Si todavía eres de los que piensan que tu negocio no interesa a los hackers y por tanto, no corre el riesgo de ser víctima de un ciberataque…lo sentimos: el 70% de los ataques informáticos que se produjeron en España en 2016 –alrededor de unos 115.000, según estimaciones del Instituto Nacional de Ciberseguridad (INCIBE) - estabann dirigidos a pymes (más del doble de los 50.000 incidentes atendidos en 2015).

Hay que tomar conciencia de que la información de nuestra empresa (sobre producto, clientes, empleados, metodología…) es uno de nuestros activos más valiosos, por lo debemos protegerla adecuadamente, realizando para ello una inversión en ciberseguridad –no entendida necesariamente como un mero gasto ni como un gran desembolso económico- ya sea en plantilla o como servicio subcontratado, para que mediante buenas prácticas, medidas y herramientas, en un corto/medio plazo, se genere confianza en nuestra práctica empresarial hacia clientes y proveedores y, al mismo tiempo, nos revista de seguridad interna mejorando nuestros procesos operativos.

Te proponemos un sencillo ejercicio de autorreflexión: realmente, ¿crees que tu pyme es inmune a un ciberataque?

 Tecnología

Dependiendo de los tipos de tecnología que utilices en tu empresa, ya sea correo electrónico, página web, dispositivos móviles (portátiles, smartphone, tablet,…), deberás sopesar los riesgos y posibles vulnerabilidades.

El mantenimiento y actualización de los sistemas informáticos y de las aplicaciones es clave: antimalware, antivirus, cortafuegos, actualización del software de seguridad, entre otras muchas medidas. Por ello, es recomendable realizar un inventario de todos los activos tecnológicos (hardware y software) y, al menos, varias veces al año, revisar sus posibles debilidades y actualizaciones.

Además, hay que hacer cada poco tiempo copias de seguridad (backups) y comprobar que las mismas funcionan.

En el caso de que se esté usando correo electrónico gratuito (Gmail, Hotmail, etc.) para la actividad profesional, habrá que valorar la posibilidad de contratar un servicio en el que tenga el control sobre su confidencialidad, integridad y disponibilidad.

Si nuestra pyme dispone de página web, tendremos que tener al día el software de dicha página web, ya que muchos ciberataques ocurren aprovechando vulnerabilidades del mismo. Las consecuencias de un incidente en la web de nuestra empresa podría incluso originar la pérdida o fuga de datos personales de clientes, derivándose éste en un tema de responsabilidad legal.

Si se permite el acceso remoto a las redes y servicios de la pyme, es también recomendable tener un buen sistema de control de acceso virtual, monitorizarlo y tenerlo actualizado.

Es muy habitual que los empleados de una empresa utilicen dispositivos móviles, tanto privados como corporativos, en sus servicios profesionales. En dicho caso es necesario que estos tengan la aprobación de los responsables de seguridad y asegurarse que tienen un antimalware instalado y actualizado, que están cifrados, que se pueden rastrear y borrar de forma remota en caso de extravío o robo y que los empleados informarán de cualquier problema.

Lo más común es que nuestra empresa esté presente en las redes sociales (Twitter o Facebook…) ya sea como canal de comunicación, como instrumento de marketing, publicidad,… pues bien, debemos utilizar estos canales con cuidado, vigilando el lenguaje, el tono, la información que se divulga, etc.

 Personas

Como medida primordial debes controlar el acceso físico a las dependencias de tu empresa, ya sea mediante el uso de tarjetas o llaves de acceso, elementos físicos que bloquean la entrada (por ejemplo, tornos o puertas con control de acceso), cámaras o incluso guardias de seguridad.

Pero también es importante controlar quién entra y dónde, en la red de sistemas informáticos de la empresa. Por ello los empleados deben disponer de nombres de usuario y contraseñas, siendo muy recomendable que cada cierto tiempo se obligue a cambiar la contraseña. El administrador de sistemas será quien limite estos usos por los empleados indicando en qué carpetas podrán trabajar y supervisando la política de gestión de contraseñas.

Otra medida importante es establecer un control de los dispositivos extraíbles (USB, tarjetas SD o cualquier tipo de memoria flash) que se utilicen y vigilar el contenido de los mismos.

En definitiva, lo que hay que conseguir es que nuestros propios empleados sean conscientes de la magnitud del problema que podría acarrear una brecha de seguridad informática. Es por ello, que la gran medida de defensa activa es implementar una política de concienciación y formación en ciberseguridad (charlas, cursos, etc.) y aplicarla.

 Conclusión

Podemos concluir que las pymes son y serán objetivo de los ataques y agresiones digitales, por lo que una pieza clave será determinar quién es el responsable de gestionar la ciberseguridad en nuestra empresa; alguien entre cuyas habilidades esté la de poseer un amplio conocimiento técnico y legal, configurándose como una figura de control.