Decálogo de ciberseguridad para pequeños y medianos despachos de oficinas
Adaptarse a los nuevos desafíos de la ciberseguridad para algunos despachos de oficinas puede ser una tarea compleja. Estos despachos, por lo general, trabajan en organizaciones pequeñas, sin equipos especializados en la materia, y con la creciente necesidad de proteger la información sensible de sus clientes sin tener que recurrir a soluciones complejas o que se salgan de su presupuesto.
Es posible que estas tareas recaigan directamente sobre los propios empleados que, en ocasiones, pueden carecer de conocimientos técnicos o de ciberseguridad, y esto los lleve a preguntarse: ¿por dónde empiezo y qué puedo hacer por mí mismo?
Fases para mejorar la ciberseguridad en tu despacho
Para aquellos profesionales que desempeñen su trabajo en pequeños y medianos despachos de oficina que se encuentren en esta situación, se han desarrollado estas recomendaciones que, divididas en cuatro fases, pretenden ayudar a implementar las medidas de ciberseguridad de forma sencilla.
Estas fases están organizadas para priorizar las medidas más críticas, en función de los riesgos y la capacidad de los despachos de implementarlas, especialmente para aquellos que carecen de equipos especializados o pocos conocimientos tecnológicos.
Se ha establecido un rango de importancia de implementación de las medidas, siendo:
- Importancia alta: la implementación de estas medidas es esencial para la seguridad del despacho. No implementarlas podrían conllevar graves consecuencias, como el robo de información, la pérdida de datos críticos o, incluso, implicar sanciones legales, poniendo en peligro el negocio y la confianza de los clientes.
- Importancia media: estas medidas son muy recomendables para reducir los riesgos de seguridad y mejorar la protección de los datos y dispositivos empresariales. Aunque las consecuencias de no aplicarlas no sean tan inmediatas, de no implementarlas, el despacho seguiría siendo vulnerable a ciertos ataques o incidentes que podrían afectar a la continuidad del negocio.
- Importancia baja: la implementación de estas medidas es complementaria. No son críticas, pero ayudan a mantener un entorno con mayor seguridad y robustez. No implementarlas no implicará riesgos inmediatos graves, pero añadirán una capa extra de protección al negocio.
Adicionalmente, la complejidad hace referencia a los conocimientos técnicos necesarios para implementar las medidas. En algunas ocasiones estas medidas deberán ser implementadas por personal experto externo de la organización, en colaboración con los trabajadores.
En nuestro catálogo de empresas y soluciones de ciberseguridad puedes encontrar las herramientas necesarias para implementar las medidas que se indican a continuación:
Fase 1: seguridad básica y protección de datos. El objetivo de esta fase inicial es implementar las medidas esenciales para la protección de la información y los sistemas del despacho. Estas medidas pueden ser implementadas sin la necesidad de contar con habilidades técnicas complejas.
El objetivo es reducir las vulnerabilidades más comunes y proteger los datos sensibles desde el inicio. Las medidas a implantar son las siguientes:
- Copias de seguridad automáticas. Las copias de seguridad protegen la información frente a posibles ciberataques, fallos de hardware o, incluso, errores humanos.
- Cifrado de dispositivos. Tanto discos duros como dispositivos externos deben estar cifrados para proteger la información y evitar accesos no autorizados, sobre todo en caso de pérdida o robo del dispositivo.
- Actualizaciones automáticas. Asegurarse de que todos los sistemas y aplicaciones cuenten con la activación de actualizaciones automáticas para evitar vulnerabilidades que pueden convertirse en una puerta de entrada a los ciberdelincuentes.
- Instalar un antivirus y antimalware. Estos programas trabajan en la detección, eliminación y prevención de amenazas. Contar con un antivirus y antimalware fiable puede reducir considerablemente los riesgos de ataque.
| Medida | Implementar copias de seguridad automáticas | Utilizar software de cifrado | Configurar actualizaciones automáticas | Instalar un antivirus y antimalware |
| Importancia | Alta | Alta | Alta | Alta |
| Complejidad | Baja | Baja | Baja | Baja |
| Interno/Externo | Interno: conocimientos básicos Externo | Interno: conocimientos básicos Externo | Interno | Interno |
| Riesgos de no implementarlo | - Pérdida de información crítica - Imposibilidad de recuperar datos en caso de ciberataque o fallos del sistema | - Robo o pérdida de información sensible | - Vulnerabilidades conocidas sin parchear que permitirían ser explotadas para acceder a los sistemas por personas no autorizadas | - Infección por malware - Pérdida de datos - Accesos no autorizados a los sistemas |
| Implementación |
- Fase 2: protección de los dispositivos y control de acceso. Una vez establecida la base, se deberán reforzar las defensas protegiendo los dispositivos y los datos que se utilizan en el despacho en el día a día.
- Almacenamiento de la información sensible. Los datos sensibles de clientes deben ser almacenados de forma segura. Es fundamental seleccionar plataformas que ofrezcan cifrado en reposo y que limiten el acceso solo a los usuarios autorizados. Los servicios en la nube utilizados deben cumplir con normativas como el RGPD y la LOPDGDD para evitar sanciones legales.
- Uso de dispositivos móviles personales (BYOD). En caso de que los empleados utilicen sus dispositivos móviles personales para trabajar, se deberán implementar políticas de seguridad para su correcto uso. Lo dispositivos deberán estar protegidos con cifrado, bloqueo de pantalla y tendrán que poder ser borrados de forma remota en caso de pérdida o robo.
