Ciberriesgos: Guía básica para prevenirlos (II parte)

ciberriesgos-2-1

En nuestra anterior publicación hablamos de los ciberriesgos a los que se enfrentan las empresas de cualquier tamaño, haciendo especial énfasis en las pymes al ser las que habitualmente están más protegidas. En esta segunda parte vamos a hablar de cómo prevenir los principales ciberriesgos y qué nos puede ofrecer un seguro específico en este campo.

 

Guía de buenas prácticas para prevenir ciberriesgos

1. Cumplimiento legislativo.

Las empresas deben cumplir las medidas de custodia y protección de los datos personales que manejen (entendiendo por tales todos aquellos que no corresponda a una empresa. Por ejemplo, el teléfono de una empresa o su e-mail no son datos personales, pero el móvil de un empleado o directivo y su e-mail sí lo son). Estas medidas están reflejadas en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y en el Reglamento UE 2016/del Parlamento Europeo y del Consejo (RGPD) que amplía y modifica algunos aspectos de la citada Ley.  Dado que las medidas contempladas en ambos documentos legislativos están ampliamente disponibles en internet, no vamos a profundizar en ello aquí. Recomendamos visitar la web de la Agencia Española de Protección de Datos para obtener información fiable.

Además, las empresas que presten servicios o vendan productos a través de internet están sujetas a lo dispuesto en la Ley de Servicios de la Sociedad de la Información (LSSI), que añade requerimientos adicionales en materia de protección de la privacidad y los datos de los usuarios o clientes, estableciendo reglas muy estrictas para, por ejemplo, el uso de correos electrónicos para el envío de promociones o información comercial. 

2. Protección mediante software.

Disponer de un buen programa antivirus, permanentemente actualizado y que realice un escaneo rutinario de todos los sistemas en busca de virus o malware es un elemento básico de protección que toda empresa debe tener. Estos programas suelen incluir firewalls que cierran los puertos de acceso para impedir intrusiones no deseadas en el sistema. Si se cuenta con un departamento de informática propio o externo, es necesario que exista una persona responsable de la ciberseguridad con formación específica para controlar y combatir posibles amenazas.

3. Actualización de sistemas operativos y aplicaciones.

Los sistemas operativos con los que funciona cualquier ordenador están compuestos por millones de líneas de código, por lo que todos ellos presentan vulnerabilidades.  Los fabricantes de estos sistemas operativos suelen publicar actualizaciones periódicas que parchean los fallos de seguridad conforme se van detectando. Por tanto, es importante instalar TODAS las actualizaciones de los sistemas. En cuanto a las aplicaciones o programas que utilicemos, también pueden tener vulnerabilidades y no todos se actualizan automáticamente. En algunos casos tendremos que pagar una cuota mensual o anual por mantenerlos actualizados, y en otros tendremos que chequear regularmente las webs de los proveedores de estas aplicaciones para ver si se han publicado actualizaciones de seguridad.

Esto es especialmente importante en el caso de los drivers, que son programas incorporados en el sistema operativo que se encargan de que los diferentes periféricos y componentes de un ordenador funcionen. Habitualmente las webs de los fabricantes de los ordenadores publican las actualizaciones de dichos drivers, e incluso los modelos más modernos disponen de buscadores automáticos de actualizaciones.

4. Copias de seguridad.

La realización de copias de seguridad de los archivos más importantes debe ser una rutina habitual, diaria en la mayoría de los casos. Estas copias deben almacenarse en dispositivos externos, no conectados de forma permanente a la red de la empresa y guardarse físicamente en un entorno controlado, de acceso restringido y resistente al fuego. En caso de sistemas más complejos (por ejemplo, servidores propios), es conveniente contratar un servicio de mirroring que nos permita disponer de una copia remota de nuestros sistemas en los servidores de una empresa especializada.

5. Hosting externo.

En la inmensa mayoría de los casos, las empresas contratan sus servicios web a través de empresas de hosting. Es importante conocer bien qué servicios ofrecen en materia de seguridad, atención al cliente (debe ser siempre 24 horas), protección de datos personales, etc.

