La ciberseguridad es, actualmente, una de las principales preocupaciones de las empresas, sin embargo, en algunos aspectos es aún una asignatura pendiente para muchas de ellas, especialmente en lo que respecta a uno de los puntos más vulnerables, el factor humano. En esta entrada ofrecemos una pequeña guía para mejorar la ciberseguridad en la empresa a través de los comportamientos que se deben evitar.

¿Por qué es tan importante la ciberseguridad en la empresa?

Con el desarrollo y avance la transformación digital, las empresas dependen cada vez más y más de sus sistemas informáticos; ya no solo se trata de tener una página web o comunicarse a través de emails, hablamos de redes internas, de bases de datos, de servidores, del almacenamiento de información sensible para la compañía, de acceso remoto, etc. Y tanto empresas grandes como pequeñas están expuestas a sufrir ciberataques de diferente índole que ponen en riesgo esos sistemas y esa información.

Por estas y otras razones, la ciberseguridad ha pasado de ser algo que solo parecía atañer a grandes compañías y empresas tecnológicas, para llegar a pequeñas y medianas empresas que no quieren cómo este tipo de problemas afecta a su negocio. Porque sí, los ciberataques tienen consecuencias económicas también. Otras consecuencias son la pérdida de datos sensibles, los daños sobre a equipos, del deterioro de la calidad del producto o servicio o la suspensión de actividades.

Todo esto no hace más que resaltar la importancia de la ciberseguridad en las empresas y buscar las principales de brechas de seguridad que «facilitan» estos ataques. Y no hay duda, puesto que muchos informes y estudios han puesto ya el foco sobre ello, el principal riesgo para la ciberseguridad en la empresa es el factor humano, es decir, los empleados.

Ya se puede aumentar la inversión en ciberseguridad en las pymes y grandes empresas, contratando, por ejemplo, a otra empresa de ciberseguridad encargada de mantener seguros los sistemas informáticos, que si no se forma a los empleados en esta materia, ellos seguirán siendo el principal objetivo y coladero de los ciberdelincuentes y sus ataques.

Objetivos de implantar una política de ciberseguridad en la empresa

Por ello, el principal objetivo de implantar políticas de ciberseguridad en las empresas debería ser la formación y educación de los trabajadores en materia de ciberseguridad, enseñándoles una serie de medidas básicas de prevención para evitar que sean víctimas de los cibertaques más habituales o de cometer errores a la hora de conectarse a la red de la empresa a través de dispositivos externos.

El Decálogo de ciberseguridad para empresas publicado por el INCIBE es sin duda una buena guía para establecer otros objetivos en materia de ciberseguridad que cualquier empresario debería consultar. Además, está enfocado tanto a la protección de los sistemas informáticos como al cumplimiento legal que esto implica, especialmente respecto a la LOPD (Ley Orgánica de Protección de Datos), la LSSI (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico) y la LPI (Ley de Propiedad Intelectual).

Encontramos en este decálogo la necesidad de incluir una serie de normas y buenas prácticas respecto a los usos aceptables y no aceptables de los medios y equipos informáticos y digitales de la empresa, para los empleados:

  • Política de seguridad en el puesto de trabajo.
  • Normativa de uso de software legal o política de aplicaciones permitidas.
  • Política de uso o dispositivos personales.
  • Política de uso de portátiles.
  • Política de uso de WiFis externas o de conexión desde el exterior.
  • Buenas prácticas de movilidad o teletrabajo.
  • Clasificación de la información corporativa.
  • Políticas de almacenamiento y copias de seguridad.
  • Política de gestión de soportes, borrado seguro y de destrucción de la información.
  • Política de uso del email.
  • Política de contraseñas.
  • Política de actualizaciones.
  • Checklist para detectar fraude en pedidos online.»

Infografia de ciberseguridad en la empresa

Mejora la ciberseguridad de tu empresa, evitando ciertos comportamientos de riesgo

Puesto que la mayoría de los riesgos de ciberseguridad en las empresas provienen del error humano, vamos a ver una serie de medidas que podemos tomar en nuestra empresa para mejorar la ciberseguridad evitando ciertos comportamientos. Evidentemente, es necesario informar de estas medidas a los empleados, puesto que serán quienes deban ponerlas en práctica.

Evitar el uso de dispositivos ajenos a la empresa

El uso de pendrives o memorias externas por parte de los trabajadores es bastante habitual, son útiles para llevar archivos del trabajo a casa y viceversa. Sin embargo, en la mayoría de los casos, estos pendrives no han sido previamente analizados o formateados (especialmente cuando recurrimos a alguno que tengamos en casa) para prevenir la entrada de malware en los equipos de la empresa.

Debemos tener en cuenta que, aunque en el trabajo seamos especialmente cuidadosos, en casa nos relajamos más y si conectamos el pendrive que luego llevaremos a la oficina a nuestro ordenador personal y este esta infectado por algún malware, es posible que después lo llevemos con nosotros al ordenador del trabajo. Tened en cuenta que hay determinados malwares muy hábiles escondiéndose y a veces no somos conscientes de su presencia.

Por esto es recomendable que la empresa recurra a la nube para compartir documentos, una forma mucho más segura que el uso de pendrives u otros dispositivos de almacenamiento externo.

