Los hábitos de la pyme ciberresiliente
Compartimos un conjunto de buenas prácticas para que pymes y autónomos apliquen de forma concienzuda y sistemática para protegerse ante posibles incidentes de ciberseguridad.
Ante acciones de desinformación, recomendamos a las empresas contrastar cualquier información con fuentes oficiales o de máxima confianza.
Los ciberdelincuentes pueden lanzar campañas dirigidas a empresas no solo para desinformar y causar distorsión en los mercados, sino con la intención de distribuir malware, extorsionar a través del ransomware, robar información, credenciales o información bancaria (phishing) o atacar a la disponibilidad de los sistemas. Por ello, es importante mantener y reforzar la formación y sensibilización a los empleados para que aprendan a detectar y proteger a la empresa de estas amenazas, en particular de las que utilizan la ingeniería social.
Para reducir el riesgo de que tu empresa sufra un incidente de seguridad, sigue estas buenas prácticas:
CONTRASEÑAS Y CONTROL DE ACCESO
- Se recomienda cambiar todas las contraseñas por defecto y deshabilitar servicios que no soporten factores de autenticación adicional o que empleen contraseñas débiles o por defecto.
- Siempre se han de utilizar contraseñas robustas para acceder a los servicios corporativos, incluidas redes sociales, y cambiarlas con frecuencia. Evitar reutilizar contraseñas y habilitar doble factor de autenticación si es posible con tokens resistentes a la suplantación de identidad, como tarjetas inteligentes y claves de seguridad FIDO2 (Fast IDentity Online).
- Aconsejamos utilizar verificadores para comprobar si nuestras direcciones de correo electrónico se han visto comprometidas en alguna brecha de datos conocidas. Si nuestro correo electrónico se ha visto involucrado en alguna de estas fugas de información, recomendamos cambiar inmediatamente cualquier contraseña comprometida en aquellos sitios web, servicios y aplicaciones en las que se haya utilizado. Siempre que sea posible, se recomienda usar un gestor de contraseñas.
- Debemos verificar que todos los accesos remotos, VPN, portales corporativos con proveedores o correo electrónico vía web utilizan autenticación multifactor.
- Debemos controlar el acceso de terceros a nuestros sistemas para prevenir y detectar posibles ataques del tipo fraude de BEC (Business email Compromise) en los que si alguno de nuestros proveedores ha sido hackeado o ha sido víctima de phishing, puede ser utilizado como vehículo de entrada para vulnerar nuestros sistemas. Se recomienda revisar los accesos externos e incrementar la monitorización y vigilancia para anticiparse a posibles fallos o ataques debido a estas circunstancias.
CORREO ELECTRÓNICO, LLAMADAS y MENSAJES
- Ante correos electrónicos de remitentes desconocidos, se recomienda extremar las precauciones, ya que puede tratarse de comunicaciones fraudulentas.
- Los remitentes de los correos electrónicos pueden estar falseados. Es necesario saber identificar este tipo de comunicaciones para evitar caer en el fraude.
- Un solo carácter en el nombre de dominio (web y correo electrónico) puede llegar a provocar un incidente de seguridad. Si conocemos las técnicas de typosquatting o los ataques homográficos, podremos evitar ataques cuyo origen sea un correo electrónico que en apariencia es de alguien conocido.
- Si un correo incluye enlaces externos a páginas web o documentos adjuntos, se recomienda extremar las precauciones, y analizarlos con herramientas en línea o con el antivirus del dispositivo.
- El correo electrónico no es el único canal de comunicación que utilizan los ciberdelincuentes. Las llamadas telefónicas, aplicaciones de mensajería instantánea como WhatsApp, SMS y redes sociales también son utilizados como canales de phishing o para la distribución de malware.
- Como precaución, ante solicitudes que requieran la modificación o comunicación de datos bancarios, se recomienda verificar siempre la procedencia de esa solicitud por un canal de comunicación alternativo y confiable.
SISTEMAS Y REDES
- Todos los dispositivos de la empresa, incluso los móviles, contarán con herramientas antimalware instaladas y actualizadas.
- El sistema operativo de los dispositivos de la empresa, así como las aplicaciones que tienen instaladas, estarán siempre actualizadas a la última versión disponible que subsane las vulnerabilidades conocidas. Se priorizará la actualización cuando afecte a vulnerabilidades de severidad crítica y alta. Los ciberdelincuentes aprovechan vulnerabilidades del software, equipamiento de red o servicios en la nube de uso general en las empresas como vía de entrada para el acceso a información sensible o confidencial o para causar caídas del servicio, por lo que se recomienda mantener los activos tecnológicos actualizados y configurados para evitar intrusiones y otros incidentes que puedan afectar a la disponibilidad.
- Se ha de segmentar la red para separar los servicios internos de aquellos que necesiten tener conexión con el exterior. Se eliminarán los servicios innecesarios cerrando los puertos correspondientes.
- Se configurará la seguridad de la red wifi utilizando los últimos protocolos y, si fuera necesario, crearemos una red separada para invitados externos a la organización.
- Se tendrán en cuenta las precauciones de seguridad de esta guía cuando se usan dispositivos IoT.
- Se realizarán copias de seguridad periódicas de la información de la empresa y se comprobará que es posible su restauración. Se seguirá la regla 3-2-1: 3 copias, 2 soportes diferentes y 1 en una ubicación separada y fuera de línea. Se recomienda comprobar periódicamente que se pueden recuperar.
- Se utilizarán controles estrictos de seguridad cuando contratemos servicios, en particular si se trata de servicios en la nube. Igualmente se han de extremar las precauciones con la cadena de suministro de todo el equipamiento informático, requiriendo de los proveedores certificaciones o auditorías de seguridad.
- Si tienes una página web o una tienda online, verifica que cumples la legislación y que la proteges para evitar errores de configuración o de desarrollo que puedan provocar incidentes. Recuerda que has de verificar la seguridad tanto si la alojas en servidores propios como si contratas el servicio. Revisa que tus servidores web están a salvo de ataques de denegación de servicio y verifica que no son controlados por botnets.
- Se han de realizar auditorías periódicas y contar con sistemas de monitorización de redes y servidores, o contratar este servicio, para detectar posibles incidentes.
- Se ha de tener un procedimiento actualizado de gestión de incidentes.
No menos importante es recordar que es necesario disponer de un plan de contingencia que incluya la realización de copias de seguridad en medios externos y separados, y la identificación de las entidades a dónde acudir en caso de que ocurra un incidente grave.
Si sufres cualquier incidente de seguridad que tenga carácter delictivo, puedes denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) o bien puedes acudir al centro de respuesta a incidentes de INCIBE.
Recuerda que si en un incidente de seguridad o en una brecha de datos se ven afectados datos de carácter personal, tienes que ponerlo en conocimiento de la Agencia Española de Protección de Datos (AEPD).
No olvides que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.