Los ciberataques pueden suceder en cualquier momento. Aunque durante las vacaciones los empleados pueden bajar la guardia y los ciberdelincuentes aprovechan para poner en peligro los datos de la empresa. ¿Qué herramientas tecnológicas y buenas prácticas pueden servir para prevenir, detectar y minimizar riesgos en época vacacional?

La pandemia y la inestabilidad socioeconómica han puesto a prueba a las empresas no solo por la crisis sanitaria, económica y social, sino también por provocar una digitalización acelerada para todo tipo de negocios, en tiempo récord. 

Pero durante las vacaciones de verano, se puede dar la situación de que las empresas bajen la guardia al proteger sus sistemas, programas y datos. Esto las hace más vulnerables a los ciberataques: los ciberdelincuentes aprovechan la relajación o la falta de vigilancia en materia de seguridad y el aumento de los accesos en remoto para atacar y hacerse con información empresarial sensible. 

Por ello es importante mantener medidas de ciberseguridad para empresas. Algunos ejemplos de estas medidas son asegurarse de que los equipos están siendo utilizados correctamente, gestionar contraseñas seguras, realizar copias de seguridad y estar alerta. 

La implementación de una estrategia y el uso del software de ciberseguridad pueden ayudar a evitar que un ciberataque durante el período de vacaciones termine con el secuestro de datos o de los sistemas, la fuga de información y que la empresa sea víctima de una ciberestafa. Este artículo abarca cómo la ciberseguridad para empresas se puede trabajar desde tres pilares principales: las personas, los procesos y la tecnología. 

La importancia de contar con un plan de ciberseguridad empresarial

Según datos de Telefónica Cyber Security Tech al hablar sobre el reto de la ciberseguridad en España, el 60 % de las pymes que sufre un ataque desaparece en menos de 6 meses tras el incidente. Desde el punto de vista económico, además, cada ataque tiene un coste medio para la empresa de 35 000 euros, aparte de una pérdida de prestigio.

Entender la naturaleza de las amenazas de ciberseguridad permite a las empresas proteger la información propia, la de los clientes y a sus empleados. Algunas de las tipologías de ciberataques más habituales, según la guía de Gartner sobre qué es ciberseguridad (artículo en inglés), son las siguientes:

La información personal y bancaria son el objetivo habitual de los ciberdelincuentes. Hasta las empresas más pequeñas gestionan datos personales, contraseñas de acceso a servicios de banca y financieros, así como cuentas bancarias de sus clientes o de sus proveedores.

Ventajas de adoptar medidas de ciberseguridad para empresas durante el verano

La ciberseguridad en un negocio es importante todo el año, si bien es cierto que durante las vacaciones de verano puede haber menos personal disponible para proteger y actuar ante amenazas, infracciones o brechas de seguridad.

Algunas de las ventajas de apostar por medidas de ciberseguridad en las empresas, especialmente durante las vacaciones de verano, son las siguientes:

• Protección de información crítica del negocio y salvaguarda de la propiedad intelectual, para garantizar que a nivel operacional todo pueda seguir funcionando a pesar de detectarse o producirse un ciberataque. 
• Defensa contra daños a la reputación corporativa. Un ciberataque puede erosionar la confianza de los clientes, pero si la empresa adopta medidas puede demostrar su compromiso a la hora de proteger los datos de los clientes.
• Ahorro de costes, a nivel financiero y de reparación de los daños en datos y sistemas. Tal y como se ha mencionado anteriormente, un ataque puede costar de media 35 000 euros a la empresa y poner en peligro la viabilidad del negocio.
• Protección de los empleados y del robo de identidad. Contar con medios para verificar la identidad se puede considerar a día de hoy una prestación o beneficio para la compañía, ya que contribuye al control del fraude.
• Cumplimiento de regulaciones como el Reglamento General de Protección de Datos, u otras normativas que obliguen a tomar medidas de ciberseguridad para proteger datos sensibles. Así se pueden evitar multas o acciones legales.

¿Para qué sirve y cómo puede ayudar el software de ciberseguridad a las empresas?

Además de software específico para gestionar la propiedad intelectual, la reputación, la identidad y el GDPR, también hay herramientas de ciberseguridad más generalizadas. 

Los programas y aplicaciones de ciberseguridad permiten protegerse de ciberamenazas y ataques, de accesos no autorizados a los datos o del robo de identidad. Además, pueden ayudar a crear planes de ciberseguridad personalizados, a proteger datos sensibles o confidenciales, así como a establecer prácticas y políticas de seguridad básicas para los trabajadores.

La ciberseguridad es esencial para las empresas de todos los tamaños, incluidas las pymes, ya que estas suelen carecer de la infraestructura de seguridad de las grandes empresas para proteger sus sistemas digitales de almacenamiento, acceso y gestión de datos. 

Hay soluciones que se adaptan al sector, el tamaño de la empresa, o incluso en función de si también hay que cubrir aspectos de reputación de marca o industriales, entre otras casuísticas.