Aspectos importantes en este campo, que además son una garantía extra para los usuarios (y que Google tiene en cuenta para posicionar nuestra web):

  • Cualquier web que recoja algún tipo de dato, aunque sea un simple formulario de contacto, debe contratar el protocolo de seguridad SSL que encripta los datos (son las webs que en lugar de por http:// empiezan por https:// y que los navegadores identifican como “sitios seguros”).
  • Es conveniente valorar, si manejamos una cantidad importante de datos o tenemos una tienda online con alto tráfico, tener un servidor dedicado (es decir, una máquina física que el proveedor de hosting tiene sólo para nosotros). No compartir máquina con otras empresas puede ahorrarnos más de un disgusto.
  • El contrato con la empresa de hosting debe incluir todas las cláusulas legales referidas a la protección de datos personales, ya que ellos serán los que se encargarán de la custodia física de los mismos, por lo que deben hacerse responsables en ese ámbito.
  • Aunque la mayoría ya lo hacen, debemos valorar que el propio servidor proporcionado por la empresa de hosting (especialmente el servidor de correo electrónico) cuente con sistemas de protección frente a virus y ‘spam’.

6. Contraseñas.

Una de las mayores vulnerabilidades en las empresas, y de las más explotadas por los ciberdelincuentes, es la gestión de las contraseñas. Para evitar problemas, las contraseñas no deben almacenarse en lugares accesibles ni anotarse en sitios no protegidos. De hecho, no deberían anotarse en ninguna parte.

Una buena contraseña no debe ser una palabra, sino una combinación de letras, números y caracteres especiales. Debe tener un mínimo de 8 caracteres (es recomendable que sean más) y la mejor manera de protegerlas es memorizarlas usando reglas nemotécnicas (por ejemplo, si quiero que mi contraseña sea “CORREDURÍA” puedo transformarla en C_0rr3dUr%A).  Las contraseñas deben cambiarse cada mes como mínimo, y se pueden establecer reglas lógicas para su cambio (por ejemplo, C_0rr3dUr%A_A01 para enero, C_0rr3dUr%A_B02 para febrero, etc.), siempre que estas reglas no sean conocidas por terceras personas ni demasiado obvias.

En caso de sospecha de que una contraseña haya podido quedar expuesta o comprometida, ésta debe cambiarse inmediatamente por una completamente distinta, cambiándose también las reglas para su actualización por otras distintas. 

7. Redes Wi-Fi.

Del mismo modo que en el punto anterior, de nada sirve tener un sistema muy avanzado de seguridad si luego la contraseña de la red Wi-Fi de la empresa es “12345678” o el nombre de la empresa. Esto es especialmente importante porque el alcance de las redes Wi-Fi puede ser mayor que el ámbito de nuestra oficina, y si alguien desde fuera consigue acceder a ella tendría una puerta abierta para poder entrar en nuestros sistemas. Por eso es conveniente disponer de una Wi-Fi para invitados y de otra interna, ésta última con un nombre (SSID) que no se relacione directamente con la empresa o que esté oculto. Actualmente la inmensa mayoría de routers Wi-Fi permiten configurar más de una red con un único punto de acceso.

Una medida de seguridad adicional si se cuenta con una red propia gestionada por un servidor es no permitir el acceso de ningún dispositivo no autorizado, aunque esté conectado a la red. Esto puede hacerse de varias formas y es una medida de seguridad adicional altamente recomendable, aunque implicará que cualquiera que nos visite y desee conectarse a nuestra red precise de una autorización previa por parte del administrador del sistema para poder hacerlo. 

8. Correos electrónicos.

La inmensa mayoría de virus informáticos se propagan a través del correo electrónico, por lo que existe una serie de precauciones básicas que se deben seguir a rajatabla por todo el personal de la empresa:

  • No utilizar el correo de la empresa para usos o asuntos personales (suscripciones, darse de alta en tiendas online, entrar en redes sociales, etc.).
  • Pensárselo dos veces antes de descargar y abrir un archivo adjunto, incluso si procede de un remitente de confianza (podría estar infectado y no saberlo). Se debe pedir confirmación ante cualquier archivo adjunto no solicitado o sospechoso.
  • A no ser que se esté completamente seguro, jamás descargar o abrir un archivo con la extensión .exe (archivos ejecutables). Y estar completamente seguro significa haber confirmado con el remitente que efectivamente ese archivo es seguro y escanearlo con el antivirus antes de abrirlo.
  • Sospechar de cualquier correo que, aunque nos llegue de un remitente de confianza, tenga un enlace a una web y un contenido genérico (cosas como “esto es lo más divertido que has visto nunca” o “creo que esto podría interesarte”). Nunca hacer clic en enlaces no solicitados.
  • Ningún banco o empresa grande te va a pedir jamás que introduzcas una contraseña en un correo electrónico o que pinches en un enlace donde debes introducir una contraseña o datos bancarios. Generalmente se trata de casos de ‘phishing’ que nos llevan a una web que es aparentemente igual que la de, por ejemplo, el banco. Cuando nos llegue un correo de nuestro banco pidiéndonos que entremos en una web determinada, conviene comprobar la URL a la que se nos quiere redireccionar. Si yo trabajo con el Banco de Saturno y su web es bancosaturno.es, puedo encontrarme con una URL del tipo “http://www.3w3e.ru/bancosaturno”. Nunca abras este tipo de enlaces. En cualquier caso, no nos cuesta nada llamar al servicio de banca electrónica y confirmar que ellos nos han remitido ese correo.
  • Ojo con los archivos adjuntos en PDF, Excel o Word. También pueden estar infectados por virus.

