CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/10/2013

Ciberseguridad per a pimes pas a pas

Cifrado Tota la informació que maneja un negoci té valor, no sols per a l’empresari, sinó també per a altres, com per exemple per a la competència o per al crim organitzat. Sempre pensem: —les meues dades no són interessants per als altres—, o —qui obtindrà benefici amb les meues dades, projectes, desenrotllaments…?—. Però no podem oblidar que si quelcom té valor per a altres, està en perill.

La seguretat al 100% no existix, els equips fallen, les amenaces canvien contínuament i cometem errors. No obstant això, el perill és real i no desapareixerà, però podem reduir-lo.

A més, les conseqüències poden ser molt greus amb importants danys econòmics i d’imatge. Segons un informe de Kaspersky les pèrdues per un incident greu suposen de mitja per a les pimes al voltant de 38.000 euros. A més les multes per incompliment de la LOPD i la LSSI-CE també poden resultar cares (fins a 600.000 euros). 

Fa un any el CESG (Communications-Electronics Security Group), l’anàleg britànic al Centre Criptològic Nacional Espanyol CCN, junt amb el seu departament del govern per a empreses, BIS (Business Innovation & Skills), van publicar una guia 10 steps to Cyber Security amb els passos que una PIME hauria de seguir per a cuidar de la seua seguretat en el ciberespai. Ens ha paregut interessant i a mode de resum indiquem a continuació el seu contingut.  Estos són els primers passos que s’ha de seguir per a cuidar de la seguretat TIC del teu negoci:

  1. Comprén i gestiona els teus riscos

    Decidix qui (o qui) seran els responsables de gestionar els riscos de seguretat TI en la teua empresa. Tria quin nivell de risc estàs disposat a acceptar. Recorda els consells del nostre recent apunt «Si no invertixes en seguretat corres un alt risc».

    Elabora una Política de Seguretat que descriga, pas a pas, què estàs disposat a fer per a gestionar els riscos. Revisa-la, almenys, cada any per a assegurar-te que s’ajusta als teus riscos. Distribuïx les responsabilitats de seguretat TI entre els teus col·laboradors i assegura’t que comprenen i assimilen la seua importància.

  2. Actualitza el teu software (configuracions segures)

    Fes un inventari amb tots els teus actius de tecnologies de la informació (instal·lacions, equips, hardware, software,...) per a ser conscient del que tens i del seu valor. Posa al dia els sistemes operatius, el software, el firmware, etc., amb parches i actualitzacions tan prompte com isquen.  Pots activar l’opció d'«actualització automàtica» durant la instal·lació de molts paquets software. Assegura’t que tens llicències de tot el software instal·lat.

    Revisa periòdicament les debilitats dels teus sistemes, per exemple, per mitjà d’una anàlisi de vulnerabilitats (per a començar pots utilitzar alguna ferramenta gratuïta) o, si el teu equipament és més complex, amb una ferramenta de pen testing valorant si has de contractar un equip especialitzat i professional. Almenys fes-ho una vegada a l’any o quan realitzes algun canvi important de hardware o software.

  3. Protegeix la teua xarxa

    Protegix la teua xarxa contra atacs externs i interns. Comprova si el dispositiu que connecta la teua organització a Internet, el router que t’ha proporcionat el proveïdor d’Internet (ISP de l’anglés 'Internet Service Provider'), inclou tallafocs, que permetrà controlar les connexions de xarxa de l’accés a Internet. Si no és així instal·la un paquet ofimàtic de seguretat que incloga esta funcionalitat per als teus equips. Seguix les instruccions del fabricant per a mantindre'l ben configurat i actualitzat. Roman alerta dels missatges que et vaja indicant. Consulta amb un expert si sospites que la teua xarxa ha sigut compromesa o si observes una activitat poc habitual.

  4. Instal·la defenses contra el malware

    Utilitza en tots els equips de l’empresa un antimalware (un poc més que un antivirus), o un paquet de seguretat amb esta funcionalitat. Utilitza totes les prestacions (antivirus, antispyware...) que t’oferisca el paquet, encara que per a això haja que canviar alguns hàbits. Assegura’t que l’escanejat es realitza, almenys, cada dia i configura la ferramenta perquè s’actualitze automàticament.

  5. Gestiona l’accés als teus sistemes (privilegis d’usuari)

    Per a controlar l’accés als sistemes i equips utilitza noms d’usuari i contrasenyes. Cerciora’t que els empleats utilitzen contrasenyes segures, i que no les apunten en paper o les compartixen amb altres usuaris. Limita els privilegis d’administració de sistemes als que realment siguen administradors. Assegura’t que els empleats només tinguen accés a les carpetes que necessiten per al seu treball. Mantín les dades sensibles (comptabilitat, nòmines, clients, estratègia...) separats i vigilats.

Més informació

Font: Inteco-CERT

CSIRT-CV