5 consejos de ciberseguridad antes de irse de vacaciones

El verano es una época del año que conlleva riesgos potenciales de ciberseguridad. Con los empleados viajando y utilizando redes públicas, cualquier precaución adicional servirá para proteger la información confidencial de la empresa. 

Los 5 consejos que se abordan en este artículo pretenden ayudar a que las empresas se protejan a sí mismas y a sus clientes. Y también para poder evitar posibles fallos humanos y facilitar que toda la empresa sea consciente de la importancia de la ciberseguridad. 

1. Actualizar y proteger programas y dispositivos

La compra de los últimos modelos de ordenadores, servidores, teléfonos o tabletas enmascara la importancia de la ciberseguridad a la hora de actualizar tanto el hardware como el software. Sobre todo cuando en la actualidad muchas herramientas y repositorios están en la nube. De nada sirve tener el último modelo de portátil si la licencia para el uso de las aplicaciones ofimáticas no se ha revisado ni puesto al día, o si no se tiene un plan para revisar el estado de las aplicaciones antes de las vacaciones, por ejemplo. 

Las vulnerabilidades de software permiten a los ciberdelincuentes acceder a los dispositivos y pueden introducir malware en los sistemas de la empresa, por ejemplo. 

Consejo para empresas

Es importante que los líderes animen a sus empleados a actualizar sus software y sistemas antes de irse de vacaciones. Añadir los últimos parches de seguridad puede ayudar a reducir el riesgo de ciberataques. Asimismo, una empresa puede plantearse contratar software y servicios en la nube que tengan el compromiso de actualizar su funcionamiento automáticamente. De esta forma, incluso cuando no hay nadie en la oficina, las empresas se aseguran de que las mejoras se están implementando correctamente.

Ignorar los recordatorios de actualizaciones de software es dejar la puerta abierta a vulnerabilidades a explotar por parte de los ciberdelincuentes. Es importante actualizar el software y los sistemas con los últimos parches de seguridad para reducir el riesgo de ciberataques.

Activar las actualizaciones automáticas, visitar las webs de los proveedores para descargar los parches o actualizaciones, evitar la instalación de nuevas versiones desde redes de Internet no fiables y mantener todos los dispositivos al día son algunos consejos de ciberseguridad que protegerán los sistemas y los programas.

2. Utilizar contraseñas seguras

Durante las vacaciones de verano, los empleados corren el riesgo de olvidar sus contraseñas por no haberlas usado durante mucho tiempo. Para superar este obstáculo, existen herramientas para administrar contraseñas, con las que los empleados pueden almacenar todas sus contraseñas en un solo lugar y sólo tienen que recordar una contraseña maestra en lugar de muchas individuales.

Cuando aparecen en los medios de comunicación las listas de las contraseñas más usadas en España, se nos puede escapar una sonrisa, aunque es algo por lo que preocuparse: “123456”, “tequiero” o “chocolate” son contraseñas que pueden adivinar con facilidad no solo ciberdelincuentes, sino personas cercanas o desconocidas.

Los programas de autenticación multifactor para acceder al correo, a los dispositivos o a los programas de la empresa están cada vez más extendidos. Pero una política de contraseñas robustas y seguras tiene que estar en primer lugar. Sobre todo durante las vacaciones, ya que se puede estar fuera del país de origen de la empresa y no ser posible una actuación rápida. 

Consejo para empresas

Algunas de las prácticas para crear contraseñas seguras y proteger los datos durante las vacaciones de verano son las siguientes:

1. Utilizar contraseñas únicas para el acceso a cada cuenta, programa o equipo, evitando el reciclarlas.
2. Evitar palabras del diccionario, nombres de personas, personajes, productos o el nombre de la empresa.
3. Establecer una longitud y complejidad mínima para crear contraseñas: por ejemplo, que incluyan 12 caracteres, en los que se mezclen números, símbolos, mayúsculas y minúsculas.
4. Evitar dejar las contraseñas escritas en los espacios de trabajo, pegadas a los dispositivos, o en un documento en red no protegido.
5. Actualizar las contraseñas de forma periódica, siguiendo las indicaciones sobre longitud, complejidad, términos prohibidos y uso único.

3. Realizar copias de seguridad de forma recurrente

En verano, aparte de ciberataques, pueden ocurrir desastres naturales, se pueden sobrecalentar equipos informáticos o dispositivos, o incluso se puede perder el equipaje con el portátil de empresa en el aeropuerto. Es por ello que hacer copias de seguridad recurrentes permite a los negocios prevenir la pérdida de datos por fallos o errores de hardware y software, así como por ciberataques.

Ante cualquier problema, poder utilizar una copia de seguridad reciente permitirá al negocio seguir sus operaciones. Además, las copias de seguridad están reguladas en algunos sectores para la protección y recuperación de datos confidenciales.

