Ciberseguridad y PYMES
Introducción
Internet es indispensable. Hoy día, todas las empresas necesitan de internet para realizar sus operaciones. Pero, aunque la red ha ayudado a muchas empresas a crecer, no está exenta de graves riesgos. El cibercrimen es el tipo de actividad delictiva de más rápido crecimiento en la actualidad, con violaciones de seguridad y sus costes ocupando titulares casi a diario. No nos equivocamos al decir que la ciberseguridad se ha convertido en una gran preocupación para todo el sector empresarial.
Algo que hemos aprendido en los últimos años es que nadie está a salvo, porque la ciberseguridad es ya no es solo una preocupación de las grandes empresas. Los ciberdelincuentes han encontrado un nuevo punto débil: las pequeñas y medianas empresas, que a menudo carecen de los recursos para mantenerse al día respecto a las crecientes amenazas para la seguridad.
Aprovechar las innovaciones tecnológicas es fundamental si las pymes quieren tener éxito en la economía actual, pero deben ser plenamente conscientes de los peligros que plantean dichas tecnologías. Saber qué hay que tener en cuenta y cómo configurar las defensas de ciberseguridad debería estar en la lista de prioridades de cualquier pyme en la actualidad.
Ante estos desafíos, las pymes ponen su atención en mitigar cualquier riesgo de ciberataque o filtración de datos. Los recientes incidentes de alto perfil han llevado a las pequeñas empresas a revisar y reevaluar sus prácticas de seguridad. Como resultado de ello, muchas están haciendo todo lo posible para adaptarse.
Alarmante Números
En los últimos años, hemos sido testigos de una serie de ciberataques con éxito contra algunas de las empresas más destacadas del mundo. El ritmo al que se producen esas filtraciones resulta al mismo tiempo espectacular y aterrador. Dado que los medios de comunicación y las fuerzas del orden tienden a centrarse en los ataques y las brechas a gran escala, es fácil pasar por alto que las pymes suelen correr un riesgo aún mayor y que son mucho más vulnerables a la actividad de los ciberdelincuentes.
- Aquí tienes algunas estadísticas básicas que ponen en contexto el alcance y la urgencia del problema al que se enfrentan las pymes.
El informe del Instituto Ponemon revela que, solo en 2019, el 66 % de las pymes sufrieron un ciberataque y el 63 % sufrieron una filtración de datos.
- Aún más preocupante es el hecho de que la ciberdelincuencia represente una amenaza existencial para las pymes. Statista señala que el coste medio de un ciberataque asciende a unos 8,64 millones de dólares, mientras que el Alianza Nacional de Ciberseguridad afirma que el 60 % de las pequeñas y medianas empresas que son víctimas de un ciberataque grave cierran en un plazo de seis meses.
¿Por qué las pymes atraenla actividad de los ciberdelincuentes?
- El nivel de los ataques de los ciberdelincuentes a las pequeñas y medianas empresas (PYMES) está en su punto más alto. Hay varias razones que hacen que las pymes sean un objetivo atractivo para los ciberdelincuentes, pero la principal es muy simple. Las pequeñas empresas son objetivos más fáciles que las grandes corporaciones, porque suelen carecer de recursos para protegerse de la actividad de los ciberdelincuente y no tienen suficiente experiencia interna para lidiar con los ataques informáticos y el cambiante panorama de las ciberamenazas.
- A veces, las pymes operan con una falsa sensación de seguridad. Según Forbes, el 57 % de los propietarios de pequeñas empresas cree que no serán blanco de los ciberataques. Esta descabellada idea es un factor importante para entender por qué las pymes son tan atractivas para los ciberdelincuentes.
Las amenazas más habituales para la ciberseguridad
Suplantación de identidad o phishing
El phishing es una forma de ingeniería social. En pocas palabras, un ataque de phishing ocurre cuando un ciberdelincuente adquiere la apariencia de un contacto de confianza para que el usuario haga clic en un enlace malicioso, se descargue un archivo infectado o proporcione acceso a cuentas confidenciales.
