Las Pequeñas y Medianas Empresas (PYMES) juegan un papel muy importante en la economía de nuestro país y poco a poco se van suman y adaptando a la era digital. Muchas de ellas están utilizando dispositivos móviles, acceso a Internet y las tecnologías de la comunicación e información (TIC) para potenciar su actividad comercial -llegar a nuevos mercados e incrementar las ventas y productividad-, así como para almacenar, procesar y transmitir información que podría ser sensible o confidencial. Ante tal situación, las PYMES deben de tomar en consideración los riesgos asociados e implementar políticas, mejores prácticas y mecanismos de seguridad para la protección de dicha información, de las redes y sistemas, ya que los ataques cibernéticos van en aumento y cada vez son más sofisticados y persistentes y, además, las consecuencias legales, financieras y comerciales podrían ser nefastas para las empresas. En Costa Rica no existe una estadística del porcentaje de PYMES que han sido víctima de ataques cibernéticos, pero en Estados Unidos y España más del 50% de las PYMES han sido atacadas, lo cual nos hace suponer que muestras PYMES también están siendo atacadas, solo que sus capacidades no permiten prevenir ni mucho menos identificar ese tipo de ataques.
Debido a la falta de difusión, educación y asesoría en este campo, la gran mayoría de las PYMES desconocen de los riesgos y/o consideran que no son blanco de ataques cibernéticos, pues por ser empresas pequeñas no tienen ningún activo digital de valor que pueda ser de interés para los ciberdelincuentes. Sin embargo, todas las PYMES tienen información importante que es atractiva para los delincuentes, tales como información de empleados, proveedores, clientes y socios comerciales, información bancaria, contable y financiera, plan y estrategia de negocios, e incluso propiedad intelectual (fórmulas, secretos comerciales, investigaciones, etc.). Entonces no importa el tamaño de la empresa y su giro comercial, siempre existe un riesgo y si los propietarios y/o administradores de las PYMES deciden no invertir en seguridad, el riesgo es más alto. Dicho lo anterior, es importante hacer conciencia para que las PYMES comiencen a implementar las medidas y mecanismos de seguridad para proteger su información, sistemas y redes, pues ellas son igualmente vulnerables a cualquier tipo de ataque cibernético. Los ciberdelincuentes saben que las PYMES son presa fácil pues no cuentan con una seguridad adecuada.
El presente documento tiene como propósito señalar la problemática, educar y crear conciencia entre los propietarios, administradores, empleados y colaboradores de las PYMES a efectos de prevenir cualquier ataque cibernético, mejorar sus capacidades y que puedan reaccionar oportunamente para minimizar el impacto negativo de un ataque cibernético. Para ello, hemos recopilado, de diferentes fuentes, un conjunto de políticas, mejores prácticas y estándares de ciberseguridad, el cual no es exhaustivo ni tampoco pretende ser la única solución, por el contrario, es simplemente una guía para que los propietarios, administradores, empleados y colaboradores de las PYMES puedan adoptar una cultura preventiva y de resiliencia. La seguridad absoluta no existe, los equipos fallan, las amenazas cambian continuamente y el personal cometer errores. El peligro es inminente y difícilmente va a desaparecer, pero la idea es estar preparados y reducir los riesgos al máximo.
1. PROTEJA SU EQUIPO CONTRA VIRUS, SPYWARE Y CUALQUIER OTRO CODIGO MALICIOSO: Asegúrese que cada computadora (desktop, laptops, etc.) y/o terminal móvil (tabletas, celulares, etc.) de la empresa tenga instalado programas de anti-virus, spyware y malware, los cuales deben de actualizarse regularmente. Dichos programas están disponibles en línea y hay una gran variedad de empresas proveedoras, las cuales regularmente realizan actualizaciones a sus programas a efectos de corregir problemas de seguridad y mejorar la funcionalidad de los mismos. Configure los programas para que las actualizaciones se instalen automáticamente. Se deben mantener las computadoras y/o los terminales móviles libres de aplicaciones o programas que no estén relacionados con el giro del negocio (juegos de video, redes sociales, etc.), pirateados o que no hayan sido autorizados por el asesor o personal de IT. Tener el más reciente programa anti-virus, buscador web y sistema operativo son algunas de las mejores prácticas contra virus, malware, spyware u otros códigos maliciosos.
