Internet permite a empresas de todos los tamaños trabajar y llegar a mercados de todo el mundo. Por desgracia, este potencial para aumentar la productividad y la rentabilidad se ve mitigado por los riesgos de seguridad. De hecho, la ciberseguridad debe ser una parte integral de cualquier plan de negocio futuro, y el uso de una VPN corporativa es sólo la primera parte de garantizar una seguridad óptima para la red de su empresa. He aquí una guía rápida para ayudar a las pequeñas empresas a proteger sus datos. Tenga en cuenta que algunos de estos pasos pueden requerir la ayuda de un equipo de profesionales informáticos cualificados.

La ciberseguridad y la confidencialidad de los datos son importantes en todas las situaciones

Las filtraciones de datos son cada vez más frecuentes, y no solo afectan a las empresas tecnológicas. Estas filtraciones no solo están erosionando la confianza de los consumidores, sino que también están empezando a dar lugar a sanciones económicas y normativas (LPDP, LGPD, GDPR, …). Aunque existen excepciones para las pequeñas empresas, implementar buenas prácticas de ciberseguridad y protección de datos reducirá significativamente su exposición.

Como entidades con ánimo de lucro, las pequeñas empresas deben trabajar para proteger los datos que sus clientes les han confiado.

Entender qué es un modelo de amenazas

Un modelo de amenazas es un método para evaluar los riesgos de seguridad y confidencialidad con el fin de mitigarlos estratégicamente.
Los distintos tipos de organizaciones tienen diferentes tipos de amenazas y vulnerabilidades. Esto le permite utilizarlos para determinar las prioridades de ciberseguridad de su empresa.

Empiece por responder a las tres preguntas siguientes:

  • ¿Qué tipo de datos procesa su empresa?
  • ¿Cómo se procesan y protegen estos datos?
  • ¿Quién tiene acceso a estos datos y en qué circunstancias?

Responder a estas tres preguntas le ayudará a saber exactamente qué datos tiene, dónde los guarda y quién tiene derechos de acceso.
También puede ser muy útil dibujar un diagrama para visualizar estas relaciones. Por ejemplo, puedes tener datos almacenados de forma segura en un servidor local cifrado, pero darte cuenta de que cuando los datos circulan por la red de la empresa no están cifrados o que muchas personas tienen acceso a ellos sin verdadera necesidad. Crear un modelo de amenazas te ayudará a identificar dónde son más vulnerables los datos a los hackers y las filtraciones.

Una vez establecido el modelo, puedes empezar a aplicar protocolos para protegerlos.

Proteja su red contra los ciberataques

Su red es el lugar donde residen los datos de su empresa. Tiene que ser segura si quiere proteger la información de sus clientes, aunque esto requiera la asistencia técnica de profesionales externos si no dispone de un departamento técnico en plantilla.

Para empezar, tiene que hacer una lista de todos los dispositivos y conexiones de su red. Tendrás que establecer límites entre los sistemas de tu empresa y los sistemas externos. La idea es crear controles que garanticen que se pueda detener o contener cualquier acceso no autorizado a tu red profesional.

Otra parte esencial de la protección de su red es el mantenimiento del software de todos los dispositivos conectados. Puede evitar que los atacantes instalen software malicioso en los dispositivos de su empresa manteniendo actualizados el software, las aplicaciones y los sistemas operativos. Las actualizaciones de software suelen incluir parches de seguridad para las vulnerabilidades recién descubiertas. También debe utilizar software antivirus en todas sus estaciones de trabajo.

Contraseñas y autenticación

Las contraseñas son la primera línea de defensa para todas las cuentas de su empresa. Asegúrese de que todos los empleados de su empresa utilizan contraseñas seguras y únicas para proteger sus cuentas y dispositivos. Un gestor de contraseñas como NordPass puede ayudar a tus empleados a generar y almacenar contraseñas para que no tengan que escribirlas.

La segunda línea de defensa es la autenticación de dos factores (2FA). Se trata de una forma de proteger las cuentas utilizando un segundo dato, como un código creado en una aplicación o un llavero de autenticación.

Diga a sus empleados que eviten utilizar ordenadores públicos para acceder a las cuentas de la empresa, ya que los keyloggers pueden robar los datos de acceso y comprometer la cuenta. Si sus empleados tienen que utilizar un ordenador público, dígales que se aseguren de cerrar la sesión después.