Los ataques de phishing se encuentran entre las amenazas más peligrosas y generalizadas a las que se enfrentan las pequeñas empresas. Según Informe sobre la investigación de filtraciones de datos de Verizon 2020 (DBIR), el 22 % de las brechas producidas en 2019 se debieron al phishing. En 2020, el 75 % de las empresas de todo el mundo sufrió algún tipo de ataque de phishing.
Los ataques de phishing son cada día más sofisticados. Los atacantes siempre encuentran formas nuevas y más convincentes de imitar los contactos comerciales legítimos. Esto es lo que hace que las estafas mediante phishing sean tan difíciles de detectar y combatir. En lugar de explotar las debilidades de ciberseguridad de las empresas, los atacantes utilizan la ingeniería social para atacar a los integrantes de la organización.
El error humano es un importante factor que contribuye a la mayoría de las filtraciones de datos.
Ataques de ransomware
Los ataques de ransomware son otra amenaza común para la ciberseguridad que afecta a miles de pequeñas empresas cada año. En los últimos años, los ataques de ransomware se han vuelto más frecuentes, ya que resultan extremadamente lucrativos para los atacantes. El informe sobre la investigación de filtraciones de datos de Verizon de 2020 ha revelado que el 83 % de los ciberataques contra las pymes de menos de 1000 empleados tienen motivaciones financieras.
En un ataque de ransomware, los hackers cifran los datos de la empresa para que no se pueda acceder a ellos ni utilizarlos de ninguna manera y, como indica su nombre en inglés, exigen un rescate para desbloquearlos. Esto supone una pesadilla para cualquier empresa.
Las pymes son especialmente vulnerables a este tipo de ataques. El Informe Datto destaca que 1 de cada 5 pymes es víctima de un ataque de ransomware, y que el rescate medio solicitado es de unos 5900 $. La causa principal de los ataques de ransomware, como se señala en el informe, son los correos electrónicos de phishing. Solo en el primer trimestre de 2020, los ataques de ransomware contra las pymes aumentaron en un 67 %. Y lo que es aún peor es que, en 2020, el 73 % de los ataques de ransomware tuvieron éxito. No sería una exageración afirmar que los ataques de ransomware pueden suponer una amenaza para la existencia de cualquier pyme.
Contraseñas poco seguras
El uso por parte los empleados de contraseñas poco seguras, reutilizadas o comprometidas es otro problema importante para la ciberseguridad que pone en riesgo a las pequeñas empresas. Aunque actualmente los riesgos de usar contraseñas débiles es algo bien conocido, algunas pymes todavía tienen dificultades para establecer unas prácticas respecto a las contraseñas para toda la empresa o para realizar un seguimiento del uso de las contraseñas por parte de sus empleados.
De acuerdo un estudio reciente, el 47 % de las pymes informaron de que habían sufrido un ciberataque derivado de la contraseña comprometida de un empleado y que el coste medio de dichos ataques ascendía a 384 598 $. Nuestra propia investigación reveló que nada menos que un 73 % de las contraseñas más populares del mundo podrían descifrarse en menos de un segundo.
Un informe de Google indica que dos tercios de los usuarios reutilizan contraseñas en las cuentas de trabajo o entre las cuentas de trabajo y las personales.
Amenazas internas
Estas se describen como el riesgo que suponen para las empresas las acciones de empleados, exempleados, socios comerciales o colaboradores. Estos ataques pueden llegar a ser los más peligrosos, ya que las personas con información privilegiada pueden acceder a datos fundamentales más fácilmente que cualquier persona desde el exterior.
Un informe de Verizon Insider reveló algunos números alarmantes. De acuerdo con el informe, el 57 % de las filtraciones de bases de datos implicaron amenazas internas, mientras que el 20 % de los incidentes de ciberseguridad y el 15 % de las filtraciones de datos se debieron al uso indebido de privilegios de usuario. Otro estudio informó de que el 71 % de los usuarios tienen acceso a datos de la empresa que no deberían poder ver.
Prevenir las amenazas para la ciberseguridad
Protege tu negocio con NordPass
Ayudar a las pymes a superar para la ciberseguridad
La ciberseguridad es una cuestión enormemente difícil, que se complica aún más por los limitados recursos de que disponen las pymes. No obstante, hay formas de abordar de manera proactiva las amenazas y los problemas señalados anteriormente.