2. SER DESCONFIANDO CON EMAILS Y ENLACES SOSPECHOSOS: A través del método de ingeniería social los criminales cibernéticos envían correos electrónicos con enlaces a sitios sospechosos o falsos, o crean correos electrónicos falsos, ya sea para instalar códigos maliciosos en las computadoras y/o terminales móviles de la empresa o incluso se hacen pasar por empleados de la empresa para solicitar información sensible o confidencial. Si el correo electrónico es dudoso, lo mejor es contactar directamente a la persona que supuestamente envió el correo electrónico para verificar tanto la información del remitente como su contenido. Si efectivamente es un correo electrónico falso, lo mejor es borrarlo inmediatamente. En estos casos debe privar la precaución, malicia y el sentido común.
3. PROTEJA SUS REDES: Resguarde su conexión a internet usando firewalls e información encriptada. Si su empresa tiene una red Wi-Fi, asegúrese que la misma sea segura y se encuentre oculta. Para ocultar su red Wi-Fi, configure su punto de acceso inalámbrico o router de tal forma que el nombre de su red Wi-Fi no sea pública. Configure dicho punto de acceso con una contraseña segura y bajo ninguna circunstancia deje la configuración y contraseña de fábrica. Tampoco utilice palabras predecibles como contraseña, como 123456, o password.
4. ESTABLEZCA PRACTICAS Y POLITICAS DE SEGURIDAD PARA PROTEGER LA INFORMACIÓN SENSIBLE: Establezca prácticas y medidas de seguridad de cómo sus empleados y colaboradores deberán manipular y proteger la información sensible o confidencial. Dependiendo del tipo de información que su empresa recopile de terceros y cómo almacene la misma en sus servidores, es recomendable que contrate a un abogado experto en el tema de protección de datos para que los asesore no sólo en la redacción de las políticas internas sino también en el cumplimiento de los requerimientos establecidos en la Ley de Protección de la Persona Frente al Tratamiento de sus Datos (Ley No. 8,968).
5. CAPACITE A SUS EMPLEADOS Y COLABORADORES ACERCA DE LAS AMENAZAS CIBERNÉTICAS: Capacite a sus empleados y colaboradores acerca de las amenazas cibernéticas y cómo proteger la información de su negocio, incluyendo el uso seguro y adecuado de las redes sociales y búsquedas en sitios de internet, aún y cuando se utilicen computadoras y/o terminales móviles que son propiedad de los empleados o colaboradores. Dependiendo de la naturaleza de su negocio, sus empleados y colaboradores podrían revelar a sus competidores información sensible o confidencial de su negocio a través de las redes sociales. Los empleados y colaboradores deberían de estar informados de las consecuencias y repercusiones tanto para la empresa como para ellos en caso de subir o revelar información sensible de la empresa (secretos comerciales, plan de negocio, etc.) en las redes sociales o cualquier sitio en Internet, y que puede ser vista o accesada por competidores, delincuentes cibernéticos, etc. Si no se hace un uso responsable de las redes sociales, los propietarios, administradores, empleados y colaboradores podrían estar dando datos o información relevante del negocio que es de interés para los delincuentes, pues éstos pueden sacar de mentira verdad, sobornar a los mismos empleados, recrear información proveniente de desechos/basura o información disponible en las redes sociales de los empleados. En estos casos, se debe sugerir al personal de la empresa que configuren la privacidad de sus aplicaciones y redes sociales. Por otro lado, se recomienda no visitar páginas web de descarga de programas gratuitos, páginas con contenido pornográfico, páginas de apuestas y juegos en líneas. Es recomendable que en el manual interno de la empresa se incluya un apartado sobre las políticas de seguridad del uso del Internet y las redes sociales, y cuales serían las sanciones en caso de que se incumplan esas disposiciones.
