Blog

GUÍA BÁSICA DE CIBERSEGURIDAD EMPRESARIAL

Publicado 08 de septiembre de 2023
GUÍA BÁSICA DE CIBERSEGURIDAD EMPRESARIAL

GUÍA BÁSICA DE CIBERSEGURIDAD EMPRESARIAL

¿Alguna vez te has planteado iniciarte en el amplio y complejo mundo de la ciberseguridad y no has sabido por dónde empezar?

En OptimumTIC, como expertos en ciberseguridad transversal e integral desde hace más de 14 años, te explicamos algunos conceptos básicos para aprender a detectar, proteger y mitigar los riesgos de los ataques cibernéticos que pueden amenazar la seguridad de tu organización.


PRIMEROS PASOS

El primer punto a tener en cuenta es que la ciberdelincuencia no entiende de sectores, tamaños o personas. Si bien es cierto que suele tener algunos targets preferentes —como las pymes o el personal de empresa que cuenta con privilegios de administrador—, en general atacan a usuarios y empresas de cualquier tipo, por lo que es importante conocer algunos conceptos básicos para saber cómo protegerse de estas amenazas.

Así pues, como usuarios, aprender a proteger nuestros archivos y dispositivos es un buen punto de partida, y esto se consigue de diversas formas:

  • Securizando nuestros archivos: hacer una copia de seguridad offline de los archivos importantes, en un disco duro externo o en la nube. Además, asegúrate de que guardas tus documentos físicos en un sitio seguro también.
  • Encriptando los dispositivos: es recomendable encriptar los dispositivos y otros medios que contengan información personal sensible. Esto incluye ordenadores, tablets, smartphones, unidades extraíbles, cintas de seguridad y las soluciones de almacenamiento en la nube.
  • Requiriendo contraseñas: utilizar contraseñas para todos los ordenadores, tablets y smartphones. No dejes estos dispositivos desatendidos en lugares públicos.
  • Utilizando MFA (Multi-Factor Authentication): Requerir el multi-factor de autenticación para acceder a las áreas de tu ordenador con información sensible. Esto requiere pasos adicionales más allá de iniciar sesión con la contraseña —como un código temporal en el móvil o una llave que se inserta en el ordenador.
  • Actualizando el software: esto incluye aplicaciones, navegadores web y sistemas operativos. Configura las actualizaciones para que se instalen automáticamente.

Por otro lado, proteger nuestra red inalámbrica también es de vital importancia, y podemos hacerlo de dos formas: securizando nuestro router —cambiando el nombre y la contraseña que trae por defecto, desactivando la opción de gestión remota y cerrando la sesión de administrador una vez que se ha configurado— y empleando el cifrado WPA2 —debemos asegurarnos de que nuestro router tenga cifrado WPA2 o WPA3 y, en ese caso, que esté activado, pues la encriptación protege la información enviada a través de la red para que no pueda ser leída por personas ajenas.

Por último, introducir en la empresa una cultura de ciberseguridad es un buen paso a seguir, y existen tres pautas iniciales que pueden ayudarnos a conseguirlo:

  1. Exigir la implementación de contraseñas fuertes: una contraseña segura tiene al menos 12 caracteres que son una mezcla de números, símbolos y minúsculas iniciales. Nunca reutilices contraseñas y no las compartas en el teléfono, en textos o por email. Además, es recomendable limitar el número de intentos para introducir la contraseña ya que así se limitan los ataques de adivinación de contraseñas.
  2. Formar a toda la plantilla: implementar un calendario regular de formación y mantener actualizados a los empleados a medida que se descubren nuevos riesgos y vulnerabilidades. Si el personal no asiste y/o no desea realizarlas, puede considerarse la posibilidad de bloquear su acceso a la red.
  3. Tener un plan: disponer de un plan para guardar los datos, gestionar la empresa y notificar a los clientes si se produce una filtración.


MARCO DE CIBERSEGURIDAD DEL NIST


¿Habías oído hablar del marco de ciberseguridad del NIST? ¿Sabes qué es exactamente?