A continuación, proporcionamos explicaciones, consejos y recomendaciones sobre lo que las pymes pueden hacer para mejorar su seguridad virtual y, por lo tanto, minimizar el riesgo de verse afectadas por un ciberataque.
Determina tus vulnerabilidades
Cualquier pyme que busque impulsar su ciberseguridad deberá evaluar primero los riesgos que podrían poner en peligro la seguridad de las redes, los sistemas o la información de la empresa. La detección y el análisis de la posibles amenazas te ayudarán a preparar un plan y a subsanar cualquier carencia de tu estrategia de ciberseguridad.
Asegúrate de examinar dónde y cómo almacenas los datos de tu empresa y quién puede acceder a ellos.
Evalúa quién puede querer acceder a los datos y cómo podría hacerlo. Determina los niveles de riesgo así como los puntos de entrada de posibles ciberataques y brechas.
Una vez que hayas terminado con el análisis y hayas identificado las posibles amenazas para la ciberseguridad, utiliza esa información para desarrollar o refinar tu estrategia de seguridad. Recuerda revisar la estrategia con frecuencia y notificar a tu personal si se produce algún cambio.
Consejo:
- Considera la posibilidad de contratar a un profesional para evaluar la seguridad de tu empresa.
Formación en ciberseguridad para el personal
Lamentablemente, en muchas pequeñas empresas, los empleados no suelen estar preparados para protegerse a sí mismos y a su empresa de los ciberataques.
Actualmente, la formación en ciberseguridad debería ser un componente imprescindible.
Si tu empresa carece de los recursos para externalizar la formación relativa a la ciberseguridad, asegúrate de que tus empleados estén al tanto de las políticas de seguridad de la empresa. Enséñeles las políticas de protección de datos de la empresa para que estén concienciados. Tómate el tiempo necesario para responder a sus preguntas o para aclarar cualquier duda. Además, organiza seguimientos a largo plazo con los empleados. Asegúrate de enviar mensajes de sensibilización para informar a los empleados sobre cualquier cambio que se produzca en las directrices.
Consejos:
- Introduce una política de contraseñas para toda la empresa.
- Considera la posibilidad de establecer una política de uso del correo electrónico para toda la empresa.
- Establece seguimientos regulares.
Secure your database
Hoy en día, todo está almacenado en bases de datos. Contienen una gran cantidad de datos que se han convertido en un valioso activo, especialmente a ojos de los ciberdelincuentes. Pueden ser registros de clientes, datos de tarjetas de crédito o documentos internos de la empresa. Como era de esperar, la seguridad de las bases de datos se ha convertido en un cuestión de máxima importancia. Para las empresas, es igualmente importante elegir una base de datos optimizada para evitar posibles brechas como tomar medidas proactivas que garanticen la seguridad de una base de datos.
Consejos:
- Separa los servidores de bases de datos y los servidores web.
- Audita y monitoriza la actividad de la base de datos.
- Deshabilita el acceso de la red pública a los servidores de la base de datos.
- Cifra tu base de datos.
Haz una copia de seguridad de tus datos
Piensa en qué medida depende tu empresa de los datos: pedidos, datos de pagos, cuotas y datos de clientes. Ahora, imagina lo que pasaría si de repente perdieras el acceso a toda esa información.
Realizar copias de seguridad periódicas de los datos y almacenarlos de forma segura es esencial para cualquier empresa, independientemente de su tamaño.
Al convertir las copias de seguridad en una prioridad, te defiendes proactivamente frente a una variedad de amenazas para la ciberseguridad.
Consejos:
- Identifica los datos esenciales de los que necesitas hacer una copia de seguridad.
- Si es posible, guarda tus copias de seguridad en un ordenador sin conexión.
- Programa la realización de copias de seguridad.
Usa un programa antivirus
El software antivirus, que a menudo es la primera línea de defensa proactiva, debe usarse en todos los puestos de trabajo, ordenadores de sobremesa y portátiles de la empresa. En los sistemas operativos más utilizados suele incluirse un software antivirus básico. Si careces de los recursos para adquirir un software específico, asegúrate de habilitar todas las herramientas antivirus y antimalware predeterminadas incluidas en el sistema operativo. En caso contrario, una buena idea para cualquier pyme es invertir en un software antivirus profesional y fiable.
