Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

SECtoriza2 Asociaciones

Desde organizaciones empresariales, patronales o sindicales, pasando por aquellas que promueven ideas o actividades políticas y culturales, las asociaciones son en su mayoría un grupo formado por pequeñas y medianas empresas que se caracterizan por representar los intereses de un grupo de personas, conocidos como socios o miembros. La razón de ser de las asociaciones reposa en la confianza que sus socios depositan en ellas. Un fallo de seguridad, una infección por ransomware, una fuga de datos personales o críticas mal gestionadas en las redes sociales pueden quebrar esta confianza. Por este motivo, es esencial proteger la reputación y mantener seguros los sistemas, la página web, el servidor de correo o la información que manejan.

Si quieres evitar situaciones que puedan afectar a la continuidad de los servicios que ofreces o que puedan comprometer la imagen y reputación de la asociación, te mostraremos unos pasos que deberás tener en cuenta para proteger la información y los sistemas que la gestionan.

Lo que no se mide no se puede mejorar. El primer paso que debes dar para proteger tu negocio es identificar los riesgos a los que está expuesto. Seguramente seas consciente de gran parte de ellos, pero quizá existen otros que no conozcas y que, en caso de materializarse, pondrían en graves aprietos a tu empresa.

Para ayudarte a evaluar los riesgos a los que se enfrenta tu organización, te recomendamos utilizar nuestra Herramienta de Autodiagnóstico. A través de una serie de preguntas, esta herramienta te guiará para que puedas determinar cómo es el estado actual de ciberseguridad en tu negocio, qué riesgos lo amenazan y qué aspectos debes mejorar.


Fugas de información, ataques contra la página web o las cuentas de redes sociales, ransomware, phishing, son solo algunas de las amenazas a las que constantemente están sometidas las asociaciones. Ser conscientes de su existencia y conocerlas a fondo es esencial para poder evitarlas. Por ello, te recomendamos suscribirte a nuestro servicio de Boletines. Gracias a este servicio, recibirás un mensaje en tu correo electrónico cada vez que se publique un Aviso de seguridad.

Algunas de las amenazas más comunes que afectan a las asociaciones tienen su origen en el correo electrónico. Los siguientes avisos de seguridad son un recopilatorio de los ataques más comunes que sufre tu sector.

Además de detectar las amenazas que llegan a través del correo electrónico, se deben mantener todos los sistemas actualizados, tanto los utilizados en los dispositivos de los trabajadores como los utilizados para dar cualquier servicio desde Internet, como por ejemplo la página web de la asociación. Algunas muestras de este tipo de avisos son:

Avisos de seguridad

Avisos de seguridad

Actualizaciones

Actualizaciones de seguridad

La formación y la concienciación en ciberseguridad son siempre una apuesta segura. Conocer cómo tratar la información y los sistemas que la gestionan de forma segura es clave para que tu asociación no se vea afectada por un incidente de seguridad. Para ayudarte en este proceso, desde INCIBE hemos desarrollado dos servicios que te ayudarán durante el proceso.

En primer lugar te recomendamos que eches un vistazo a la formación sectorial. Mediante una serie de videos interactivos, Laura y Miguel te mostrarán todo lo que tienes que saber para proteger tu asociación. Obtendrás formación específica y personalizada para tu sector.

Después puedes probar a entrenar a tu equipo en la respuesta a incidentes con el Juego de rol. Por medio de diferentes escenarios, que afectan comúnmente a las asociaciones, tú y los miembros de tu organización deberéis gestionar distintas situaciones de crisis. Mediante la práctica de estos retos sentarás las bases para dar una respuesta ordenada y coordinada ante cualquier incidente de seguridad. Aunque tu sector profesional podría tener que hacer frente a los cinco escenarios, puedes empezar por:

Fuga de información

Infección por ransomware

Un phishing se ha alojado en nuestra página web

Las organizaciones que forman parte del sector asociaciones basan su funcionamiento en la confianza con sus socios. Si esta se viera afectada por un incidente de seguridad, el futuro de la asociación podría estar en entredicho. El principal reto al que se enfrenta cualquier tipo de asociación es proteger los datos de sus asociados y evitar cualquier tipo de fuga de información. El tipo de información puede, en el caso de asociaciones de carácter político o si se trata de datos de menores o de salud por ejemplo, ser de carácter sensible, y por ello está especialmente protegida por la legislación, por lo que se deben aplicar una serie de medidas y controles de seguridad para protegerla, como puede ser el cifrado de la misma o llevar un control de acceso.

Una fuga de información puede ser accidental o intencionada, causada por un miembro de la organización o insider o provocada por medio de un ataque externo, llevado a cabo por ciberdelincuentes. Las causas pueden ser muy variadas pero principalmente, cuando la fuga se ha producido por causas internas en la organización, esta suele deberse a la inexistencia o debilidad de los controles de seguridad en el acceso a la información.

La accesibilidad a la información también es crucial para la correcta actividad diaria de la asociación. El principal incidente de seguridad relacionado con este principio es la infección por ransomware. Este tipo de código malicioso o malware está diseñado para secuestrar la información de las víctimas e impedir que puedan acceder a su contenido, convirtiendo la información en inaccesible. El ransomware cifrará todo archivo que pueda ser de valor para la asociación. Comúnmente, este tipo de código malicioso se suele enviar mediante campañas de correos electrónicos fraudulentos, aunque los ciberdelincuentes siempre están innovando siendo en la actualidad uno de sus métodos favoritos, los escritorios remotos vulnerables. El único método que garantiza recuperar la actividad laboral y que la infección no sea demasiado nociva es la realización regular de copias de seguridad.

Para cualquier organización, tener una página web vulnerable o una cuenta de una red social que haya podido verse comprometida sería nefasto. Además de la información gestionada, los diferentes servicios que se utilizan o se ofrecen por la asociación a través de su página web tienen que estar debidamente protegidos. Por ello será importante aplicar los últimos parches de seguridad en la web y proteger el acceso a los servicios por medio de credenciales de acceso robustas y únicas para cada servicio y, siempre que sea posible, habilitar el doble factor de autenticación.

Hay que prestar mucha atención a los correos electrónicos, especialmente si contienen enlaces o documentos adjuntos. Además, en caso de contar con servicios accesibles desde Internet, como el escritorio remoto, tendremos que implantar mecanismos de seguridad que protejan y eviten accesos no autorizados.

Si te has decidido a implantar soluciones profesionales o has sido víctima de un incidente y necesitas ayuda, en Protege tu empresa disponemos de un Catálogo de empresas y soluciones de ciberseguridad donde encontrarás las soluciones y servicios que más se adaptan a tus necesidades. Podrás aplicar distintos filtros para que la búsqueda sea más exacta según los requisitos de tu organización.


Reporte de fraude y ayuda al empresario

Reporte de fraude y ayuda al empresario