9. Redes sociales

La gestión de las redes sociales de la empresa debe estar en manos de especialistas, bien internos o bien contratados externamente. Es mucho lo que la empresa se juega en términos de reputación. Ningún directivo, ante una crisis de reputación, debería obrar por su cuenta sin tener una reunión de crisis y decidir qué estrategia seguir, siempre aconsejados por profesionales.

Cuando se comete un error en redes sociales no basta con borrar la publicación. A esas alturas, si han pasado más allá de unos pocos minutos, ya habrá sido copiado y replicado. Siempre que borremos algo que hemos publicado debemos explicar qué ha pasado y, sobre todo, pedir disculpas. Explicar lo que ha pasado significa decir la verdad. Cosas como “alguien ha hackeado mi cuenta” normalmente no son ciertas y además no cuelan.

Las redes sociales de los directivos de la empresa NO deben tratarse como redes sociales privadas, incluso si su acceso es restringido. Hay ciertas cosas y opiniones que simplemente un directivo no debe decir jamás en público. Y no hay nada más público que las redes sociales.

10. Basura y papeleras.

Las empresas que manejen datos personales tienen la obligación de destruir de forma irrecuperable todos los documentos escritos que contengan esos datos antes de tirarlos a la papelera. Las destructoras convencionales de documentos (los que los convierten en tiras de papel) NO garantizan la irrecuperabilidad de los datos. Lo más conveniente es enviarlos a empresas externas que los incineran o utilizar destructoras de documentos que reducen el papel prácticamente a polvo. Sin embargo, cuando no se trata de datos personales se tiende a “relajar” estas normas, lo cual puede ser un error fatal. La basura es una valiosísima fuente de información para los amigos de lo ajeno.

11. Introducción de datos en webs de terceros.

Antes de suscribirnos a algún servicio o realizar una compra online, debemos leer el Aviso Legal o Condiciones de Uso de la web para saber qué garantías nos dan y a qué se comprometen. Aquí hay varias cosas a tener en cuenta:

  • Por lo general, nunca introducir datos en ninguna web que no empiece por https:// ya que esto significa que nuestros datos pueden ser interceptados por terceros al no estar convenientemente encriptados.
  • Cuando hacemos clic en un enlace que nos lleva a un formulario de contacto, especialmente si vamos a introducir datos bancarios, verificar que la URL principal no ha cambiado. Si estoy comprando en amazon.com, el formulario para introducir mis datos también debe empezar por amazon.com/xxxx. En caso de que la URL cambie (por ejemplo, si me lleva a amazzon.com/xxxx) no introducir nada, ya que el sistema de esa web puede haber sido hackeado.
  • Asegurarnos de que, a la hora de cobrar, la empresa utiliza un sistema de cobro seguro (TPV virtual). Generalmente en estos casos nos pedirá algún tipo de código, contraseña o confirmación a través del móvil.

12. Cuidado con llevarse trabajo a casa en el portátil.

Los descuidos en el manejo de información sensible, sobre todo por parte de directivos o técnicos, pueden darnos más de un disgusto. Descargarse archivos importantes en un portátil para trabajar en casa, donde nuestra red puede ser vulnerable, puede ser un error grave. Los ordenadores portátiles de trabajo deberían tener medidas de seguridad asimilables a las del resto de la compañía y no utilizarse para otras funciones.

Resumiendo:

Aunque no están todos los que son, sí son todos los que están. Es decir, el uso de la tecnología en las empresas ya es habitual en todos los departamentos. Además, cada vez hay menos dispositivos “aislados” de la red. La incorporación de la robótica, el Big Data, Blockchain, realidad virtual y simulación 3D y otras muchas tecnologías del “Internet de las cosas” es una tendencia que no va a hacer más que crecer, y con ella la exposición de las empresas a los ciberriesgos.

El asesoramiento profesional es clave, pero también la cobertura de esos riesgos con un seguro adaptado a las necesidades tecnológicas de las empresas. Nuestro próximo post, y último de esta serie, estará dedicado a las diferentes coberturas, posibilidades y ventajas que estos seguros aportan a las empresas.