Para que ni las vacaciones de verano pongan en riesgo el plan de copias de seguridad en una pyme, se puede recurrir a externalizar esta tarea: por ejemplo, contratando un software de copias de seguridad para servidores y estableciendo con qué intervalo de tiempo realizar el duplicado de datos o programas para hacer copias de seguridad de datos críticos de aplicaciones y sistemas para poder recuperarlos en caso de que se produzca un daño o una pérdida de los mismos.

Consejo para empresas

Un plan de actuación para mantener al día las copias de seguridad tendría que contemplar estas prácticas básicas:

• Crear un calendario o una programación para las copias de seguridad de los diferentes sistemas, programas y dispositivos.
• Elegir un método de copia de seguridad que permita acceder a versiones antiguas de la información y a clonar los datos.
• Probar las copias de seguridad para comprobar que funcionan correctamente y que se pueden usar para restaurar los datos.

4. Ser precavido en el uso de redes de Internet públicas

El uso de redes de Wi-Fi públicas para conectarse a Internet puede entrañar una serie de riesgos para la ciberseguridad en las empresas. El trabajo en remoto durante el verano, intentando, por ejemplo, conciliarlo con vacaciones familiares, puede provocar que el empleado busque una conexión Wi-Fi en cualquier lugar sin conocer qué nivel de seguridad ofrece.

La falta de precaución podría implicar la instalación de malware, que conllevaría que ciberdelincuentes puedan aprovechar brechas en los sistemas, interceptar contraseñas o información sensible o lanzar un ciberataque.

Consejo para empresas

¿Cómo limitar los posibles riesgos de que los empleados se conecten a Wi-Fi públicas? A la hora de acceder a redes de Internet públicas con dispositivos de empresa, se podrían tomar algunas de las siguientes precauciones:

• Asegurarse de que los empleados usan una red privada virtual (mediante software VPN) para mantener en secreto la sesión de navegación. El software VPN encripta el tráfico entre el dispositivo y el servidor VPN, dificultando el acceso a los datos por parte de terceros.
• Evitar que los empleados compartan archivos y carpetas, así como desactivar el uso compartido de archivos. Hacerlo solo en redes reconocidas y solo mientras sea necesario compartir la información.
• Configurar los móviles, tabletas y portátiles de los empleados para desactivar la conexión automática y evitar que se conecten automáticamente a redes no seguras. 
• Explicar a los empleados que, en caso de tener que utilizar redes Wi-Fi públicas intenten evitar el acceso a información sensible desde los programas de la compañía, como, por ejemplo, datos financieros o bancarios.

5. Formar y concienciar a los empleados

El trabajo en remoto o híbrido ha hecho que los empleados cuenten con dispositivos como ordenadores portátiles, tabletas o teléfonos móviles de la empresa para uso profesional y, en ocasiones, también personal. 

Es importante que la plantilla entienda las políticas y los procedimientos de ciberseguridad del negocio en cuanto a las medidas de seguridad en el uso de los equipos (como el caso de la conexión a redes públicas no seguras), pero también de las aplicaciones, sistemas o software. 

Por ejemplo, para que sepan detectar y actuar en problemas como el phishing en emails o mensajes en los dispositivos móviles, normativas sobre el trabajo en remoto o el uso y custodia de las contraseñas. Hay personal que hace guardias durante su destino vacacional, accediendo con los dispositivos de la empresa a las herramientas y a la información en situaciones y lugares donde no siempre se puede garantizar la seguridad.

Consejo para empresas

¿Conocen los trabajadores cuáles son los riesgos de un mal uso de dispositivos, aplicaciones y software de la empresa?

El Instituto Nacional de Ciberseguridad de España, el INCIBE, cuenta con guías para ayudar a las empresas a proporcionar políticas y formación en ciberseguridad adecuadas al puesto de cada empleado, desde el compromiso de la dirección para crear planes de formación continua. 

Se pueden implementar medidas tan sencillas como dar consejos de ciberseguridad a través de la intranet de la empresa u otras herramientas de comunicación interna, o contar en los procesos de incorporación con guías sobre ciberseguridad para empresas. El departamento de Recursos Humanos podría ayudar a dar forma a este plan formativo a través de una herramienta que ayude a gestionar la formación. De esta manera, toda la empresa podría entender los riesgos y los beneficios de aplicar buenas prácticas.

La ciberseguridad para empresas no es solo para el verano

Tanto durante las vacaciones de verano como durante el resto del año, es útil evaluar qué activos (datos, sistemas, software, dispositivos, etc.), riesgos y recursos se pueden destinar. También hay que pensar cómo elaborar e implementar un plan de ciberseguridad y controlarlo. De esta forma, se podría trabajar para alinear las tecnologías, las personas y las metodologías alrededor de acciones continuas para prevenir y resolver problemas de seguridad digital.

Formar a los empleados en los principios de ciberseguridad para empresas, comunicar las medidas del plan de ciberseguridad al detalle, las buenas y malas prácticas ayuda a los empleados a evitar y prevenir ciberataques.