La mayoría de los desarrolladores de antivirus ofrecen un producto más robusto y con una capacidad de detección significativamente mayor que las herramientas predeterminadas incluidas en el sistema operativo. Los smartphones, tablets y demás dispositivos electrónicos pueden requerir un enfoque diferente, pero asegúrate de no olvidarte de ellos, ya que el compromiso de un único punto de entrada podría ser suficiente para causar una filtración.
Consejos:
- Al elegir el software antivirus, ten en cuenta su tasa de detección.
- El software antivirus de uso profesional debe escanear correos electrónicos, archivos adjuntos y documentos y proporcionar un firewall robusto.
- Ten en cuenta la cantidad de recursos del sistema que utilizará tu antivirus.
Implementa un gestor de contraseñas
Las contraseñas débiles, comprometidas o reutilizadas son la razón principal de las filtraciones de datos. La mayoría de las personas están agotados de usar tantas contraseñas diferentes online. Nuestro reciente estudio ha revelado que, en 2020, un usuario medio de Internet tenía alrededor de 100 contraseñas.
Muchas de esas contraseñas se reutilizan constantemente, y algunas de ellas podrían haber sido descifradas y estar ahora al alcance de cualquiera en la deep web.
Lamentablemente, esto hace que los ciberataques sean mucho más fáciles de llevar a cabo y mucho más efectivos. En cualquier caso, las soluciones de gestión de contraseñas son imprescindibles para las empresas de cualquier tamaño.
Un software fiable de gestión de contraseñas para empresas ofrece un depósito cifrado desde el que tú y tus empleados podéis recuperar contraseñas de forma segura y rápida. Elimina la necesidad de utilizar hojas de cálculo, que a menudo almacenan contraseñas en texto sin formato y sin ninguna protección. Los gestores de contraseñas para empresas como NordPass Business garantizan además una gestión eficaz de los usuarios desde un único lugar (el Panel de Administración) y ofrecen funciones como la creación de grupos para una gestión más eficaz.
Los gestores de contraseñas hacen algo más que proteger contraseñas. La mayoría ofrece protección para otros datos confidenciales, como tarjetas de crédito, notas seguras e información personal. Por ejemplo, NordPass Business ofrece herramientas y funciones de seguridad adicionales, como un generador de contraseñas, un Escáner de Filtraciones de Datos y una herramienta de control de contraseñas.
Consejos:
- Establece la compatibilidad entre plataformas de manera que tú y tus empleados obtengáis contraseñas en ordenadores de sobremesa, portátiles y dispositivos móviles.
- Analiza las capacidades de gestión de los usuarios.
- Lee minuciosamente y analiza las políticas de privacidad y seguridad de los proveedores.
- Busca un servicio con atención al cliente que funcione las 24 horas del día.
Mantiene tu software actualizado
Si utilizas uno o más programas de software en los dispositivos de tu empresa, debes actualizarlos regularmente con parches del desarrollador, al igual que los sistemas operativos. ¿Alguna vez te ha interrumpido una notificación que te solicita que actualices una determinada aplicación? Pueden resultar molestas, pero la mayoría de nosotros solemos posponerlas por tiempo indefinido. Sin embargo, las actualizaciones periódicas son cruciales para la ciberseguridad de tu empresa.
Las actualizaciones no solo añaden nuevas funciones y características, sino que también reparan cualquier vulnerabilidad respecto a la seguridad. Asegúrate de informar a tu personal de cuándo están listas las actualizaciones y cómo instalarlas. Explícales que es importante hacerlo de inmediato para la seguridad de toda la empresa.
Consejos:
- Activa las actualizaciones automáticas.
- Familiarízate con el programa de actualización del software.
Usa una autenticación multifactor
La autenticación multifactor (AMF) puede desempeñar un papel fundamental en tu estrategia general de ciberseguridad. La AMF es una forma de autenticación que proporciona una capa de seguridad adicional a cada plataforma o aplicación a la que tú o tus empleados accedéis y utilizáis.
Si tienes la opción de usar la AMF para cualquiera de tus cuentas de negocios, debes hacerlo.