El marco de ciberseguridad del NIST (National Institute of Standards and Technology) ayuda a empresas de todos los tamaños a entender, gestionar y reducir mejor sus riesgos cibernéticos y proteger sus redes y datos.

Es un marco voluntario, pero es altamente recomendable ya que proporciona a la empresa una guía de mejores prácticas que ayuda a decidir dónde invertir tiempo y dinero en protección cibernética. El marco de ciberseguridad del NIST puede aplicarse en una empresa dentro de estas cinco áreas: identificar, proteger, detectar, responder y recuperar.

Identificar

Hacer una lista de todo el equipo, software y datos que se utilizan, incluidos los ordenadores, móviles, tablets y otros dispositivos de puntos de venta. Además, es recomendable crear y compartir una política de ciberseguridad que cubra, por un lado, los roles y responsabilidades de los empleados, los proveedores y cualquier otra persona que tenga acceso a datos sensibles y, por otro, los pasos a seguir para protegerse ante un ataque y poder limitar el daño si finalmente este se produce.

Proteger

  • Controla quién accede a tu red y utiliza tus ordenadores y otros dispositivos. 
  • Emplea un software de seguridad para proteger tus datos.
  • Encripta los datos sensibles, tanto los que están en reposo como en tránsito.
  • Realiza copias de seguridad de los datos regularmente.
  • Actualiza con regularidad el software de seguridad y automatiza estas actualizaciones si es posible.
  • Ten políticas formales para disponer de forma segura de los archivos electrónicos y dispositivos antiguos.
  • Forma en materia de ciberseguridad a cualquiera que utilice tus ordenadores, dispositivos y red. Puedes ayudar a que tus empleados entiendan sus riesgos personales y el papel crucial que realizan en su trabajo.

Detectar

  • Monitoriza tus ordenadores para detectar accesos de personal no autorizado, dispositivos prohibidos (como USB) y software no permitido. 
  • Revisa tu red en busca de usuarios y conexiones no autorizadas 
  • Investiga cualquier actividad inusual en tu red o por parte de tu personal.

Responder

Ten un plan para:

  • Notificar a los clientes, empleados y otras personas cuyos datos puedan estar en riesgo. 
  • Mantener el buen funcionamiento de la empresa 
  • Reportar un ataque a las autoridades correspondientes. 
  • Investigar y contener un ataque. 
  • Actualizar tus políticas y el plan de ciberseguridad con las lecciones aprendidas. 
  • Estar preparado para eventos imprevistos (como emergencias climáticas) que puedan poner en riesgo tus datos.

Responder

Tras un ataque, es primordial ejecutar dos acciones: reparar y restaurar el equipo y las partes de la red que se han visto afectadas, y mantener a los empleados y clientes informados sobre tus actividades de respuesta y recuperación.


SEGURIDAD FÍSICA


La ciberseguridad empieza con una seguridad física fuerte. Los descuidos respecto a la seguridad física pueden exponer los datos confidenciales de la compañía a robos de identidad, con consecuencias potencialmente serias. A continuación, exponemos algunos ejemplos:

  • Un empleado deja accidentalmente un USB encima de la mesa de una cafetería. Cuando regresa horas más tarde para recogerlo, el dispositivo —con miles de números de clientes y empleados de la empresa— ya no está.
  • Otro empleado tira grandes pilas de documentos con antiguos registros bancarios de la empresa a la basura, donde un criminal los encuentra fuera del horario laboral.
  • Un ladrón roba archivos y ordenadores de tu oficina entrando a través de una ventana sin cerrar.

Para evitar estos percances y proteger tus equipos y archivos, hay varios tips que pueden seguirse:

  • Almacénalos de forma segura: cuando los documentos físicos o los dispositivos electrónicos contengan información confidencial, guárdalos en una habitación o archivador bajo llave.
  • Limita su acceso físico: permite que accedan a ellos únicamente aquellas personas que realmente lo necesiten.
  • Envía recordatorios: recuerda a tus empleados que guarden los documentos físicos en archivadores bajo llave, que cierren sesión en la red y las aplicaciones cuando terminen su jornada laboral, y que nunca dejen desatendidos los archivos o dispositivos con información confidencial.


