Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Transforma tu pyme con ciberresiliencia siguiendo los consejos de ENISA

Fecha de publicación 05/07/2022
Autor
Elisa Vivancos (INCIBE)
pyme ciberresiliente

La transformación digital de las pymes, tan necesaria para competir en los mercados digitales, está en marcha. Los intercambios comerciales digitales precisan de seguridad para ser confiables. Por ello, para sobrevivir en estos mercados hay que estar preparados para superar los posibles ciberincidentes. Por una parte, debemos tomar las precauciones necesarias para mantener la disponibilidad de los sistemas que soportan nuestra actividad y por otra, las necesarias para ofrecer las suficientes garantías de integridad y confidencialidad a compradores y proveedores. Pero esto no es suficiente, no solo tenemos que hacer todo lo necesario para prevenir incidentes y saber reaccionar ante ellos, sino para resistirlos y reponernos lo más rápido posible, aprender de los errores y seguir ofreciendo al mercado nuestro producto o servicio.

En este artículo, nos hacemos eco de una publicación conjunta de ENISA, la Agencia de la Unión Europea para la ciberseguridad y el equipo de respuesta a emergencias informáticas para las instituciones europeas, CERT-EU. Su título en inglés es Boosting your organization Cyber Resilience, es decir ‘Potenciando la ciberresiliencia en su organización’.

Esta publicación que está motivada por el continuo aumento del nivel de amenaza, consiste en un listado de buenas prácticas que animan a seguir a todo tipo de organizaciones de forma comprometida y sistemática. Confían en que ayudarán a mejorar sustancialmente el nivel de ciberseguridad y aumentarán la resistencia ante los posibles ataques.