6. SOLICITE A SUS EMPLEADOS Y COLABORADORES LA CONFIGURACIÓN DE CONTRASEÑAS SEGURAS: Considere implementar medidas de seguridad, tales como la doble autenticación, la cual va requerir información adicional más allá de la contraseña inicial. Revise con los proveedores que manejan información sensible de la empresa, especialmente entidades bancarias o financieras, para ver si ellos ofrecen autenticación multifactorial para sus cuentas. Solicite a sus empleados y colaboradores que a la hora de configurar sus contraseñas utilicen una clave de acceso que tenga un nivel de complejidad alto, o sea que utilicen una combinación de mayúsculas, minúsculas, letras, números y símbolos en sus contraseñas, y que las mismas no tenga relación con datos personales que puedan deducirse (como el nombre de la mascota o la fecha de cumpleaños). Es importante indicarles que la contraseña es de uso personal, no se debe guardar en lugares visibles o de fácil acceso (pegado en el monitor, debajo del teclado o dentro de una gaveta sin seguro o candado). La contraseña se debe cambiar regularmente, se sugiere cada dos o tres meses, y que no se utilice la misma contraseña de la empresa para accesar las cuentas u otras aplicaciones de uso personal.
7. EMPLEEN LAS MEJORES PRACTICAS EN PAGOS CON TARJETA: Revise con su banco y/o emisor de tarjetas de crédito o débito para asegurarse de que se están usando las herramientas y protocolo de seguridad, y que tienen activado el servicio anti-fraude. Es recomendable no utilizar la misma computadora donde se realizan los pagos en línea de la empresa para navegar por internet. También trate de que las tarjetas de crédito o débito de la empresa o corporativas vengan con la tecnología EMV (con chip).
8. HAGA COPIAS DE RESPALDO DE INFORMACIÓN IMPORTANTE: Respaldar regularmente la información de todas las computadoras y/o terminales móviles de la empresa, especialmente información crítica de la empresa, tales como documentos legales, bases de datos, archivos contables y financieros, archivos de recursos humanos, etc. Es recomendable hacer respaldos automáticos, al menos semanalmente, y almacenar los respaldos de dos formas: en servidores propios pero que no estén ubicados físicamente en la empresa y en la nube. Debemos recordar que hoy día los ataque denominados “ransomware” (secuestro de las bases de datos) se han convertido en una de las principales amenazas para las empresas.
9. CONTROLAR EL ACCESO FÍSICO A COMPUTADORAS Y COMPONENTES DE LA RED: Prohibir el acceso o uso de las computadoras y/o terminales móviles de la empresa por parte de personas no autorizadas, incluso de personas de la misma empresa que no están autorizadas para accesar cierta información privilegiada. Las computadoras portátiles pueden ser blanco fácil de robo o pueden ser extraviadas, por lo que se debe recomendar a sus empleados o colaboradores usar una contraseña de usuario, que las guarden de forma segura y que nunca las descuiden en lugares públicos o las dejen bajo la supervisión de terceros. Asegúrese que cada empleado y colaborador tenga su propia cuenta de usuario y contraseña. El acceso a las redes, sistemas y programas de la empresa debe ser controlado. Los empleados y colaboradores tendrán acceso únicamente a la información que se requiera para realizar su trabajo y bajo ninguna circunstancia deberán instalar dispositivos, aplicaciones o programas sin previa autorización. Los privilegios administrativos de acceso a la información sensible únicamente deberán ser confiados en el personal de IT y de confianza. No todas las PYMES tienen las mismas posibilidades, pero se recomienda controlar el acceso a la empresa mediante tarjetas o algún otro dispositivo de identificación biométrica, los cuales permiten monitorear tanto empleados y colaboradores como visitantes y clientes. Cámaras de vigilancia también son un buen recurso para detectar situaciones irregulares.
10. USO DE DISCOS EXTRAIBLES Y DISPOSITIVOS EXTERNOS (UBS): Se debe monitorear y controlar el ingreso de cualquier dispositivo externo que se conecte a los equipos de las empresas, ya sean discos duros extraíbles, tarjetas de memoria o cualquier otra unidad en la que pueda almacenarse datos sensibles o confidenciales. La empresa podría proporcionar dispositivos de memoria (también denominados “llave maya”), los cuales cifran la información y tienen contraseña. Asimismo, asegúrese de que todos los archivos procedentes de ese tipo de dispositivos sean analizados previamente por un anti-virus antes de ser copiados o ejecutados en las computadoras de la empresa.
11. LAS VULNERABILIDADES DE SUS PROVEEDORES Y SOCIOS COMERCIALES TAMBIÉN SON LAS SUYAS: Las empresas que proveen servicios y productos a su empresa podrían poner en riesgo su empresa. Para evitar problemas, es recomendable protegerse tanto a nivel legal como a nivel informático, y realizar controles con cierta regularidad a efectos de asegurarse de que los proveedores también cumplan con estándares y mejores prácticas de seguridad.
12. CREAR UN PLAN DE ACCIÓN DE TERMINALES MOVILES: Los terminales móviles podrían crear vulnerabilidades de seguridad, especialmente si los empleados y colaboradores poseen información confidencial o puede accesar a la red corporativa mediante dichos dispositivos. Es recomendable que los usuarios que utilicen contraseñas para proteger los dispositivos, encripten la información e instalen aplicaciones de seguridad para prevenir que ciberdelincuentes roben la información mientras dichos dispositivos móviles estén conectados a redes públicas, lo cual debería de quedar totalmente prohibido. Asegúrese de establecer políticas y procedimientos en caso de extravío o robo de un dispositivo móvil de la empresa y que tenga acceso a información sensible de la empresa.
13. IMPRESIONES DE INFORMACIÓN SENSIBLE O CONFIDENCIAL: Es muy común mandar a imprimir o fotocopiar reportes de clientes, estados de cuenta, acta de reuniones, contratos, información de proveedores, pedidos de clientes, etc. y por descuido no destruimos la información o documentos después de utilizada, o la misma queda encima de la impresora por varias horas o incluso días, en ambos casos los documentos luego se depositan en la basura sin mayor control. ¿Qué pasaría si un tercero comienza a revisar su basura y se aprovecha de la información sensible o confidencial? Una buena práctica es tener un triturador de papel para evitar que información sensible o confidencial de la empresa llegue a manos de la competencia o delincuentes.
14. PROTEJA TODAS LAS PÁGINAS DE SU SITIO WEB: Asegúrese de proteger todas las páginas de su portal, no sólo las páginas de suscripción o pago de compras en línea. Es importante que su portal tenga los certificados de seguridad, especialmente cuando se recolecta información sensible o personal de clientes o terceros.
15. PLAN DE RESPUESTA A INCIDENTES CIBERNÉTICOS: Las PYMES que por su actividad comercial son más vulnerable a este tipo de ataques, es recomendable que contraten a una empresa consultora para que haga una valoración general de empresa e identifique las vulnerabilidades del sistema y posibles amenazas, y además les ayuden a definir un plan de respuesta en caso de darse un ataque cibernético. Las empresas grandes tienen un plan de respuesta no sólo que abarca los incidentes cibernéticos sino también otros incidentes, tales como asaltos, inundaciones, terremotos, apagones, etc., así que es vital para la continuidad de la operación de la empresa que el personal de IT y administradores entiendan y conozcan cómo proceder y los pasos a seguir en caso de que se detecte algún incidente cibernético a efectos de minimizar el impacto del ataque y sus consecuencias para la empresa. También es recomendable hacer entrenamientos y simulacros cada cierto tiempo para mejorar los tiempos de reacción y respuesta.
MSc. Óscar Noé Ávila
Consultor en temas de ciberseguridad
oavila@ufl.edu
oscarnoeavila@gmail.com