RANSOMWARE


Alguien en tu compañía recibe un email. Parece legítimo, pero solo con un clic en un enlace o una descarga de un documento, cualquiera puede acceder a tu red. Ese link ha descargado un software que coge tus datos como rehenes; eso es un ataque de ransomware.

Los ciberatacantes piden como condición para devolverte los datos dinero o criptomonedas, pero, aunque pagues, no tendrás realmente la certeza de que los cibercriminales vayan a devolverte tus datos, mantengan una copia o incluso destruyan tus archivos. De todas formas, la información que necesitas para sacar a flote tu empresa y los datos confidenciales de tus clientes y empleados están ahora en manos criminales. El ransomware puede afectar gravemente a tu empresa.

Existen varias maneras de iniciar un ataque de ransomware:

  • Correos electrónicos fraudulentos con enlaces y archivos que ponen tus datos y tu red en riesgo. Estos correos de phishing constituyen la gran mayoría de ataques de ransomware.
  • Vulnerabilidades del servidor que pueden ser explotadas por hackers.
  • Páginas web infectadas que automáticamente descargan software malicioso en tu ordenador.
  • Anuncios online que contienen código malicioso —incluso en páginas web que conoces y en las que confías.

¿Cómo podemos proteger nuestra empresa de estos ataques?

  • Haciendo copias de seguridad con regularidad de nuestros datos y archivos.
  • Instalando los últimos parches y actualizaciones.
  • Alertando a la plantilla sobre ellos y formándolos.
  • Teniendo un plan de actuación en caso de sufrir un ataque de ransomware.

¿Y si ya hemos sido atacados y no hay vuelta atrás?

Ante todo, debe limitarse el daño. Desconecta inmediatamente de tu red los ordenadores o dispositivos infectados. Si han robado tus datos, toma medidas para proteger tu compañía y notifica a aquellos que puedan verse afectados.

Por descontado, contactar con las autoridades para reportar el ataque es primordial también, y notificar a los clientes para que sepan que su información personal ha sido comprometida es un imperativo también. Y, si te preguntas si debes pagar por el rescate de los datos, el enfoque legal siempre recomienda no pagarlo, pero está en tu mano determinar si el pago por el rescate puede ser la mejor opción para recuperar tus datos. De todas formas, nada te garantiza que te los devuelvan.


PHISHING


Recibes un email cuyo destinatario parece alguien que conoces. Con toda probabilidad lo ha escrito un proveedor de tu compañía y te pide que cliques en un enlace para actualizar tu cuenta de empresa. ¿Deberías clicar? Quizá parezca incluso que es un correo de tu jefe donde te pide la contraseña de la red. ¿Deberías responder?

En ambos casos, la respuesta es no. Pueden ser intentos de phishing.

Los phishing suelen recibirse a través de correos o mensajes de texto, se caracterizan por su capacidad de asemejarse a mensajes que te envían las personas que conoces y normalmente te piden que hagas clic en un enlace o que des tu contraseña, tu cuenta de banco o cualquier otra información confidencial.

No solo eso, sino que parecen muy reales, ya que imitan y copian muy bien los logos y las firmas de entidades legítimas; los estafadores suelen utilizar nombres de compañías que nos son familiares o que se hacen pasar por personas que conocemos. Otra característica, además, es que son mensajes que suelen presionarnos a hacer algo de forma inmediata —pues si no lo hacemos tendremos consecuencias negativas.

Si clicas en el enlace, los estafadores pueden instalar ransomware u otros programas que pueden bloquear el acceso a tus datos y extenderse a toda la red de la empresa. Si compartes contraseñas, ahora los estafadores tienen acceso a todas tus cuentas.

¿Qué puedes hacer antes de clicar en un enlace o compartir información confidencial de tu empresa?

  • Comprueba el sitio web o el teléfono de la empresa o persona que ha enviado el correo: asegúrate de que estás hablando con la compañía real y que no estás a punto de descargar malware o contactar con un estafador.
  • Háblalo con alguien: comentarlo con un colega puede ayudarte a averiguar si la petición es real o un intento de phishing.
  • Haz una llamada si no estás seguro: coge el teléfono y llama al proveedor, colega o cliente que supuestamente ha enviado el email. Confirma que realmente necesitan esta información de ti. Utiliza un número que sepas que es real, no el número que aparece en el email o el mensaje.


IMPOSTORES DE CORREO ELECTRÓNICO EMPRESARIAL


Un estafador configura una dirección de correo electrónico que se parece a cualquier otra de tu empresa. Después, te envía mensajes utilizando esta dirección. Esta práctica se llama spoofing, y el estafador es lo que llamamos impostor de correo electrónico empresarial.

Los estafadores realizan estas acciones con el fin de conseguir contraseñas y números de cuentas bancarias o para persuadir a alguien de que les envíe dinero. Cuando esto ocurre, la compañía tiene mucho que perder; clientes y partners pueden perder su confianza en ti y llevar su negocio a otra parte —y el tuyo, por ende, perdería dinero.

Para proteger nuestra empresa de estos ataques tenemos tres opciones:

  • Utilizar autenticación de correo: cuando configures tu correo de empresa, asegúrate de que el proveedor de correo ofrece tecnología de autenticación del correo. De este modo, cuando envíes un correo desde el servidor de tu compañía, los servidores receptores podrán confirmar que el email proviene realmente de ti. Si no es así, seguramente bloquearán el email y frustrarán el intento de estafa.
  • Mantener tu seguridad actualizada: instala siempre los últimos parches y actualizaciones. Configúralos de forma que se actualicen automáticamente en tu red. Busca otras formas adicionales de protección, como softwares de prevención de intrusos, que revisan tu red en busca de actividad sospechosa y envían alertas si encuentran alguna.
  • Formar a tus empleados: enséñales cómo evitar estafas de phishing y muéstrales algunas de las vías más comunes que utilizan los atacantes para infectar ordenadores y dispositivos con malware. Incluye en las formaciones y las comunicaciones regulares a tus trabajadores varios tips para localizar y protegerse de ciberataques.

En caso de que alguien suplante un email de tu compañía, repórtalo, notifícalo a tus clientes y alerta a tu equipo.


ESTAFAS DE SOPORTE TÉCNICO


Recibes una llamada de teléfono, una ventana emergente o un correo electrónico avisándote de que hay un problema con tu ordenador.

Normalmente, los estafadores están detrás de estas notificaciones. Quieren conseguir tu dinero, tu información personal o acceder a tus archivos. Esto puede perjudicar tu red, poner tus datos en riesgo y dañar tu empresa.

¿Cómo funciona estas estafas?

En este tipo de estafas, los atacantes se hacen pasar por una compañía tecnológica confiable, como Microsoft. Utilizan muchos términos técnicos para convencerte de que el problema en tu ordenador es real y suelen pedir, además, que abras algunos archivos o que inicies un escaneo en el ordenador —y entonces te dicen que estos archivos o los resultados del escáner muestran un problema, pero no hay ninguno realmente.

Estas son las estrategias que suelen seguir:

  • Te piden que les des acceso remoto a tu ordenador —donde obtienen acceso a toda la información almacenada en él o en cualquier red conectada a él.
  • Instalan malware que les brinda acceso a tu ordenador y a los datos sensibles, como nombres de usuario y contraseñas.
  • Intentan venderte un software o servicios de reparación que son inútiles o que están disponibles en otros sitios de forma gratuita.
  • Intentan convencerte de que realices un mantenimiento en el ordenador o te venden un programa de garantía, pero ambos son inútiles.
  • Te piden los datos de tu tarjeta de crédito y te facturan servicios falsos o servicios que están disponibles en cualquier otro sitio de forma gratuita.
  • Te redirigen a alguna página web que te pide que introduzcas tu tarjeta de crédito, tu cuenta bancaria u otra información personal.

