CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/10/2013

Ciberseguridad para pymes paso a paso

Cifrado Toda la información que maneja un negocio tiene valor, no solo para el empresario, sino también para otros, como por ejemplo para la competencia o para el crimen organizado. Siempre pensamos: —mis datos no son interesantes para los demás, o — ¿quién va a obtener beneficio con mis datos, proyectos, desarrollos…? Pero no podemos olvidar que si algo tiene valor para otros, está en peligro.

La seguridad al 100% no existe, los equipos fallan, las amenazas cambian continuamente y cometemos errores. No obstante, el peligro es real y no va a desaparecer, pero podemos reducirlo.

Además, las consecuencias pueden ser muy graves con importantes daños económicos y de imagen. Según un informe de Kaspersky las pérdidas por un incidente grave suponen de media para las pymes alrededor de 38.000 €. Además las multas por incumplimiento de la LOPD y la LSSI-CE también pueden resultar caras (hasta 600.000 €). 

Hace un año el CESG (Communications-Electronics Security Group), el análogo británico al Centro Criptológico Nacional Español CCN, junto con su departamento del gobierno para empresas, BIS (Business Innovation & Skills), publicaron una guía«10 steps to Cyber Security» con los pasos que una pyme debería seguir para cuidar de su seguridad en el ciberespacio. Nos ha parecido interesante y a modo resumen indicamos a continuación su contenido.  Estos son los primeros pasos a seguir para cuidar de la seguridad TIC de tu negocio:

  1. Comprende y gestiona tus riesgos

    Decide quiénes (o quién) serán los responsables de gestionar los riesgos de seguridad TI en tu empresa. Elige qué nivel de riesgo estás dispuesto a aceptar. Recuerda los consejos de nuestro reciente post «Si no inviertes en seguridad corres un alto riesgo».

    Elabora una Política de Seguridad que describa, paso a paso, qué estás dispuesto a hacer para gestionar los riesgos. Revísala al menos cada año para asegurarte que se ajusta a tus riesgos. Distribuye las responsabilidades de seguridad TI entre tus colaboradores y asegúrate que comprenden y asimilan su importancia.

  2. Actualiza tu software (configuraciones seguras)

    Haz un inventario con todos tus activos de tecnologías de la información (instalaciones, equipos, hardware, software,...) para ser consciente de lo que tienes y de su valor. Pon al día los sistemas operativos, el software, el firmware, etc. con parches y actualizaciones tan pronto como salgan.  Puedes activar la opción de «actualización automática» durante la instalación de muchos paquetes software. Asegúrate de que tienes licencias de todo el software instalado.

    Revisa periódicamente las debilidades de tus sistemas, por ejemplo, mediante un análisis de vulnerabilidades (para empezar puedes utilizar alguna herramienta gratuita) o, si tu equipamiento es más complejo, con una herramienta de pen testing valorando si has de contratar un equipo especializado y profesional. Al menos hazlo una vez al año o cuando realices algún cambio importante de hardware o software.

  3. Protege tu red

    Protege tu red contra ataques externos e internos. Comprueba si el dispositivo que conecta tu organización a Internet, el router que te ha proporcionado el proveedor de Internet (ISP del inglés: Internet Service Provider), incluye cortafuegos, que va a permitir controlar las conexiones de red del acceso a Internet. Si no es así instala uno o una suite de seguridad que incluya esta funcionalidad para tus equipos. Sigue las instrucciones del fabricante para mantenerlo bien configurado y actualizado. Permanece alerta de los mensajes que te vaya indicando. Consulta con un experto si sospechas que tu red ha sido comprometida o si observas una actividad poco habitual.

  4. Instala defensas contra el malware

    Utiliza en todos los equipos de la empresa un antimalware (algo más que un antivirus),o un paquete de seguridad con esta funcionalidad. Utiliza todas las prestaciones (antivirus, antispyware,...) que te ofrezca el paquete, aunque para ello haya que cambiar algunos hábitos. Asegúrate de que el escaneado se realiza al menos cada día y configura la herramienta para que se actualice automáticamente.

  5. Gestiona el acceso a tus sistemas (privilegios de usuario)

    Para controlar el acceso a los sistemas y equipos utiliza nombres de usuario y contraseñas. Cerciórate de que los empleados utilizan contraseñas seguras, y que no las apuntan en papel o las comparten con otros usuarios. Limita los privilegios de administración de sistemas a quienes realmente sean administradores. Asegúrate de que los empleados sólo tengan acceso a las carpetas que necesiten para su trabajo. Mantén los datos sensibles (contabilidad, nóminas, clientes, estrategia,...) separados y vigilados.

Más información

Fuente: Inteco-CERT

CSIRT-CV