- Doble factor de autenticación (2FA). Activar un doble factor de autenticación, siempre que sea posible, agrega una capa extra de protección y reduce el riesgo de accesos no autorizados, incluso si los ciberdelincuentes consiguen las credenciales.
- Dispositivos no accesibles al público. En los despachos se deberá asegurar que los dispositivos de uso empresarial no sean accesibles a personas no autorizadas. Esto implica medidas como establecer zonas de acceso restringido o mantener las pantallas bloqueadas cuando no se estén utilizando.
- Seguridad Wi-Fi. Para asegurar la red wifi empresarial, se deberá cambiar la contraseña predeterminada y utilizar un protocolo seguro, como WPA3. Además, segmentar la red para que los invitados no tengan acceso a la red principal minimizará los riesgos.
| Medida | Almacenamiento de la información sensible | Uso de dispositivos móviles personales (BYOD) | Doble factor de autenticación (2FA) | Dispositivos no accesibles al público | Seguridad Wi-Fi |
| Importancia | Alta | Media | Alta | Media | Alta |
| Complejidad | Media | Media | Baja | Baja | Baja |
| Interno/Externo | Interno: conocimientos básicos Externo | Interno: conocimientos básicos Externo | Interno | Interno | Interno: conocimientos básicos Externo |
| Riesgos de no implementarlo | - Filtración de datos sensibles - Sanciones por incumplimiento del RGPD y la LOPDGDD - Daño reputacional | - Pérdida o robo de dispositivos con acceso a información sensible - Accesos no autorizados - Malware en dispositivos personales | - Accesos no autorizados | - Manipulación de datos - Accesos no autorizados | - Accesos no autorizados a la red - Intercepción de datos - Explotación de vulnerabilidades web |
| Implementación |
- Fase 3: capacitación y fortalecimiento de la seguridad. Tras haber implementado las medidas de seguridad anteriores, es crucial educar a los empleados e implementar políticas que fortalezcan las bases.
- Formación en las amenazas más comunes. Las sesiones de formación ayudarán a los empleados reconocer y saber actuar ante ataques como el phishing, una de las principales vías de entrada para los ciberdelincuentes, y otras técnicas de ingeniería social.
- Implementación de políticas de seguridad. Establecer políticas de seguridad claras y a disposición de todos los empleados, como una política de contraseñas que exija el uso de credenciales robustas.
- Gestor de contraseñas. Utilizar un gestor de contraseñas ayuda a crear contraseñas robustas y únicas y permite almacenarlas de forma segura sin necesidad de tener que recordarlas.
- Auditorías de seguridad. Realizar auditorías internas de forma periódica ayuda a verificar que las medidas de seguridad están siendo aplicadas de forma correcta, además de detectar posibles vulnerabilidades, lo que contribuye a una mejora continua de la seguridad del despacho.
| Medida | Formación de los empleados en phishing y otras amenazas | Establecer políticas de contraseñas seguras | Utilizar un gestor de contraseñas | Auditorías de seguridad periódicas |
| Importancia | Media | Alta | Media | Baja |
| Complejidad | Baja | Baja | Baja | Media |
| Interno/Externo | Interno: conocimientos suficientes Externo | Interno | Interno | Externo |
| Riesgos de no implementarlo | - Vulnerabilidad frente a ataques de ingeniería social - Robo de credenciales - Infiltración en los sistemas | - Contraseñas débiles, fácilmente vulnerables - Accesos no autorizados - Infiltración en los sistemas | - Reutilización de contraseñas débiles, fácilmente vulnerables - Accesos no autorizados | - Vulnerabilidades sin detectar que puedan ser explotadas por ciberdelincuentes - Posibles sanciones legales |
| Implementación |
- Fase 4: controles avanzados y respuesta a incidentes. Por último, se deberán implementar controles más avanzados y contar con un plan de respuesta ante incidentes para actuar de forma rápida y eficaz en caso de ciberataque o brecha de seguridad.
- Plan de respuesta a incidentes. Establecer una serie de pasos de actuación claramente definidos es esencial en caso de incidente de seguridad. Este plan ayudará a contener el incidente lo antes posible, incluirá la notificación a las partes afectadas y la restauración de los sistemas, reduciendo el impacto.
- Configuración de un firewall. La configuración de un firewall para monitorear y bloquear el tráfico no autorizado en la red empresarial es esencial para la seguridad del despacho.
- Ciberseguros. Los ciberseguros pueden cubrir los costes asociados a la resolución de un incidente de seguridad, como la recuperación de datos ante un ataque de ransomware. Considerar la contratación de un seguro cibernético, como medida extra a las anteriormente establecidas, puede ser una buena opción, aunque no se debe sustituir por otras medidas de seguridad.
| Medida | Desarrollar un plan básico de respuesta a incidentes | Configurar un firewall | Contratar un ciberseguro |
| Importancia | Alta | Alta | Baja |
| Complejidad | Media | Media | Baja |
| Interno/Externo | Interno: conocimientos avanzados Externo | Externo | Externo |
| Riesgos de no implementarlo | - Respuesta lenta e ineficaz ante incidentes - Aumento del daño - Paralización del negocio ante un incidente | - Accesos no autorizados a la red - Riesgo de ataques - Filtración de datos | - Costes elevados de resolución de incidentes - Sanciones - Pérdida de datos |
| Implementación |
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.
