La ciberseguridad es un problema empresarial al que, lamentablemente, aún muchos empresarios no le están prestando atención. Hemos presencia de forma reciente ataques como la violación de datos de Blackbaud y el hackeo de Twitter que hacen pensar a muchos de ellos, que están exentos de estos peligros porque siempre hay objetivos más grandes que los de sus compañías. Sin embargo, las amenazas cibernéticas siempre están allí rondando, y por eso queremos aclarar algunas cuestiones al respecto, que consideramos de gran relevancia.
Lo primero que tienes que considerar es que igual que los delincuentes en el mundo físico, no todos los piratas informáticos tienen capacidad suficiente como para atacar la seguridad de Twitter. No, la gran mayoría de ellos tiene que contentarse con movimientos menos impactantes. Y allí es justo cuando alguno puede pensar en vulnerar los datos de tu firma. De hecho, las estadísticas demuestran que los criminales rara vez suelen dirigirse a víctimas que tienen un perfil demasiado alto. Por lo general, apuestan por pequeños y medianos emprendimientos.
Dicho lo anterior, la principal amenaza con la que se encuentran hoy las PyMes es, justamente, el malware. Estamos hablando de una clase de software diseñado para realizar alguna acción en beneficio de los ciberdelincuentes o actores de amenazas, colándose en los sistemas de seguridad. Estos programas son capaces de detectar los movimientos de un ordenador, robar información y luego pedir pagos en Bitcoin, que no deja señales.
Además, es habitual que cuenten con cierta «colaboración» del responsable principal de estas pequeñas y medianas empresas, o de alguno de sus empleados. La persona abre un correo electrónico aparentemente inocentes. Para cuando toma nota del error, muchos de sus sistemas de seguridad han sido arrasados por el malware descargado.
Dicho lo anterior, y apostando a una ciberseguridad integral en tu organización, repasemos sus pilares.
¿Qué factores hacen a una ciberseguridad eficiente?
Tecnología
La tecnología es el primer factor clave que debemos considerar cuando pensamos en seguridad. Cuando nos referimos a ella, lo hacemos tanto acerca de los sistemas de hardware y software, como de la filosofía mediante la cual se los integre a tu compañía. Aquí surgen algunas preguntas y nociones esenciales a considerar.
Por caso, siempre revisa que todos los sistemas operativos y software de aplicaciones estén dentro de los períodos de soporte de los fabricantes. Lo mismo para el firmware de dispositivos como enrutadores y firewalls.
Luego hay elementos como las Regulaciones Generales de Protección de Datos –GDPR– de Europa, que no deberías dejar de considerar a la hora de la encriptación para el correo electrónico y la encriptación de los discos duros.
Debes contar con un firewall, apostando a aquellos modernos que funcionan casi como suites de seguridad completas por su cuenta. Hasta hay algunos con paquetes antivirus como parte del producto. Si es necesario, debes combinar la protección de dos o más de ellos para dormir tranquilo.
Del mismo modo, apuesta por medidas de filtrado de correo electrónico y anti-spam, que reducirán drásticamente las probabilidades de que las amenazas transmitidas por correo electrónico se transformen en un dolor de cabeza.
Para estar seguro de que todo está funcionando como debería, apuesta siempre por pruebas de análisis, esas que escanean las vulnerabilidades buscando los errores de cada uno de los sistemas.
Tampoco olvides las copias de seguridad. Realiza copias de seguridad constantes, en todos los medios que consideres necesarios y variándolos entre ellos. Usa tanto discos físicos como virtuales para más tranquilidad.
Por último, presta atención a las nuevas tecnologías. Algunas de ellas, como el blockchain, puede mejorar la ciberseguridad de tu empresa más de lo que imaginarías. Así que no dejes de echarles un vistazo.
Gobierno de las TI
La tecnología de la información, o simplemente TI, requiere de una serie de controles que se deben aplicar para gobernar el uso de esta clase de información. Por lo tanto, debemos establecer una serie de políticas y procedimientos específicos para la protección de datos, haciendo no sólo caso a las costumbres, sino también a las obligaciones. Por lo tanto, hace falta ser muy preciso con los procedimientos que se llevan a cabo.
Vayamos a un caso concreto. Incluso a día de hoy, la forma más común de autenticación de un usuario en un sitio web sigue siendo la contraseña. Pero en una empresa, ¿hasta qué punto podemos estar seguros de que las contraseñas de nuestros empleados son difíciles de descifrar? Evidentemente, tendrás que poner ciertas reglas acerca de la generación de contraseñas a las que ellos deberán adecuarse de allí en adelante.
Y lo mismo ocurre con las leyes y reglamentos, tanto nacionales como internacionales.
Nuestro consejo es que generes procedimientos escritos, que disipen cualquier posibilidad de dudas.
Consciencia del personal
Un poco lo que decíamos antes. Los cambios, las políticas y los procedimientos deben implementarse de manera informada e inclusiva, de modo que obtengan la aceptación y el apoyo del personal. Es de vital importancia, por eso, que tus empleados comprendan el enorme perjuicio que puede causarle a tu empresa un mal manejo de los accesos personales. Muchos de ellos, incluso, necesitarán de capacitación al respecto. Y debes dárselas.
A final de cuentas, no está de más recordar que muchos ataques de ransomware cierran empresas.
En resumen, podríamos decir que estamos hablando de gente. En otras palabras, la ciberseguridad de tu empresa depende de seres humanos que pueden ser más o menos precavidos. A los cuales tendrás que interpelar en la materia, enseñarles de qué se trata esta arista de la compañía y demás.