Vivimos en un mundo en el que Internet es totalmente imprescindible, especialmente para los más jóvenes, y lo es tanto por motivos personales (ocio, comunicación y entretenimiento) como por cuestiones laborales (teletrabajo y videoconferencias). Sin embargo, este uso masivo de la red ha hecho que los ciberataques en España se hayan incrementado un 26% en 2021, lo que convierte a nuestro país en el tercer más atacado de Europa.
Las empresas siguen ocupando el primer puesto en la diana de los ciberdelincuentes, que atacan sus servidores y plataformas, en busca de información relevante que les proporcionen beneficios económicos. La nota positiva es que durante 2022 las empresas españolas han incrementado sus presupuestos en ciberseguridad, siendo el crecimiento, en muchos casos, a doble dígito.
Coincidiendo con el Día Internacional de la Seguridad de la Información, el 30 de noviembre, Datos101, empresa española referente en soluciones de seguridad de datos para empresas, pone de relevancia la importancia de concienciar y recordar a la población la importancia de la protección de la información, tanto la de su empresa como la suya propia, para evitar el robo de identidades, datos financieros y personales.
“La información es hoy por hoy el principal activo de las compañías y, por ello, su protección frente a posibles fugas ya sea por ataques, por un descuido o por no tener buenos hábitos, es crucial para garantizar su seguridad y que el desarrollo de su actividad se efectúe con normalidad. Además, realizar políticas de ciberseguridad efectivas ayuda a mantener la imagen y reputación de las compañías con el exterior”, explica Juan Llamazares, CEO de Datos101.
La pérdida de datos por ataques informáticos, desastres físicos o simples errores humanos pueden suponer pérdidas de entre 2.000 y 50.000 euros para las pymes, según cifras del Instituto Nacional de Ciberseguridad (INCIBE). Un número que asciende a 3,6 millones de media para las grandes empresas, según datos de IBM. “Son muchos los motivos que pueden ocasionar serios daños en los sistemas informáticos y de almacenamiento de las empresas: desde inundaciones, incendios, robos hasta ciberataques… Todos ellos pueden afectar a la información de una compañía y costarles miles de millones. Además, de hacer que se enfrenten a la pérdida de datos confidenciales, de poner en riesgo vidas o de enfrentarse a grandes multas, así como a daños irreparables de su reputación”, explica Juan Llamazares.
Recomendaciones para una empresa segura
- Formar a los empleados. La primera barrera para que el ataque no afecte al sistema es el propio empleado o usuario. “Los trabajadores deben estar informados y formados para no abrir nada que pueda ser un peligro para la empresa, muchas veces estos ciberataques llegan a través de emails con adjuntos. Muchas veces los ciudadanos somos el eslabón más débil y principal punto de acceso para que un ciberataque triunfe o entre en una empresa. Lo mejor es usar el sentido común: no abrir emails de origen desconocido, no descargar documentos adjuntos no solicitados o sospechosos, no abrir enlaces cuyo origen desconocemos…”, explica Llamazares.
- Copias de seguridad. Los backups son la solución más eficaz para luchar contra la amenaza de ransomware,Cryptolocker y la ciberdelincuencia en general. Sin embargo, sólo el 10% de las pymesen España las realizan fuera de sus bases de datos. “Sorprende que tantas PYMES están totalmente desprovistas de servicio de copias de seguridad, sin embargo, tras los últimos ataques las empresas han comenzado a prestar más atención a su seguridad. Lo recomendable es tener al menos dos copias actualizadas y en distintos servidores o dispositivos”, aseguran.
- Equipos actualizados. Es habitual que los ciberataques se cuelen por fisuras de seguridad que tienen los softwares. En muchas ocasiones los fabricantes corrigen esos errores, bugs y vulnerabilidades en actualizaciones, de ahí que la importancia de instalarlas por básicas que nos parezca. Por supuesto, la actualización del equipo debe ir acompaña de un buen antivirus que también esté actualizado.
- Contraseñas indescifrables. Por miedo a olvidarnos, es común usar contraseñas como el año de nacimiento, el nombre de nuestros hijos o el equipo de fútbol. Para crear una contraseña fuerte es conveniente que incluya letras y números, así como mayúsculas, minúsculas y algún símbolo.
- Dispositivos extraíbles. Smartphones, smartwatches, USBs… son una puerta de acceso a las empresas. Es común que simplemente para cargar la batería conectemos dispositivos a los ordenadores, sin embargo, esta acción puede suponer un riesgo para el sistema de seguridad ya que pueden actuar como vía de acceso para los ciberdelincuentes.
- Elaboración del Plan Director de Seguridad, en el que se definirán las acciones, iniciativas y proyectos necesarios para alcanzar el nivel de seguridad de la empresa. Con iniciativas dirigidas a mejorar los métodos de trabajo actuales (marco normativo y regulatorio); acciones de mejora relacionadas con los controles técnicos y físicos cuya ausencia o insuficiencia se detecten, así como, la definición de la estrategia a seguir, así como, los proyectos más adecuados para gestionar los riegos y vulnerabilidades que se detecten.
- Gestión de los riesgos de seguridad TIC, realizado internamente o subcontratado. Es necesario vigilar las alertas de los sistemas TI mediante una monitorización continua de la actividad en las redes de telecomunicaciones, sistemas de servicios, etc., con el objetivo de detectar las actividades maliciosas.