Hay una amplia variedad de métodos de autenticación multifactor disponibles, pero todos ellos están diseñados para proporcionar esa capa de seguridad adicional.
La AMF representa una ayuda para la seguridad, la productividad y la conformidad. También proporciona a las empresas una forma eficaz de proteger su infraestructura organizativa.
La AMF funciona solicitando múltiples formularios de verificación para comprobar así la identidad del usuario. Por nombrar solo algunos, estaríamos hablando de mensajes de texto, códigos de correo electrónico o llamadas telefónicas. Puedes elegir la opción que mejor se adapte a las necesidades de tu empresa para garantizar que no interfiera con las operaciones efectivas en el lugar de trabajo.
Consejos:
- Si tu empresa utiliza software basado en la nube, debes exigirles a tus empleados que utilicen la AMF en todo momento.
- Cualquier inicio de sesión de escritorio remoto debe requerir una AMF.
- Valora la implementación de una política para toda la empresa que requiera que todos usen la AMF para las cuentas o aplicaciones relacionadas con el trabajo.
Protege tu red
En última instancia, cuantas más medidas de seguridad puedas implementar, mejor. En la actualidad, a medida que los ciberdelincuentes van mejorando en cuanto a la interceptación y el espionaje de redes, proteger la red de tu empresa debe estar en los puestos prioritarios de tu lista de medidas. La forma más fácil de hacerlo es implementando un servicio de red privada virtual (VPN, por sus siglas en inglés) dentro de tu empresa.
Una VPN cifra la conexión a Internet y los datos transferidos a través de tu red de empresa. Los servicios como NordVPN ofrecen también otras funciones, como un interruptor de apagado, que está diseñado para desconectar el hardware de la red si la conexión protegida se pierde repentinamente. Esto mantiene la red de tu empresa a salvo de fugas de datos inesperadas e indeseadas. Con una VPN para toda la empresa, tus empleados pueden usar el wifi de forma segura sin comprometer los datos confidenciales de la misma mientras trabajan desde casa. Esto ha sido especialmente importante durante la pandemia de COVID-19, ya que muchas empresas se han visto obligadas a realizar sus actividades enteramente online.
Consejos:
- Al elegir una VPN para tu negocio, debes tener en cuenta el protocolo de cifrado.
- Asegúrate de que el servicio proporciona una velocidad de conectividad adecuada para tu negocio.
- Un servicio de VPN fiable debería ofrecer una función de kill switch.
- Ten en cuenta las políticas de registro del proveedor de servicios VPN.
- El servicio de atención al cliente debe estar disponible las 24 horas del día, para garantizar una conectividad estable a la empresa.
Reflexiones finales
Cada día, una nueva entidad se ve afectada por un ciberataque. Aquí se incluyen universidades, escuelas, proveedores de servicios médicos, instituciones gubernamentales y empresas de cualquier tamaño. Cualquiera puede convertirse en víctima de un ciberataque. La tendencia actual sugiere que esos ataques no harán sino aumentar en el futuro.
Los expertos en seguridad ya están hablando sobre lo que significa para las pymes ser ciberresilientes, y cómo este aspecto puede mejorar la ciberseguridad general de tu empresa. Con este aumento de los ciberataques a las pymes, estar preparado te garantiza que puedas resistir a todas las amenazas y que te recuperes rápidamente en caso de un ataque o brecha real. Recuerda: adoptar un enfoque proactivo de la ciberseguridad y hacer que las pequeñas y medianas empresas sean más resilientes.
En tu esfuerzo por continuar protegiendo, detectando y respondiendo a los ataques durante 2021, recuerda seguir las últimas tendencias en cuanto a ciberseguridad, ya que los hackers siguen encontrando nuevas formas más sofisticadas y creativas de dañar tu negocio.
Esperamos que esta guía de ciberseguridad te haya resultado útil. Si tienes más preguntas sobre cómo podrías implementar un administrador de contraseñas o un servicio de VPN para garantizar la seguridad de tu empresa, no dudes en ponerte en contacto con nosotros.
¡Cuídate!, El equipo de NordPass
Protege tu negocio
Compra ahora o completa el formulario para una oferta personalizada.
Hasta 250