Evitar que los trabajadores hagan mal uso de los dispositivos de la empresa

También es necesarios que los trabajadores sepan qué pueden y no pueden hacer cuando usan los dispositivos de la empresa, tanto dentro del centro de trabajo como fuera de este (por ejemplo, con móviles de la compañía que tengan cedidos). En muchas ocasiones el uso inadecuado de los dispositivos de la empresa puede facilitar algunos tipos de ciberataques.

Descarga de software

La descarga de software desde el ordenador del trabajo debe estar completamente prohibida, especialmente cuando dichas descargas provienen de sitios dudosos o se trata de software pirata. Si un o varios empleados necesitan algún programa para realizar sus funciones, deben pedirlo a la empresa y no conseguirlo por otros medios.

Al descargar software de lugares sospechosos o no oficiales, podemos estar dejando entrar en el ordenador de la compañía algún tipo de malware que puede acabar infectando a todo el sistema informático.

Uso de redes sociales

Para algunas personas, consultar su perfil en redes sociales es algo que realizan incluso cuando están trabajando. Es cierto que en muchos centros de trabajo, el acceso a redes sociales está bloqueado y hay una razón para ello, aparte del hecho de que puede afectar a la productividad del empleado, y es que al acceder a sus cuentas de Facbook, Twitter, Instagram, etc., los trabajadores pueden descargar archivos de procedencia desconocida y no verificada o publicar imágenes o información relativa a su jornada de trabajo, que puede ser utilizada como pistas por los ciberdelincuentes (por ejemplo, para ataques de ingeniería social).

Descarga indiscriminada de archivos adjuntos en los emails

Si hay una puerta a la que los ciberdelicuentes les gusta llamar, esa es la del correo electrónico. El email se ha convertido en la principal vía para los ciberataques a empresas. Por ello debemos indicar a los empleados que no se debe acceder al correo personal en el ordenador de trabajo y muchos menos descargar archivos adjuntos sin que estos hayan pasado un análisis de seguridad previo del antivirus que esté empleando la empresa. Esto también es aplicable a los archivos adjuntos que se reciben en el email corporativo.

Concepto de ciberseguridad en la empresa

Procurar que se cierren las sesiones de todos los equipos al terminar la jornada laboral

A veces con apagar el ordenador pulsando en «apagar» no es suficiente medida de seguridad. Por este motivo es recomendable que al terminar la jornada de trabajo, los empleados no solo apaguen el ordenador, sino que antes cierren todas las sesiones de programas que puedan tener abiertas, de manera que se agregue una capa extra de seguridad en caso de que una tercera persona ajena a la empresa encienda el equipo. Contar con cuentas de usuario protegidas por contraseña ayudará en este sentido.

Bloquear equipos cuando no se utilicen

También es necesario que los equipos tengan configurados sistema de bloqueo automático para cuando los trabajadores se ausente del puesto en una pausa de trabajo o por cualquier otro motivo que les lleve a dejar desatendido sus ordenadores o dispositivos portátiles. Estos sistemas de bloqueo deben activarse pasado un período de tiempo no muy largo y estar protegidos por contraseñas robustas.

Cifrar los archivos importantes

Cuando usamos la nube para compartir o almacenar archivos, es imprescindible que estos estén cifrados cuando contienen información o datos importantes y sensibles tanto para o de la empresa como de los clientes. Independientemente del tipo de almacenaje en la nube que se use (gratuito y o corporativo), las carpetas deben cifrarse antes de subirse al servidor.

Mejorar la gestión de contraseñas y de permisos

Estamos ante una de las asignaturas pendiente en muchas empresas; todavía es fácil encontrar el acceso a cuentas de empresa usando las credenciales de administrador para todos los empleados, lo que puede provocar brechas de seguridad serias, puesto que todos los trabajadores tienen acceso a toda la información.

Es necesario que los empresarios sean conscientes de la necesidad de establecer niveles de acceso a la información y a través de ellos, conceder diferentes tipos de permisos a los trabajadores según sus roles en la compañía, de manera que solo puedan acceder a determinada información y áreas de control y administración los empleados necesarios. Implementar un modelo de confianza cero (o Zero Trust) puede ser una solución adecuada.

Crear copias de seguridad en le nube y en soporte físico

Crear copias de seguridad tanto en la nube como en soportes físicos debe ser un estándar en la empresa y llevarse a cabo con regularidad (día a día mejor), puesto que es la única manera de asegurarnos de que no perderemos información o datos del trabajo diario y los clientes en caso de una ciberataque. Todo debe ser guardado a diario en copias de seguridad cifradas para evitar males mayores en caso de un incidente informático.

Informar de cualquier incidente de seguridad del que se tenga constancia en le empresa

El tiempo de reacción ante un ataque informático es vital, cuánto más se tarde en conocer que se ha producido un ciberataque, mayores y peores podrán ser sus consecuencias para la empresa. Por ello es clave que los empleados comprendan la necesidad de reportar inmediatamente que se ha producido un incidente de ciberseguridad.

Puede que los trabajadores, por miedo a las represalias o el simple desconocimiento de las consecuencias, no informen de este tipo de incidentes, especialmente si ellos son parte de la causa. Por eso debemos asegurarnos de que entienden la necesidad de informar cuanto antes y de que cuánto más tarden en hacerlo, peores podrán ser las consecuencias para todos.

Finalmente, como veis, la mejor política de ciberseguridad en la empresa es la prevención y la formación de los empleados en dichas medidas de prevención y prácticas que deben evitar durante su jornada laboral.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.