  1. Comprobar que los accesos remotos a nuestros servicios corporativos utilizan autenticación multifactorial (MFA).
    • Esto incluye las VPN, las extranets o portales corporativos externos o el acceso al correo electrónico vía web (por ejemplo, Outlook en la web o Exchange Online). Pero ojo, recomiendan evitar, en la medida de lo posible, como segundo factor los SMS y llamadas de voz para entregar códigos de un solo uso, pues es posible suplantarlos. En su lugar, animan a utilizar siempre que sea posible tokens resistentes a la suplantación de identidad, como tarjetas inteligentes y claves de seguridad FIDO2 (Fast IDentity Online).
  2. Verificar que los empleados no reutilizan las contraseñas y animarles a utilizar autenticación multifactorial (MFA) siempre que sea posible (por ejemplo, en sus redes sociales).
    • Es frecuente que los ciberdelincuentes entren en nuestros sistemas realizando ataques con credenciales robadas, es decir, usuario y contraseña, obtenidas de filtraciones o fugas de datos. Este tipo de ataque es posible porque algunos usuarios utilizan las mismas credenciales para distintos servicios, por ejemplo: las del correo electrónico, para redes sociales o para acceder al backend del portal web. Por ello, nos recuerdan que no debemos reutilizar nunca las contraseñas. Como medida preventiva, podemos verificar si nuestras contraseñas están en alguna brecha de datos conocida y si es así cambiarlas inmediatamente en todos los sitios en los que se hayan utilizado. Siempre que sea posible, se recomienda usar un gestor de contraseñas.
  3. Comprobar que todo el software esté actualizado. 
    • Hay que dar prioridad a las actualizaciones que aborden las vulnerabilidades conocidas, pues es posible que ya estén siendo explotadas. Recomiendan que esto forme parte de una política de gestión de vulnerabilidades que incluya la obligación de instalar los parches de gravedad alta y crítica lo antes posible. Y no olvidarnos de verificar que ha finalizado completamente su aplicación, por ejemplo, si se debe reiniciar el sistema tras la instalación de los mismos. También nos animan a actualizar, con la mayor regularidad posible nuestros equipos personales domésticos: ordenadores, teléfonos inteligentes, tabletas, dispositivos conectados como televisores, consolas de videojuegos y routers.
  4. Monitorizar nuestras redes y sistemas para evitar accesos de terceros.
    • Al controlar el acceso mejoramos nuestra capacidad de prevenir y detectar posibles ataques, como los fraudes BEC (Business email Compromise) en los que si el correo de alguno de nuestros contactos ha sido hackeado o ha sido víctima de robo de credenciales por phishing, puede ser utilizado como vía de entrada para vulnerar de nuestros sistemas.
  5. Prestar especial atención a la seguridad de la nube antes de subir nuestros servicios críticos a la misma.
    • Debemos utilizar controles muy estrictos de seguridad en las plataformas en la nube y tener separada su gestión de la de los sistemas en local para garantizar que los ciberdelincuentes no puedan saltar de un entorno a otro, por faltar estos controles de seguridad.
  6. Revisar la política de copias de seguridad y utilizar la regla 3-2-1.
    • Esta regla consiste en mantener tres copias completas, dos de ellas almacenadas localmente, pero en diferentes medios, y al menos una copia almacenada fuera de las instalaciones y desconectada. Insisten en que debemos asegurarnos que el acceso a las copias de seguridad está controlado, limitado y registrado. Además, nos recomiendan confirmar que los procedimientos de restauración están bien documentados y se prueban regularmente.
    • La política de copias de seguridad debe estar alineada con las necesidades de la empresa en un Plan de Contingencia y Continuidad.
    • Nos animan a informar y formar a los usuarios para que guarden los datos sólo en los dispositivos de almacenamiento permitidos por la política de ciberseguridad o, en su caso, en el almacenamiento corporativo en la nube y no en su puesto de trabajo.
  7. Cambiar todas las credenciales por defecto y débiles.
    • Las credenciales por defecto pueden ser conocidas por los ciberdelincuentes, por ello nos animan a cambiarlas nada más iniciar el producto o servicio tras adquirirlo. También insisten en que debemos desactivar o cambiar por otros más actuales los protocolos o servicios que no admitan la autenticación multifactor o que utilicen una autenticación débil, por ejemplo, contraseñas almacenadas sin cifrar o cifradas con protocolos antiguos y vulnerables.
  8. Emplear la segmentación y las restricciones de red adecuadas.
    • Configurando nuestros sistemas separando entornos mediante cortafuegos y reglas de acceso tratamos de evitar intrusiones. Para ello, a la hora de tomar decisiones para permitir o denegar el acceso a los mismos, nos recomiendan utilizar no solo credenciales, sino también filtrar en base a información específica del dispositivo o del entorno, el origen geográfico del usuario o las horas de uso habituales.
  9. Formar a los profesionales TI cada cierto tiempo.
    • Nos instan a llevar a cabo una formación periódica para verificar que los administradores de sistemas y de TI conocen y aplican las políticas de seguridad de la organización y los procedimientos asociados. Vigilar el uso que se hace de las herramientas de administración puede ayudar a evitar que los ciberdelincuentes entren en nuestra red y se desplacen lateralmente, es decir, que puedan adquirir privilegios de administrador y extender los ataques a otros sistemas.
  10. Crear un entorno resistente de correo electrónico.
    • Si aún no lo hemos hecho, es importante activar el filtrado antispam, monitorizar el servidor de correo electrónico para vigilar de forma automática el seguimiento de las políticas y configurar los protocolos para evitar que los correos electrónicos maliciosos lleguen a los buzones.
  11. Organizar periódicamente charlas de concienciación.
  12. Proteger las páginas web ante ataques de denegación de servicio
    • Para ello, dependerá si el servidor está en nuestras instalaciones en cuyo caso tendremos que ubicarlo en una zona desmilitarizada, instalar IPS/IDS o UTM. Si se utiliza para el alojamiento web plataformas en la nube podremos aprovechar sus funciones nativas de alta disponibilidad e instalar cortafuegos especializados WAF. También se recomienda automatizar en las políticas de recuperación, ante de desastres, el movimiento de cargas de trabajo en local al sitio de recuperación de desastres con un solo clic.
  13. Bloquear o limitar el acceso a Internet de los servidores u otros dispositivos que rara vez se reinician.
    • Estos dispositivos son codiciados por los ciberdelincuentes para establecer puertas traseras y hacer que nuestras redes y equipos pertenezcan a sus ejércitos de botnets controlados por sus centros de Comando y Control (C&C) para lanzar todo tipo de campañas de malware, phishing y ataques de denegación de servicio.
  14. Revisar los contactos de emergencia. 
    • Comprobar que en los procedimientos se incluye la información de contacto para poder comunicarse rápidamente con nuestro CSIRT, en el caso de ciudadanos, empresas, operadores esenciales e infraestructuras críticas, proveedores de servicios digitales e instituciones afiliadas a RedIRIS: INCIBE-CERT. Si eres una pyme, tienes más información en la sección reporta tu incidente.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad