Colaboradores: mejor activo para una estrategia de ciberseguridad en las PyMEs

23/08/18
 

Los ciberataques continúan creciendo en México y en el mundo, así como los gastos en soluciones de ciberseguridad y personal dedicado a prevenir ataques. Tan solo en lo que va del año, según el ESET Security Report 2018, se han detectado más de 8,000 vulnerabilidades en sistemas informáticos de empresas y gobierno, mientras que el gasto en soluciones de ciberseguridad se estima que podría ascender, según la consultora IDC, a 3.4 mmdd a finales de 2018, un incremento de 12.5% respecto al año pasado.

Estas cifras probablemente reflejan el gasto hecho por gobiernos y grandes empresas, pero ¿qué sucede con aquellas PyMEs que luchan por sobrevivir en su día a día y no pueden costear potentes soluciones de ciberseguridad o mantener a personal especializado para proteger sus activos informáticos de ataques cibernéticos?

Buena parte de la solución está en sus propios colaboradores, no solo los de TI sino todos los que conforman la empresa, pero ¿cómo? Lo primero, es saber que existen tres niveles de seguridad básicos, o conocido como seguridad en capas, para mantener protegidos sus activos informáticos y así crear planes de acción para cada uno:

1) Seguridad física: contempla el acceso físico y uso de los equipos de cómputo de la empresa, a las propias instalaciones, a la reparación o administración de sistemas informáticos, y todas aquellas actividades que involucren el manejo de estos dentro del espacio físico donde operan.

Algunas de las acciones a realizar consistirían en:

a) Establecer criterios para garantizar que las personas que tengan acceso a ciertos activos hagan buen uso de sus permisos, por ejemplo: realizar auditorías por otros miembros del equipo para cerciorarse que se están cumpliendo con las reglas.

b) Delinear reglas para saber en qué casos se dará acceso o permisos para personas que no laboran dentro de la empresa.

c) Para el caso de empresas que permitan a sus trabajadores trabajar con su equipo de cómputo personal (bring your own device) se debe determinar qué información de la empresa se podrá guardar en los dispositivos y quién, además del usuario, podrá acceder en caso de ser necesario

2) Seguridad lógica: prevé el uso de antivirus, antimalware, firewall, sistema de detección de intrusos (IDS, por sus siglas en inglés), entre otros. Aquí el consejo es mantenerlos actualizados y estar informados de nuevas amenazas y los pasos para enfrentarlas de ser necesario. Y si la PyME cuenta con recursos extra para fortalecer su seguridad informática, la recomendación es invertir más en un experto de seguridad, no tanto en potentes productos. Asimismo, se recomienda:

a) Determinar quién y qué privilegios tendrá para administrar, actualizar o usar ciertos tipos de programas o hardware.

b) Hacer respaldos periódicos de información (backups), para lo cual será necesario identificar qué equipos e información son críticos para el negocio, y con los cuales no es posible operar.

3) Recursos humanos: formación y concientización sobre los riesgos más habituales y un adecuado diseño y aplicación de política de usuarios enfocada en que estos sólo utilicen los programas necesarios para su trabajo y sigan algunas acciones preventivas como:

a) No dar clic en un vínculo de un remitente desconocido.

b) No escanear códigos QR si no es necesario o si uno no los solicitó.

c) No descargar software o apps piratas o de dudosa procedencia.

d) Si se va a descargar software gratuito, cerciorarse que éste es seguro y confiable.

e) Asignación y gestión de derechos digitales (DRM, por sus siglas en inglés) que, entre otras cosas, contempla las restricciones sobre la información que puede ser compartida o no con el exterior de la empresa.

Tras conocer estos niveles de seguridad, una PyME deberá diseñar, en previsión de un posible ataque, un plan básico de acción para saber cómo reaccionar. Este deberá contemplar dos niveles:

1) Reactivo: un sistema de alertas que permitan:

a) Aislar equipos vulnerados y buscar el origen del ataque.

b) Analizar las afectaciones provocadas, o lo que llaman análisis forense.

c) Intentar restaurar los sistemas

2) Proactivo: hacer un análisis de penetración para detectar equipos vulnerables. Es posible hacerlo con el uso de herramientas gratuitas, pero se requiere personal con experiencia para su manejo.

Además de estas recomendaciones, se sugiere estar siempre informados sobre nuevos ataques, sobre actualizaciones de nuevos productos o prácticas que no impliquen gastos, así como la actualización de las políticas de uso y de planes de acción.

Artículo de colaboración

Autor: Francisco Sepúlveda, instructor Udemy en temas de ciberseguridad