Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/05/2013
Els 10 errors de ciberseguretat més freqüents a les pimes
Cada any, les pimes europees perden milions d’euros per incidències de seguretat, causades per errors com ara creure que la seua dimensió no interessa els pirates.
Encara que molts xicotets i mitjans empresaris no en siguen conscients, les pimes també estan sota l’amenaça dels ciberdelinqüents. Cada any, les pimes europees perden milions d’euros a causa d’incidències de seguretat com ara pèrdues d’informació o atacs informàtics. Moltes d’esta incidències podrien evitar-se si les xicotetes empreses corregiren algunes dels seus fallades de ciberseguretat més comunes. Els 10 errors més freqüents, segons la firma S2 Grupo, són estos:
1. Creure que per ser xicoteta no interessa a ningú. La majoria de les pimes considera que la seua mida xicoteta les fa poc atractives per als pirates, la qual cosa suposa un gran problema per a la seua seguretat. Qualsevol equip és útil per als botnets o xarxes d’ordinadors zombis controlats remotament per a divulgar spam o atacar sistemes. A més, moltes organitzacions infravaloren el valor que la seua informació pot tindre per a la competència (accés als balanços comptables, tarifes de preus, marges, etc.).
2. Creure que la seguretat és només un assumpte dels informàtics. Limitar la seguretat als controls tècnics conduïx a descuidar aspectes tan importants com els legals i organitzatius. Gestionar les incidències, definir responsabilitats o abordar els requeriments de caràcter legal són aspectes vitals per a evitar amenaces com la pesca (phishing).
3. Pensar que un antivirus i un tallafoc són suficients. Actualment, poques organitzacions no tenen un antivirus i inclús un tallafocs. No obstant, açò conduïx a una falsa sensació de seguretat que fa oblidar que hi ha moltes altres amenaces que requerixen l’adopció de mesures específiques.
4. Considerar que la seguretat és un producte i no un procés. Com qualsevol altra persona o departament, en tot allò relacionat amb la seguretat cal dur a terme un manteniment diari, ja siga actualitzant els coneixements, mantenint els sistemes, implantant nous processos o adaptant el funcionament a nous requeriments legals. Ben sovint, açò es deixa en segon pla, la qual cosa suposa un perill per a l’empresa.
5. La confidencialitat és cosa d’espies i grans multinacionals. És fonamental garantir la protecció de la informació de l’organització a través d’acords de confidencialitat tant amb proveïdors i clients com amb els treballadors i qualsevol persona física o jurídica que haja d'accedir a la informació de l’empresa.
6. No considerar la seguretat en els contractes corporatius. La seguretat en els contractes que moltes pimes firmen amb els seus proveïdors o clients és inexistent. És freqüent que es concerten productes o servicis directament a través d’un simple full de comanda que no té clàusules de confidencialitat o requeriments legals com els marcats per la llei orgànica de protecció de dades.
7. Desconéixer la Llei Orgànica de Protecció de Dades Personals. A pesar que la LOPD està en marxa des de 1999, moltes empreses ignoren les obligacions en esta matèria o directament decidixen no emprendre cap acció. Ja siga per evitar sancions o per responsabilitat social amb les persones que els confien les seues dades, qualsevol empresa hauria d’adoptar les mesures per a garantir la seguretat de les dades de caràcter personal dels seus clients, empleats o proveïdors.
8. Mirar només cap a fora. La major part dels problemes de seguretat prové de dins mateix de l'empresa. En alguns casos, per usuaris malintencionats, però en molts altres per simple desconeixement, com el cas d’un empleat que utilitze un USB infectat o que tire a la paperera informació confidencial. Per això, és imprescindible adoptar una estratègia permanent de conscienciació en seguretat de la informació.
9. Oferir servicis a través d’Internet sense tindre en compte la seua seguretat. Un servici oferit a Internet és accessible virtualment per a milers de milions de persones, per la qual cosa és necessari assegurar-se que les pàgines web contenen formularis que no siguen vulnerables a atacs o que els servidors web estiguen correctament configurats abans d’exposar-se en la Xarxa.
10. Descuidar la gestió de la xarxa i els sistemes. Moltes empreses encara descuiden el manteniment de la seguretat dels seus servidors i xarxes, la qual cosa conduïx a dispositius de xarxa vulnerables, punts Wi-Fi que permeten accedir a la xarxa corporativa, bases de dades d’ús intern accessibles a Internet o servidors sense actualitzar des de fa anys.