Muchos servicios, como ProtonMail business, permiten ver cuándo y desde qué dirección IP se ha accedido a una cuenta y cerrar la sesión de otras de forma remota.

Creación de un plan de acción para dispositivos móviles

Los dispositivos móviles plantean importantes retos de seguridad, ya que pueden contener información confidencial o acceder a la red corporativa, además de ser fáciles de robar o perder. Su plan de ciberseguridad debe cubrir todas las eventualidades. Por ello, es esencial que pida a sus empleados que utilicen contraseñas seguras para proteger sus dispositivos y que se aseguren de cifrar todos sus datos. Existen aplicaciones que permiten borrar, localizar y posiblemente identificar al ladrón en caso de robo de un dispositivo. También debe establecer un procedimiento para notificar la pérdida o el robo de equipos.

Practicar la seguridad del email

El email se ha convertido en el principal medio de comunicación de una empresa, desde la gestión interna hasta la atención al cliente. También es una de las formas más fáciles que tienen los piratas informáticos de acceder a la base de datos de su empresa. Es esencial formar a sus empleados para que estén atentos a los ataques de phishing, en los que el atacante intenta que haga clic en un enlace, descargue un archivo adjunto o facilite información confidencial (por ejemplo, introduciendo su nombre de usuario y contraseña en una página web falsa).

Utiliza la encriptación siempre que sea posible

La encriptación es el proceso de convertir información legible en una cadena de caracteres ilegibles. Sin cifrado, cualquiera que vigilara Internet podría ver todos los datos transmitidos, desde tarjetas de crédito hasta mensajes de chat. La gran mayoría de los servicios en línea utilizan algún tipo de cifrado para proteger los datos que entran y salen de sus servidores. Deberías encriptar todos los datos que tu empresa considere confidenciales.

Sin embargo, sólo unas pocas empresas tecnológicas cifran su información de tal manera que ni siquiera la propia empresa puede descifrarla. Este tipo de cifrado se denomina cifrado de extremo a extremo (E2EE). Suele haber una alternativa E2EE para los servicios menos privados. Por ejemplo, ProtonMail es una alternativa privada a Gmail. En lugar de Google Drive, que puede acceder a tus archivos, tu empresa podría utilizar un servicio Cloud VPN corporativo como NordLayer. Estos servicios impiden que nadie, excepto el propietario y las personas autorizadas, descifre el archivo y acceda a los datos.

Para las aplicaciones de mensajería, hay algunas opciones seguras, pero los servicios más populares no siempre lo son. Por ejemplo, ni Skype for Business ni Slack ofrecen protección E2EE a sus usuarios. Para mayor seguridad y confidencialidad, recomendamos utilizar Wire o Signal.

Forme a sus empleados y gestione los accesos

Ninguna de estas medidas tendrá efecto si los empleados de tu empresa no las aplican correctamente. Establecer directrices claras y útiles, que además detallen la política de la empresa, es fundamental para cualquier plan de ciberseguridad. Todos los empleados deben estar bien informados sobre los ataques estándar de phishing, las mejores prácticas para contraseñas seguras, los servicios cifrados y a quién dirigirse en caso de problemas, pérdida o robo de dispositivos.

Para minimizar el riesgo, ningún empleado debe tener acceso a todos los sistemas de datos de la empresa. Sólo deben tener acceso a los datos específicos que necesitan para hacer su trabajo, y los privilegios administrativos, como la instalación de nuevo software, sólo deben concederse a personas clave y de confianza.

Desarrollar estos sistemas y formar a su personal en ellos a veces lleva tiempo, pero sus empleados son su primera y última línea de defensa contra las filtraciones de datos. Ahora que se ha implementado el GDPR, las empresas han tenido que ser más abiertas sobre las violaciones de datos, y los informes han demostrado que el error humano es la causa número uno de las fugas de datos, por delante de los ataques maliciosos. Es lo que se conoce como ingeniería social.

Esperamos que esta guía te ayude a establecer un plan de ciberseguridad para tu empresa.

Tomás Gutiérrez
Tomás Gutiérrez

Experto en tecnología y defensor de la protección de datos, combinando pasión por la innovación y compromiso con la seguridad digital