¿Qué deben hacer las empresas para prevenir un ciberataque?

Escrito por: media el 10/11/15 9:00

Una de las últimas víctimas de un ataque informático ha sido la compañía inglesa de telecomunicaciones TalkTalk. Su página web sufrió un ataque de denegación de servicios distribuido (DDOS por sus siglas en inglés) el pasado 21 de octubre y se hicieron públicos en internet los datos personales de miles de sus clientes: 21.000 cuentas bancarias únicas, detalles parciales de 28.000 cuentas de crédito y débito, 15.000 fechas de nacimiento de clientes y 1,2 millones de direcciones de email, nombres y números de teléfono.

A pesar de que ninguna empresa está a salvo de este riesgo, muchas compañías aún no se toman en serio la posibilidad de sufrir un ciberataque. Un dato que corrobora esta afirmación es que menos del 20% de las grandes corporaciones tienen contratadas pólizas de seguros para protegerse ante un ciberataque. Y, en el caso de las pymes, menos de un 6%.

Pero la mejor defensa es sin duda la prevención. ¿Qué deben hacer las empresas para prevenir un ciberataque? En este post queremos ofrecer una serie de medidas que todas las empresas, especialmente las pymes, deberían adoptar para proteger su principal activo: la información.

Este post también está disponible en inglés.

Aunque las medidas que vamos a enumerar a continuación puedan parecer evidentes, muchas empresas hacen caso omiso. Sobre todo las pymes, por creer inverosímil que los hackers las consideren a ellas objetivo de sus ataques antes que a las grandes multinacionales que manejan millones de datos. La realidad es que las pequeñas y medianas empresas tienen una menor percepción del riesgo, y dedican menos recursos a tomar medidas de seguridad digital. ZeedSecurity lo confirma en un artículo en el que concluye que un 70% de los ataques se dirigen contra empresas de menos de 100 trabajadores.

Las siguientes medidas no suponen grandes costes y son fundamentales para dejar de ser un blanco fácil para los ciberterroristas: 

  1. Mantener los antivirus actualizados: para protegerse adecuadamente de cualquier virus, spyware o malware.

  2. Tener un firewall (cortafuegos) adecuado que asegure la conexión a internet. Este software funciona como una barrera que protege la red interna de la empresa del exterior, es decir, de todo lo que esté en internet.

  3. Asegurarse de que los firewalls de los programas de software que se utilizan están disponibles, instalados y activados. Tanto si se utiliza Windows como Linux o MacOS.

  4. No dejar nunca de actualizar el software en cuanto el sistema lo sugiere. Es importante para instalar los últimos parches de seguridad.

  5. Sistematizar el proceso de creación de copias de seguridad, para que nunca dejen de hacerse. Toda la información crítica para el negocio debe mantenerse en copias de seguridad actualizadas.

  6. Proteger el hardware: tanto ordenadores como dispositivos móviles deben de estar protegidos para minimizar el daño en caso de que sean robados.

  7. Asegurar la red wifi: la encriptación WEP que suelen utilizar los routers no es segura. Por eso es importante cambiar la encriptación a WPA.

  8. Desarrollar una cultura de seguridad en la empresa: la ciberseguridad no sólo se compone de elementos tecnológicos, como hardware y software, sino también de los procesos y prácticas de todos los empleados que gestionan y utilizan los sistemas de información de la empresa.

    Es clave establecer normas y protocolos en materia de seguridad respecto al uso de los ordenadores, el correo electrónico, las bases de datos, los dispositivos propios, las aplicaciones personales etc.

    Cada vez es más frecuente que los empleados utilicen sus propios dispositivos para acceder a la información de la empresa. Es lo que se conoce como práctica BYOD (del inglés, bring your own device) o BYOT (bring your own technology), que no sólo abarca hardware sino también software. 

    El principal inconveniente de esta práctica es que si no se toman las medidas adecuadas puede suponer un punto importante de fuga de información o de introducción de software maligno en la red de la empresa.

  9. Limitar el acceso a la información de los empleados: sólo se debe conceder acceso a plataformas o a información que sea imprescindible para desarrollar su trabajo.

  10. Limitar la posibilidad de que los empleados instalen software en sus ordenadores o dispositivos móviles que sean propiedad de la empresa.

En nuestro caso, hemos creado una solución de firma electrónica avanzada que cumple con los mayores requisitos de seguridad. De este modo, toda la información sensible que circula a través de nuestra plataforma está protegida ante un posible ciberataque. 

Además de las 10 medidas comentadas en este post, en Signaturit hemos tomado precauciones especiales para proteger toda la información de nuestros clientes y usuarios:

  • Seguridad en las comunicaciones
    Garantizamos la seguridad de las comunicaciones entre los usuarios, nuestra plataforma y nuestro proveedor de infraestructura. De este modo, estamos asegurando la confidencialidad de los datos que circulan por la plataforma. Las dos medidas de control de este punto son:

    • Firewalls de acceso
      Nuestra plataforma está configurada para que cada uno de nuestros servidores sea lo más restrictivo posible, estableciendo grupos de seguridad con reglas muy concretas para permitir el acceso público únicamente a aquellos que son indispensables para el correcto funcionamiento del sistema.
    • Comunicaciones encriptadas
      En Signaturit todas las conexiones entre los distintos servidores o clientes (servidor - servidor, servidor - cliente) se realizan mediante conexiones HTTPS. Este sistema es el más seguro para acceder a Internet, ya que cualquier información que introduzcamos será cifrada, lo que garantiza que no podrá ser vista por nadie más que el cliente y el servidor.

  • Privacidad de la información
    Para garantizar la privacidad de toda la información que circula por nuestra plataforma, nuestra solución cumple con la normativa de la Unión Europea en materia de protección de datos, la Directiva 95/46/CE. Y en España cumplimos con la transposición de esta directiva, la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, también conocida como LOPD.
  • Seguridad de nuestro almacenamiento
    Todos los documentos que pasan por Signaturit se almacenan en servidores con una infraestructura de primer nivel en instalaciones SAS70 Type II, que han obtenido la certificación ISO 27001.

    En el caso concreto de las firmas electrónicas, es importante mencionar que no almacenamos ninguna en nuestra plataforma, sino que cada firma se realiza de manera única para cada documento. Este procedimiento hace que las firmas realizadas con Signaturit sean las más seguras, a diferencia de aquellas que pueden almacenarse en formato pdf para poder copiarlas cada vez que se necesita firmar un nuevo documento. 

Para más información sobre nuestras medidas de seguridad, haz click aquí. Y si quieres saber más sobre Signaturit, puedes descargarte el whitepaper publicado a continuación o ponerte en contacto con nosotros llamando al +34 935 511 480.

Este post también está disponible en inglés.

Whitepaper eSignatures 101


POSTS RELACIONADOS


 

Etiquetas: Transformación Digital

Subscríbete al blog

Últimos posts