muchos ciberataques. Cada vez son más las empresas que entregan a sus empleados estos dispositivos única y exclusivamente para manejar datos sensibles de la empresa y que suelen, además, estar vinculados a los sistemas y ordenadores operativos de la misma. “Es muy importante proteger la información almacenada en estos aparatos y no hacer un uso de ellos que no sea solo el laboral, ya que podría conllevar la filtración de otros sistemas”, comenta Lambert.
Políticas y procedimientos de seguridad: Es un requerimiento base que las empresas tengan políticas y procedimientos de seguridad en su lugar para proteger la información de la empresa. Este tipo de políticas deben incluir medidas de seguridad para proteger la información confidencial, como la encriptación de datos y los controles de acceso.
Respuesta y plan de contingencia: Es importante tener un plan de contingencia en su lugar para responder rápidamente en caso de un incidente de seguridad. “Esto incluye medidas para continuar las operaciones críticas de la empresa y para minimizar el impacto de un incidente”, comenta Hervé Lambert.
Incorporación del perfil de analista de riesgos: En la actualidad, todo empresario sabe que el gasto en programas y perfiles que lleven a cabo un análisis de los riesgos para identificar las posibles ciberamenazas a la seguridad de la información de la empresa, “no es un gasto, es una inversión inteligente y estratégica”, puntualiza Lambert. La identificación de amenazas potenciales amplía el tiempo y la calidad de la toma de medidas para mitigarlas.
Seguridad de la red y continua actualización de software: Es importante que las empresas tengan una red segura para proteger la información de la empresa. Esto incluye medidas como el uso de firewalls, el monitoreo de la red y la detección de cualquier fuente que se considera no bienvenida o intrusa. Es importante mantener todos los sistemas y programas de la empresa actualizados para evitar la explotación de las vulnerabilidades conocidas. “Y por redundante que suene, cambiar periódicamente todas las contraseñas, como también utilizar el factor de doble autenticación”, Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Gestión del control de acceso: Un rol fundamental, ya esté automatizada por algún programa o ejecutado de manera manual, es llevar un un control riguroso sobre quién tiene acceso a la información de la empresa, y asegurarse de que solo dispongan de él las personas autorizadas.
Conciencia de seguridad: Organismos como INCIBE pone a disposición de las empresas varios manuales sobre protección de la información, un kit de concienciación e, incluso, un juego de rol para comprobar si el empleado está preparado para actuar en caso de una ciberamenaza.
Asesoramiento especializado en ciberseguridad: “No es de extrañar que muchas empresas estén apostando los últimos años por la contratación de personas con expertise en ciberseguridad para ayudar a identificar y mitigar los riesgos”, reflexiona Lambert.
Desde Panda Security ofrecemos servicios informativos y divulgativos para el cumplimiento del RGPD, como el módulo Panda Data Control. “Y siempre, siempre, apelamos a incentivar no solo a empresas, sino al usuario final, a que adquiera conciencia de que la protección de su vida digital empieza por la prevención de la misma, a través de su educación”, finaliza Hervé Lambert, Global Consumer Operations Manager de Panda Security.