La ciberseguridad es un aspecto fundamental en todos los negocios independientemente de su tamaño: autónomos, pymes o grandes empresas.
Actualmente, la mayoría de los ataques informáticos están dirigidos a los autónomos y pequeñas empresas. Los hackers piensan que los sistemas informáticos de estas empresas son más vulnerables y que les resultará más fácil conseguir sus objetivos.
Cuando escuchamos la palabra ciberseguridad pensamos en costosos y complicados sistemas para proteger nuestros equipos informáticos que están por encima de nuestras posibilidades. Realmente, la ciberseguridad en nuestras empresas no debe ser cara ni compleja. Simplemente, con ciertos hábitos y buenas prácticas conseguiremos unos niveles de seguridad informática adecuados a nuestras necesidades.
La ciberseguridad en nuestras empresas debemos enfocarla desde la doble perspectiva de la seguridad de los datos y su recuperación o disponibilidad en el caso de que se vean comprometidos. Son dos requisitos establecidos por el RGPD que es necesario contemplar cuando instalamos y/o usamos equipos informáticos.
El Instituto Nacional de Ciberseguridad propone un conjunto de buenas prácticas fáciles de implantar y con un coste asequible, entre ellas cabe destacar las siguientes:
Control de accesos.
Este punto se debe contemplar desde dos puntos de vista.
- Seguridad física de las instalaciones: debemos establecer un control físico a los equipos informáticos de uso profesional. Sólo deben tener acceso a ellos las personas autorizadas.
- Seguridad de los equipos: los equipos deberán estar protegidos con usuarios y contraseñas. Cada usuario tendrá una contraseña que no debe compartir con los demás usuarios.
Además, es necesario clasificar la información y establecer permisos de acceso, de forma que, sólo puedan acceder a ella las personas que realmente la necesiten, ya que, el RGPD establece el principio de minimización de datos. Sólo podemos tener acceso a los datos personales necesarios.
Para ello, hay que evaluar que archivos y carpetas deben estar cifrados y que personas necesitan acceder a ellos.
Concienciación de las personas.
En materia de ciberseguridad, el eslabón más débil somos las personas. Hoy en día, muchos ataques están dirigidos a explotar esta vulnerabilidad. Un ejemplo, que todos conocemos, son los e-mails que suplantan la identidad de grandes corporaciones, como bancos y Correos, con el objetivo, unas veces, de conseguir las claves de nuestras cuentas y, otras, cifrar la información de nuestros equipos para pedir un rescate por descifrarla.
El coste medio de un ataque de ransomware (secuestro/cifrado de la información) para una pyme o un autónomo es de 35.000 euros y suelen tardar una media de 7 días en recuperar su actividad normal, lo que hace que, aproximadamente, un 70% de las pymes que sufren estos incidentes de seguridad desaparezcan en los 6 años siguientes.
Política de proveedores.
El RGPD establece que el responsable del tratamiento debe garantizar la seguridad de los datos y que debe elegir únicamente encargados del tratamiento de datos personales que ofrezcan garantías suficientes.
Es decir, si escogemos un encargado del tratamiento que no tiene en cuenta la ciberseguridad o no aplica las medidas de seguridad adecuadas, los responsables de las filtraciones e incidentes de seguridad del encargado del tratamiento es la empresa que lo contrató.
Todas los autónomos y pymes, pero sobre todo los que tratan categorías especiales de datos como son los datos de salud, debemos seleccionar a las empresas a las que les facilitamos los datos personales de los empleados y clientes, entre ellas la asesoría fiscal, contable y laboral, teniendo en cuenta las medidas de seguridad que tienen implantadas.
Actualizaciones.
Los proveedores de los programas informáticos los actualizan periódicamente y siempre que detectan alguna vulnerabilidad. Debemos asegurarnos de que todo el software instalado en nuestro equipo está actualizado. Para ello, es una buena práctica elegir la opción de actualizaciones automáticas, siempre que esté disponible.
Protección antimalware. Antivirus y Cortafuegos.
Los antivirus son programas informáticos que están diseñados para detectar, bloquear y eliminar virus y programas maliciosos.
Los cortafuegos o firewalls son programas que controlan las conexiones, es decir, establecen una barrera entre el equipo informático y la red a la que está conectado, bloqueando los accesos y conexiones no autorizadas.
Los antivirus y cortafuegos para ser eficaces deben estar actualizados.
Copias de seguridad.
La instalación de programas antimalware no nos garantiza que no se pueda materializar alguna amenaza. Por ello, es importante tomar las medidas adecuadas para que, en el caso de ocurrencia, estemos en situación de recuperar la información en el menor tiempo posible.
Las copias de seguridad son la mejor garantía para asegurar la continuidad de nuestro negocio. Es necesaria una gestión adecuada para que la restauración de la información pueda realizarse con éxito.
Debemos adoptar medidas para evitar que las copias de seguridad se dañen o se pierdan.
Dispositivos móviles.
Los principales riesgos de los ordenadores portátiles, tablets y smartphones son la pérdida, robo y avería, que deriva en una pérdida o robo de la información que contienen.
Para evitar estos riesgos debemos implementar las siguientes medidas de seguridad:
- Configurar los equipos para que el acceso se haga mediante contraseña/pin.
- Cifrar la información que guardamos en estos dispositivos.
- No conectarse a redes WiFi públicas.
- Realizar copias de seguridad periódicas.
- Deshabilitar la geolocalización, activarla sólo cuando sea estrictamente necesario.
Implantando estas medidas conseguimos unas condiciones de ciberseguridad mínimas reduciendo los riesgos de perder la información.
Como medida adicional, debemos asegurarnos que nuestros proveedores de servicios, asesorías, gestorías, servicios de Prevención de Riesgos Laborales, adoptan medidas de seguridad informática, ya que, somos los responsables del tratamiento de los datos personales que les facilitemos.
ANCOS Gestión, S.L.
Asesoría Fiscal, Contable, Laboral, RGPD.
Consultoría. Licencia de Actividad. Sistemas de Gestión (ISO).
Referencias: