Ciberseguridad y tu empresa La guía esencial para proteger tu información 99% de las compañías españolas infectadas con virus y bots Contenido 2 Introducción 3 Mitos sobre la ciberseguridad desmontados 6 El impacto del cibercrimen en los pequeños negocios 9 Cómo proteger tu pequeña empresa del cibercrimen 15 El futuro de la ciberseguridad en las pequeñas empresas 17 Glosario y lecturas complementarias Grandes y pequeñas empresas están pagando más que nunca para recuperarse de la pérdida de datos. Los titulares de los medios hacen creer que los hackers solo tienen como objetivos a las grandes corporaciones. Los medios difundieron ampliamente el ciberataque sufrido por el gigante de las telecomunicaciones Carphone Warehouse, que comprometió información personal y financiera de unos 2,4 millones de clientes, así como 90 000 tarjetas de crédito. El ciberataque a Sony Pictures causó graves daños, como la filtración de películas inéditas, datos confidenciales y correos electrónicos de estrellas de Hollywood. En los Estados Unidos, un agujero de seguridad de los sistemas del gobierno federal altamente publicitado llevaba siendo explotado durante más de un año cuando fue descubierto. Hackers chinos aprovecharon este tiempo para robar información. La mala publicidad no es la única preocupación para estas organizaciones. “Los ciberataques son cada vez más frecuentes y graves, y que las organizaciones entiendan el impacto financiero que pueden tener en su negocio les puede ayudar a determinar la inversión apropiada y los recursos que necesitan para prevenir o mitigar las consecuencias de un ataque”, ha declarado Larry Ponemon, presidente del Instituto Ponemon. Según fuentes gubernamentales, en España se registraron 45.000 amenazas en 2015, que causaron pérdidas por valor de 14.000 millones de euros, el 1,4% del PIB. La buena noticia es que gran parte de ellos pueden prevenirse. En las siguientes páginas abordaremos los errores más comunes en ciberseguridad y examinaremos en detalle el impacto de los ciberataques en la pequeña empresa y las medidas que se pueden adoptar frente a ellos. Por último, miraremos al futuro y analizaremos lo que está por llegar y cómo prepararse. 2 Mitos sobre la ciberseguridad esmontados Seis errores comunes que pueden exponer a las pequeñas empresas al cibercrimen Quizás las grandes empresas protagonicen los titulares por robos de información, pero las PYMES suelen ser objetivos más fáciles. Aquí hay seis mitos que pueden dejar a las pequeñas empresas vulnerables ante hackers. Consejo: Formar a tus empleados en ciber seguridad es un progreso para evitar fallos MITO 1 L as filtraciones de datos son más costosas para las grandes organizaciones Si bien en términos generales esta afirmación es cierta, las empresas más pequeñas pagan más por empleado. Esto tiene una explicación lógica, y es que las PYMES, al tener menos empleados que las grandes empresas, llevan asociado un coste medio mayor por empleado en caso de un ciberataque que cause daños en ellos. MITO Los fallos de seguridad no son usuales, no se 2 necesita mucha protección De acuerdo con el estudio realizado por la consultora Quocirca y encargado por Trendmicro para el que se usó una muestra de 600 empresas de la Unión Europea, el 61 % afirman haberse visto afectadas por ciberataques en el último año. El caso de España es preocupante por la poca preparación de las empresas para hacer frente a la ciberdelincuencia y, por si fuera poco, un 10 % de las compañías del país dentro de la muestra analizada se encuentran en el ranking de los 40 peores ciberataques. Figura 1. ¿Por qué las PYME españolas están en riesgo de cibercrimen? Hacktivistas Comportamiento de los empleados Ataques aleatorios Cibercrimen organizado 52% 48% 48% 37% de los encuestados de ataques de los encuestados de los encuestados Considera que los hackers que atacan intencionadamente a su empresa son la principal fuente de riesgo Considera que el desconocimiento, la falta de preocupación de los empleados o el uso personal que le dan a los equipos es la segunda fuente de riesgo Solución Adopta una estrategia de ciberseguridad integral que incluya formación de tus empleados en buenas prácticas en ciberseguridad, programación de análisis periódicos y planes de respuesta a incidentes. Fuente: U-TAD, Estado de la ciberseguridad 2015 3 Considera que los ataques Considera que las redes aleatorios de hackers o script dedicadas al cibercrimen son kiddies son la tercera fuente la cuarta fuente de riesgo de riesgo Symantec desveló que en 2015 España ocupó la octava posición en número de ciberataques a empresas dentro de la UE MITO 3 No corremos riesgos porque no hacemos pagos online Sorprendentemente, solo el 45 % de las organizaciones de todo el mundo confían en su seguridad, según el Informe Anual de Seguridad de Cisco 2016. Pero los hackers no solo están interesados en las tarjetas de crédito, sino también en datos personales que pueden utilizar para suplantar identidades o hackear un sitio y utilizarlo para enviar spam. Poseer información clave como libros de citas y detalles de clientes permiten a los hackers extorsionar a sus víctimas para que paguen un rescate, y llevar a cabo esta estafa en decenas de webs de pequeños negocios les garantizaría una ganancia considerable. MITO Hemos contratado a un especialista TI en seguridad 4 así que podemos estar tranquilos Aunque contratar a un experto es buena idea, especialmente para las empresas en crecimiento, todos los empleados de una empresa deben recibir formación sobre buenas prácticas en ciberseguridad. Piense en el compañero de trabajo que involuntariamente descarga un archivo adjunto a un mail malicioso, o visita un sitio web no seguro e infecta la red de una empresa con malware que ralentiza el sistema, o reenvía información confidencial a un ciberdelincuente. Según la consultora Necsia la falta de formación y de concienciación es el tercer riesgo que existe en el ámbito de la ciberseguridad en las empresas españolas. Así queda de manifiesto en las conclusiones del estudio de Necsia [1]. Por lo tanto resulta de vital importancia la formación. Solución Elige un software de seguridad con protección de datos, como HP SureStart, que restaura automáticamente la BIOS de un ordenador cuando se detecta un ataque de malware – ayudando a detener las fugas antes de que la información se vea comprometida. MITO Tenemos antivirus potentes en nuestros sistemas así que 5 estamos protegidos Consejo: Analizar la salida de datos para detectar tráfico inusual puede ayudar a detectar el robo de datos habitualmente vinculados a ataques APT. El software antivirus analiza el sistema en busca de malware. Sin embargo, los atacantes disponen de otros medios para eludir esta protección. Los ciberataques que no pueden ser bloqueados por el antivirus incluyen ataques de denegación de servicio (también llamados DDoS), en los que una web es saturada por tráfico basura que la ralentiza o incluso hace que deje de funcionar; ataques web, donde los hackers aprovechan las vulnerabilidades de codificación web para apropiarse de información como datos de tarjetas de crédito; código malicioso, inyectado en el código de un sitio para robar información o espiar de forma remota; y el acceso a través de dispositivos robados. MITO Si un intruso accede a nuestros sistemas nos daremos cuenta 6 enseguida Detectar un ciberataque no es fácil, especialmente para las empresas más pequeñas que no cuentan con los servicios de un experto en TI. Es posible que el malware interrumpa inmediatamente las operaciones. Sin embargo, podría espiarlo y filtrar información a fin de planear ataques más específicos para obtener acceso a través de la red. Según el informe de FireEye España se encuentra entre los tres países de la zona EMEA que más ataques APT sufren. Así mismo, según los directivos encuestados, un 67% de las corporaciones europeas experimentó brechas de seguridad en 2014. Los ataques APT se caracterizan por monitorizar y obtener información de manera continuada a lo largo del tiempo – normalmente indetectada -.” 4 Infográfico: ¿Cuál es el impacto económico de la ciberdelincuencia? De acuerdo al estudio de UNICRI el coste del cibercrimen para las empresas europeas es algo a tomarse con mucha seriedad, y es que alcanza los 750 billones de euros anuales. Aquí tenéis diferentes ejemplos de ciberataques ante los que tu pequeña empresa debería estar alerta. 750 billones de euros 25% 24% 16% 21.250M € Código malicioso y malware 20.400M € Denegación de servicio distribuido 13.600M € Ataques basados en la web Los ataques DDOS son peticiones masivas de tráfico web para hacer que la página y los servidores de una empresa se caigan Ataques dirigidos contra los visitantes de un sitio, como la inyección de código que redirige el navegador a direcciones web maliciosas Software que daña al sistema creando agujeros de seguridad, modificando o robando archivos (incluye scripts, virus y gusanos) 13% 11.050M € Dispositivos robados Dispositivos de empleados con acceso a registros corporativos que pueden conducir al robo de datos y suplantación de identidad Fuente: UNICRI 5 9% 7.650M € Phishing e ingeniería social Correos electrónicos o ventanas emergentes que se presentan como peticiones de inicio de sesión legítimas 9% 7.650M € Empleados malintencionados Empleados que comparten información confidencial 4% 3.400M € Botnets Redes de ordenadores infectados que ejecutan actividades maliciosas como el envío de correo no deseado El coste del cibercrimen a las empresas de la UE alcanzó 750 billones de euros en 2014 El impacto del cibercrimen en las pequeñas empresas El verdadero coste del cibercrimen va más allá de arreglar los daños causados por un hackeo “Todavía son muchas las pymes que no se ven así mismas como objetivos de los cibercriminales”, declara George Scott, director de ciberseguridad de KPMG en Escocia (Reino Unido). Porcentaje de empresas europeas que sufrieron un ciberataque en 2014 67 Esto significa que los sistemas de las pequeñas empresas pueden ser un blanco fácil para los hackers. Muchas de estas empresas también tienen relaciones con empresas más grandes que albergan información valiosa. Al tener como objetivo las empresas más pequeñas, los atacantes pueden hackear archivos que les permitan acceder a datos más lucrativos de sus socios y perjudicar la reputación de las pequeñas empresas en el proceso. Los fallos de seguridad pueden afectar a tu negocio más allá de los costes necesarios para limpiar el daño causado. ¿Cómo? •Bloqueando nuevas oportunidades de negocio No invertir en ciberseguridad significa el bloqueo de nuevas oportunidades de negocio. Resulta lógico pensar que una empresa pueda ser reticente a confiar en otra que no se tome en serio las medidas de seguridad. Sin embargo muchas empresas permanecen pasivas ante los riesgos. De hecho según el estudio de la consultora Necsia [1] el 57,1 % de las empresas españolas encuestadas no estaban dispuestas a aumentar su inversión en ciberseguridad. •Evitando que los empleados trabajen con normalidad Los sistemas de la oficina de la MP de Newcastle Central Chi Onwurah, ministra del partido opositor para la Innovación y la Ciencia, sufrieron continuos fallos de seguridad durante el mes de mayo de 2015. Solución Cyber Essentials es un programa de concienciación que pretende promover buenas prácticas de ciber seguridad en la pequeña empresa. Las empresas que completen el programa formativo recibirán un certificado de aprovechamiento que acredite su conocimiento y seran elegibles para recibir descuentos en seguros contra fraudes informáticos 6 Consejo: Muchas formas de malware llegan como archivos adjuntos en mail. Entrena a tu plantilla para que reconozca archivos adjuntos maliciosos que parecen archivos legítimos. •Erosionando la confianza de los clientes Las pequeñas empresas que pierden los datos de sus clientes a menudo sufren daños de reputación difícilmente reparables, especialmete si se trata de información financiera. El troyano Dridex, que infecta dispositivos conectados y envía información confidencial (incluyendo datos bancarios) a los atacantes, sigue estando presente en la web. Un estudio de Symantec desvela que los ataques de spam que contienen el troyano Dridex aumentaron un 107 % en 2015. En dicho informe también puede verse que en el top 20 de instituciones financieras que figuran como objetivos en archivos de configuración de troyanos, el puesto 7 lo ocupa un banco español. Anatomía de un hackeo inesperado Un fallo de seguridad puede llevar a otro. Imagínate que eres el propietario de una marisquería que ha prosperado durante varias generaciones. Para estar a la altura de los tiempos, actualizas el servicio con un sistema electrónico de reservas que permite que los clientes creen una cuenta utilizando su dirección de correo electrónico y hagan una reserva que se muestre en tu calendario digital. El negocio experimenta un crecimiento importante y requiere contratar personal por primera vez en cinco años. Pero, sin tu conocimiento, ese maître tan entusiasta recientemente contratado comienza a hacerse con direcciones de correo electrónico de clientes y compartir esta información con su pareja. Su pareja resulta ser un hacker que empieza a crackear las contraseñas de los correos electrónicos de tus clientes. Aproximadamente una de cada dos veces consigue su objetivo. Y de las cuentas de correo electrónico crackeadas, el 10 % contiene enlaces a monederos electrónicos con datos bancarios y tarjetas de crédito. Con las cuentas de correo electrónico y los monederos electrónicos asociados, el par de delincuentes se monta una juerga de gasto desenfrenada. Desaparecen poco después dejando tras de sí una docena de clientes confundidos e indignados que pasarán meses recuperándose de la suplantación de identidad. Lo que hace que un ataque sea peligroso es que puede dar lugar a otro. En este caso, el maître, que resultó ser un empleado malintencionado, podría dejar abierta una “puerta trasera” que le permitiría espiar tu actividad en el futuro. Y este punto débil también podría ser utilizado por otros hackers para robar los datos personales y financieros de tus clientes, aunque actualices tus sistemas. Con los ciberataques volviéndose cada vez más sofisticados es crucial para tu negocio contar con un plan de seguridad comprensivo que abarque desde un antivirus hasta sistemas de monitorización continua. 7 Cibercrimen: periodo de recuperación ¿Cuánto se tarda en reparar el daño ocasionado por una filtración de datos? El Instituto Ponemon establece una media de 46 días, una cifra potencialmente abrumadora para el funcionamiento ininterrumpido de la actividad de las pyme. Detección Botnets Virus, gusanos y troyanos Malware tiempo de recuperación 2,2 días tiempo de recuperación 2,4 días tiempo de recuperación 5,8 días p Dispositivos robados tiempo de recuperación 12,3 días Denegación de Servicio tiempo de recuperación 19,3 días Tiempo de recuperación estimado Phishing e ingeniería social Ataques basados en la web tiempo de recuperación 21,9 días tiempo de recuperación 27,7 días Empleados malintencionados Código malicioso tiempo de recuperación 54,4 días tiempo de recuperación 47,5 días p Solución Crea un plan de respuesta a incidentes de seguridad para todos los departamentos con el fin de minimizar el periodo de recuperación. Fuente: El Instituto Ponemon 8 Cómo proteger tu empresa de los ciberataques Consejos esenciales para la ciberseguridad en pequeños negocios A medida que avanzamos hacia un mundo cada vez más digitalizado, donde la información es sinónimo de poder, los delitos informáticos adoptan nuevas formas. Los ciberdelincuentes tienen como objetivo el robo de datos y, debido al elevado número de dispositivos conectados en el lugar de trabajo, desde smartphones y tabletas hasta impresoras inalámbricas, hay un número creciente de puntos de acceso que pueden ser dianas de los hackers. Aquí figuran seis objetivos comunes para hackers de empresas y qué puedes hacer al respecto hoy en día . Consejo: La detección temprana de una brecha de seguridad puede limitar el daño, así que escoge un software de seguridad que monitorice constatemente tu red en busca de comportamientos inusuales. 1 Bases de datos de clientes Los datos financieros han dejado de ser el único objetivo de los hackers. Los archivos que contienen nombres y direcciones de correo electrónico pueden ser utilizados con fines de robo de identidad, spam o para hackear otras cuentas. Las pymes que ofrecen servicios a grandes empresas son el premio gordo para los hackers. Piensa en ello como el equivalente digital a entrar en una tienda de hardware para tener acceso a la pared del almacén que comparte con la caja fuerte de un banco nacional. Una vez que los atacantes se encuentren dentro del sistema de menor tamaño, estarán mejor posicionados para tener acceso a los datos sobre grandes empresas que están en posesión de los clientes que. ¿Cómo puede verse comprometida tu base de datos de clientes? Virus, gusanos y troyanos descargados desde sitios malicios? Cómo proteger la información de tus clientes • Usa software de seguridad diseñado para empresas, que ofrece protección de red, correo electrónico y puntos terminales. • Actualiza siempre tu software de seguridad para bloquear el malware que siempre está evolucionando. • Descarga actualizaciones de software de tus programas del sistema, ya que las versiones antiguas pueden contener vulnerabilidades explotables por los atacantes. El 64,4% de las PYMES confía en la seguridad de la nube 2 Servicios en la nube Muchas pequeñas empresas optan por servicios en la nube económicos como Microsoft Office 365 para las tareas administrativas. Si nos atenemos a los datos arrojados por el estudio del estado actual y futuro del software en España de la comparadora de software SoftDoIt, cada vez son más las PYMES que usan servicios e infraestructuras en la nube. No solo eso, sino que también se ha visto incrementada la confianza en ellos como una forma de trabajo segura. Concretamente la confianza de las PYMES españolas en la nube ha subido hasta un 64,4%. Pero los ataques maliciosos también pueden ocurrir como consecuencia de protocolos de seguridad insuficientes, como contraseñas y permisos de acceso, establecidos por los propios directivos de la empresa en sus propios datos alojados en la nube. Imagina si, como en el caso del propietario de la marisquería, no hubieras permitido que el maître pudiera visualizar la base de datos o, mejor aún, hubieras cifrado la información para que el hacker no pudiera utilizarla. Cómo proteger tus datos en la nube • Encripta la información más importante haciendo uso de herramientas como la tecnología Smartscript de PKWARE, que utiliza políticas de acceso para determinar la complejidad de la encriptación. De esa forma, los usuarios autorizados ven la información que se supone que deberían ver y los no autorizados no ven nada. • Crea una contraseña segura para tu cuenta en la nube. En la configuración de tu cuenta, define quién puede acceder a tus datos y las acciones permitidas. 9 • Establece una autenticación de dos factores, como un código de smartphone y una contraseña, para realizar cambios en archivos en la nube: p. ej., descargar, eliminar o mover archivos. 3 Smartphones y tablets de empleados Muchas personas utilizan sus dispositivos personales para realizar tareas en la oficina. Las políticas “traiga su propio dispositivo” (BYOD, por sus siglas en inglés) para pequeñas empresas son una forma efectiva de sacar partido de los smartphones que los empleados ya poseen, pero pueden ser un objetivo perfecto para hackers. Se estima que 1 de cada 5 aplicaciones de Android está infectada con algún tipo de malware, lo que podría extenderse a los archivos y sistemas corporativos para monitorizar la actividad o robar información. Los empleados que son víctimas de un robo de móviles también pueden ser, sin saberlo, una puerta de acceso para hackers. Un ladrón de teléfonos puede vender un dispositivo a un comprador en el mercado negro, que puede desmontarlo para obtener información sobre la empresa de la víctima o penetrar en los sistemas de un cliente más importante. Cómo securizar los dispositivos propiedad de tus empleados • Instala una herramienta de detección de amenazas como X-Ray de Duo para dispositivos Android para rastrear aplicaciones y códigos maliciosos con mayor facilidad. • Pide a los empleados que activen el borrado remoto (disponible gratuitamente para Android, iPhone y Windows Phone; con suscripción para BlackBerry) para que, en caso de pérdida, la información corporativa y personal sensible pueda ser eliminada. • Pide a los empleados que habiliten el cifrado del dispositivo en sus smartphones para proteger los datos (activado de forma predeterminada en nuevos dispositivos iOS y Android). ¿Qué es un ransomware? Los delincuentes cibernéticos recurren cada vez más a los ransomware, un tipo de malware que secuestra sistemas que sólo pueden ser desbloqueados con la entrega de un rescate en bitcoin. En 2015 los laboratorios de ESET España detectaron un aumento de ataques basados en la plantilla de Cryptolocker, el ransomware más popular. A continuación examinamos detenidamente cómo se producen este tipo de ataques. 10 1. Instalación El código malicioso se aloja en el sistema después de una descarga involuntaria, a través de un correo electrónico o sitio web malicioso. 2. A lerta a su servidor El ransomware se conecta con su servidor local para establecer una clave de codificación. 3. Encripta tus archivos El ransomware analiza los archivos de la red y los codifica haciéndolos inaccesibles. 4. Extorsión Normalmente un mensaje en el sistema del usuario indica un límite de tiempo y la cantidad a pagar para descifrar los archivos antes de que se eliminen. 5. Pago El propietario de la organización puede comprar una moneda digital, como el bitcoin, para realizar una transferencia al hacker, quien podría desencriptar los archivos. 4 Errores de los empleados El fundamento más básico de la ciberseguridad es una buena política de uso de contraseñas. Y sin embargo, “el comportamiento de los empleados es la segunda fuente de riesgo de ciberseguridad elegida por un 48% de los encuestados en el estudio llevado a cabo por Cisco”. Desde el hackeo de contraseñas poco seguras hasta el robo de documentos enviados por correo electrónico a través de conexiones no seguras, o correos electrónicos fraudulentos dirigidos a un empleado específico, los atacantes explotan a menudo el error humano. Cómo ayudar a tus empleados • Forma a tu equipo en buenas prácticas de ciberseguridad y fomenta la formación continua para mantenerse informado de las amenazas más recientes. • Proporciona un protocolo de seguridad adaptado a tu empresa y el tipo de datos que procesa. • Crea un equipo para comunicar tu política de ciberseguridad con los empleados, clientes y socios. RECUERDA: Elimina o desactiva funcionalidades de hardware innecesarias: las funciones crean mas puertas de enlace para los hackers. 5 Impresoras y otro hardware de red Tu impresora podría ser uno de los eslabones más débiles de tu red de seguridad. Un hacker podría tener acceso a contratos, informes financieros y otros datos confidenciales. Recuerda que estos archivos están viajando desde discos duros a copias impresas. Mientras que los ordenadores de una red empresarial están protegidos por contraseñas e idealmente por software de seguridad, las colas y los procesos de impresión no suelen estar protegidos por protocolos de seguridad similares. Dichas impresoras no seguras, junto con otros dispositivos en red, pueden convertirse en víctimas de un “sniffer”, que podría acceder a los procesos de impresión, así como al tráfico de red, nombres de usuario y contraseñas, y enviarlos directamente a un servidor malicioso. Otras fuentes de riesgo que pueden instalar malware en tus sistemas incluyen dispositivos externos que se utilizan con múltiples equipos, especialmente memorias USB, cuyo tamaño es ideal para distribuir archivos desde un ordenador infectado a otro. Cómo proteger tus periféricos • Descarga las actualizaciones de software para todo el hardware cuando estén disponibles. • Analiza los discos duros y memorias USB en busca de malware. • Invierte en hardware de seguridad con protección incorporada, como una impresora que pueda analizar, detectar y recuperarse de un fallo de seguridad reiniciando y borrando los documentos sensibles de la cola de impresión. Fuente: THIBER, the cyber security think tank y el Instituto Español de Ciberseguridad. 11 £5,000 Cyber Security Grant CUPÓN Programa de incentivos en ciberseguridad español (PICE), que tiene como objetivo principal crear un eje de oportunidad para la industria TIC, destinado a proporcionar ayudas, incentivos y estímulos financieros a las empresas en todo el ciclo de la I+D+i de productos y servicios de confianza digital, fomentando la normalización técnica, la certificación y la internacionalización. CUPÓN Solución Las contraseñas más comunes A principios de 2013 un periodista de Ars Technica que nunca había cometido un delito informático ni tenía experiencia penetrando en sistemas protegidos por contraseña crackeó 8 000 contraseñas cifradas de más de 16 000 en un solo día. >Por lo tanto, ¿qué pobilidades tienen estas contraseñas tan comunes frente a un cracker cargado de determinación? 123456 password qwerty baseballletmein 123456789 master football dragon solo princess login Se ha producido un error Solución Crea una contraseña fuerte 1 2 3 4 5 Usa al menos 12 caracteres Evita frases comunes Evita tu nombre y fecha de nacimiento Recuerda añadir numeros y símbolos Añade letras mayúsculas Seguridad adicional: Piensa en una frase larga que puedas recordar y crea un acrónimo de sus primeras letras. Luego añade números, símbolos y mayúsculas. Fuente: Splashdata 12 Consejo: Invierte en hardware que ofrezca protección integrada como autenticación avanzada y herramientas de encriptado. 6 Puertas de enlace Cuando los hackers quieren entrar en una red pueden llevar a cabo un ataque DDoS: cientos de máquinas infectadas con malware que trabajan de forma conjunta para generar tal cantidad de tráfico basura que la red se cae ante el peso del ataque. A menudo los atacantes DDOS quieren distraer a los administradores de los sitios para robar información o instalar malware de cara a planificar robos de datos en el futuro. Algunos ataques DDOS son obra de los llamados “script kiddies”, hackers novatos que simplemente quieren echar abajo una web porque pueden hacerlo. Desgraciadamente para un negocio, tener su web caída aunque sea unas horas puede ser debastador, tanto para sus ganancias como para su reputación. Cómo segurizar tu red • Construye sistemas que controlen el tráfico entrante y saliente de tu red. Un pico repentino podría indicar un ataque, mientras que una actividad constante no justificada podría indicar la presencia de un troyano que está enviando información a su servidor. • Filtra todo el tráfico para que solo el tráfico necesario para desarrollar tu actividad termine en tu red. • Asegúrate de que todos los routers, conmutadores u otros dispositivos de red operan con el mismo software y funcionalidad, y descarga las actualizaciones de software siempre. ¿Es tu empresa cibersegura? 1 de cada 10 1 de cada 3 empresas españolas del estudio se encuentran en el top 25 de peores ciberataques en Europa no tienen un plan de respuesta ante brechas de seguridad 1 de cada 20 se mostraba confiada en sus sistemas Fuente: Trend Micro 13 Checklist de ciberseguridad Instala software de seguridad como antivirus y sistema de detección de intrusiones (IDS). Descarga siempre actualizaciones. Cifra tus archivos más importantes. Escanea unidades de disco duro y USB en busca de malware. Forma a tu personal en buenas práctias de ciberseguridad, desde el uso de contraseñas seguras a reconocer archivos sospechosos. Escribe directrices para proteger los dispositivos de tus empleados y para el trabajo remoto. Crea un plan de respuesta a ciberataques. Crea un equipo a cargo de comunicar la política de ciberseguridad a los empleados. Usa impresoras y otros periféricos seguros con tecnologías antifraude y de encriptado. Instala software para monitorizar tu red en busca de tráfico inusual. Fuente: HP, Inc. 14 El futuro de la ciberseguridad en las pequeñas empresas A medida que las pequeñas empresas refuerzan su presencia online a un ritmo record, es cada vez más crucial construir defensas en ciberseguridad sólidas En el mundo actual los empleados llevan sus propios dispositivos a su lugar de trabajo. Los propietarios emplean plataformas de computación en la nube y externalizan servicios técnicos clave. Y según las cifras proporcionadas por la consultora de Empleo Ranstad, un 27% de las empresas españolas incluyen planes de trabajo a distancia. Al mismo tiempo, gracias a los smartphones hemos aprendido que es posible trabajar desde cualquier lugar y en cualquier momento. Tanto una cafeteria como una oficina son buenos sitios para trabajar. Utilizamos redes Wi-Fi públicas para procesar grandes cantidades de datos personales y corporativos, a menudo desde smartphones con sistemas de seguridad cuestionables. Los piratas informáticos no son ajenos a estos cambios. La seguridad se ve comprometida cuando no se presta atención a las circunstancias en las que se desarrolla el trabajo. Consejo: Rastrea y documenta el tráfico normal primero para después detectar anomalías. En los próximos años esto va suponer mucho más que añadir software antivirus a nuestros dispositivos o actualizar las contraseñas cada seis meses. Las pequeñas empresas deberán adoptar medidas de seguridad adicionales que funcionen igual de bien tanto de forma remota como en una oficina supervisada por un administrador de TI. Para las organizaciones del futuro, la ciberseguridad dependerá de análisis sofisticados que aíslen las conductas inusuales y la seguridad basada en la defensa por capas que protege todos los puntos de acceso. Análisis: el detective en ciberseguridad Incluso si tu web no recibe mucho tráfico, existirán patrones. El uso de herramientas de análisis que miden la actividad de registro puede hacer que sea más fácil diagnosticar algo que va mal. Estas herramientas funcionan mediente el seguimiento y la documentación, en primer lugar, del comportamiento normal, con el fin de detectar anomalías más adelante. Una vez detectados los fallos, los administradores pueden pasar a la ofensiva y contrarrestar los ataques antes de que tengan la oportunidad de desatar el caos cibernético. Seguridad por capas: mantén a los atacantes un paso por detrás También conocida como “defensa en profundidad”, la seguridad por capas protege cada punto de acceso de múltiples maneras. Los enfoques más comunes incluyen certificados SSL con Extended Validation (EV) que hacen que sea difícil falsificar las credenciales necesarias para acceder a una red segura. Combinado con eso, la autenticación multifactor (MFA), que require que los intrusos deban hackear más de una contraseña, también puede ser útil. Independientemente de la tecnología utilizada en el trabajo, el principio de la seguridad por capas consiste en fortificar cada área de la red potencialmente vulnerable de algún modo. Es posible que los usuarios y socios necesiten más tiempo y esfuerzo para acceder a los datos, pero los inconvenientes ocasionados sin duda se compensarán con tranquilidad para tu negocio. Toma medidas ya La inversión en software de ciberseguridad y formación es la mejor defensa. Empieza por hacer una auditoría de tus sistemas e infraestructura. ¿Estás haciendo lo suficiente? ¿Qué se podría mejorar? A continuación, infórmate sobre el Programa de incentivos en ciberseguridad español (PICE) y difúndelo para generar soporte a esta interesante iniciativa en materia de ciberseguridad. Por último, también puedes consultar con nuestros expertos de Hewlett Packard Inc. Nuestra base de conocimiento colectivo tiene por objetivo mantenerse a la vanguardia de las amenazas, no sólo actuar frente a ellas. Para obtener más información, visita visita HP.com. 15 Notas al pie de página [1] Necsia, conclusiones del estudio, los 10 principales riesgos de las empresas españolas. 16 Glosario y lecturas complementaraias Herramientas para la administración de identidades y control de acceso. Botnet: generalmente hace referencia a un tipo de programa automatizado, diseñado para acceder y controlar los ordenadores conectados a internet sin el conocimiento de su propietario. Los ordenadores a menudo se infectan con malware. Los hackers utilizan botnets para lanzar un ataque de denegación de servicio en un sitio web. Software de prevención de pérdida de datos: na amplia categoría de software cuyo objetivo es controlar la información confidencial y bloquear los intentos de los usuarios no autorizados para acceder o copiarla. Diferentes enfoques permiten la protección en el terminal de trabajo, en una red o en un sistema de archivos. Gartner experimentó un crecimiento de un 25% en este mercado en 2013. Tecnologías de encriptación: herramientas que convierten datos legibles en ilegibles si no se dispone de algún tipo de decodificador. El cifrado es una medida de seguridad altamente recomendable. Por ejemplo, el propio Centro Criptológico Nacional de España califica de importante esta media en ciertas circunstancias como trabajar con la nube, tal como puede leerse en su guia de seguridad de las TIC: Utilización de servicios en la nube. Technologias de Firewall: otro término amplio que designa un tipo de dispositivo que utiliza algoritmos y otras técnicas para bloquear el tráfico y el acceso a usuarios no autorizados. La próxima generación de estos dispositivos será más potente por la combinación de funciones que anteriormente eran llevadas a cabo por distintos dispositivos. Por ejemplo, la detección de intrusos. También suelen detectar aplicaciones y, por lo tanto, reconocen la diferencia entre el tráfico de internet desde la aplicación de Salesforce.com y desde una página de Facebook. Herramientas de GRC: en referencia a iniciativas amplias y coordinadas dentro de una empresa que se dedica a operaciones de gestión y dirección, de manera tal que cumple con la normativas y que, como resultado, reduce el riesgo. Malware: una categoría amplia de software que puede causar daño o, incluso, desactivar otros sistemas. Los virus, gusanos y troyanos son ejemplos de malware. El malware se incluye en una categoría distinta a la de los virus, que se localizan en el terminal y aún no se han infiltrado en la red. Controles perimetrales: una categoría general que describe la ciberdefensa en el lugar donde confluyen internet u otra red pública y una red privada y de propiedad y gestión local. Normalmente están involucradas múltiples capas y tipos de dispositivos. Phishing: por lo general, se trata de un ataque ejecutado a través del correo electrónico; el atacante solicita información de identificación en un cuadro de diálogo de aspecto legítimo. Herramientas de gestión de políticas: en términos generales, las herramientas de gestión de políticas establecen una asignación de permisos a usuarios e implementan dicho estándar en una red. La coherencia (en teoría, al menos) garantiza la seguridad. Sistemas de inteligencia de seguridad: una amplia variedad de inteligencia de seguridad puede ayudar a reunir y sintetizar información relativa a amenazas. Los sistemas varían desde los gestores de log hasta sistemas de detección de anomalías de red. Ingeniería social: mediante la cual un atacante consigue que un usuario autorizado filtre información confidencial, permitiéndole el acceso. Caballos de Troya o troyanos: con el mismo impacto que un virus o un gusano, los troyanos deben ser instalados por un usuario y, como tales, tienden a ocultarse convenientemente. Los efectos varían desde el cambio de la configuración del equipo o la eliminación de archivos hasta la creación de una “puerta trasera” para que el hacker pueda acceder posteriormente. 17 Virus: código malicioso que puede replicarse y extenderse a través de una red. A modo de curiosidad podéis conocer algunos de los virus más peligrosos de la historia en el artículo de Computer Hoy. Ataques basados en la web: por norma general, un ataque basado en la web implica redirigir un navegador a un sitio web malicioso. Gusanos: a diferencia de los virus, que se propagan cuando se comparte un archivo, los gusanos pueden replicarse independientemente de un archivo como un documento de Word o una hoja de cálculo Excel y, por lo tanto, no requieren interacción humana para sembrar el caos. Los sistemas de mensajería instantánea han sido objetivo de numerosos gusanos; Por ejemplo, un caso popular es el del gusano que afectó a Skype en el año 2012. Suscríbete para obtener actualizaciones hp.com/go/getupdated © Copyright 2016 HP Development Company, L.P.
© Copyright 2024