Como recomendación, cuando alguien nos llama para decirnos que nuestro ordenador tiene un problema, la mejor opción es colgar directamente. Generalmente, nunca pensamos que una llamada del soporte técnico pueda ser una estafa, ya que, además, estos atacantes utilizan información falsa del identificador de llamadas para hacerse pasar por una empresa confiable. No obstante, es mejor no confiar.

En el caso de recibir un mensaje en una ventana emergente indicando que llamemos al soporte técnico, también es mejor ignorarlo. Algunos mensajes de ventanas emergentes informando sobre problemas del ordenador son legítimos, pero nunca cliques en ningún enlace ni llames a cualquier número que aparezca en ellos.

Por otro lado, ante la preocupación de haber sido infectado con algún virus o amenaza, debe llamarse directamente a la empresa del software de seguridad, utilizando el teléfono que aparezca en su página web, en el recibo de compra o en el paquete del producto. Otra opción es consultar a un profesional de la seguridad confiable.

Por último, nunca debemos dar a nadie nuestras contraseñas personales, y nunca dar acceso a nuestros ordenadores a alguien que nos contacte de forma imprevista.

¿Y qué hacer si hemos sido víctimas de esta estafa?

Si has compartido tu contraseña con un estafador, cámbiala en cada cuenta que utilices esa contraseña. Recuerda usar contraseñas únicas para cada cuenta o servicio y considera utilizar un gestor de contraseñas.

Deshacerse del malware es otro imperativo, y para ello puedes actualizar o descargar un software de seguridad legítimo. Escanea tu ordenador y borra cualquier cosa que el software de seguridad considere un problema. Si necesitas ayuda, consulta a un profesional de seguridad confiable.

Por otro lado, si el ordenador afectado está conectado a una red, un profesional de seguridad o tu debéis revisar toda la red en busca de posibles intrusos.

En caso de haber comprado servicios falsos, pide a tu banco que se anulen los cargos y revisa su estado por si hay algún cargo que no haya sido aprobado por ti. Continúa revisando el estado de tu tarjeta de crédito días después para asegurarte de que el estafador no intenta recargártelos cada mes.


SEGURO CIBERNÉTICO


Recuperarse de un ataque puede ser costoso, económicamente hablando. Tener un seguro de ciberseguridad es una opción que ayuda a proteger tu empresa ante pérdidas derivadas de un ciberataque.

Si estás pensando en contratar uno, consulta con tu agente de seguros qué póliza se adapta mejor a tus necesidades, incluido si debes optar por una cobertura de primera persona, de tercera persona, o ambas.

¿Qué debería cubrir tu póliza de seguro cibernético?

Asegúrate de que tu póliza incluya cobertura para:

  • Brechas de datos (como incidentes que involucren el robo de información personal)
  • Ciberataques (como brechas en tu red)
  • Ciberataques en tus datos que estén en posesión de proveedores y terceras partes
  • Ciberataques que ocurran en cualquier lugar del mundo (no solo en España)
  • Ataques terroristas

Además, considera si tu proveedor de seguro cibernético:

  • Te defenderá ante cualquier litigio o una investigación regulatoria
  • Proveerá una cobertura superior a cualquier otro seguro aplicable que tengas
  • Ofrecerá una línea directa para casos de infracción, disponible todos los días del año y a todas horas


AUTENTICACIÓN DE EMAIL


La tecnología de autenticación de email hace mucho más difícil para los estafadores enviar emails de phishing que parezcan de nuestra compañía. Esta tecnología permite que el servidor receptor pueda verificar un email de tu compañía y bloquear emails de un impostor —o enviarlos a una carpeta en cuarentena y entonces notificarte sobre ellos.

Algunos proveedores de alojamiento web permiten configurar tu email corporativo utilizando tu nombre de dominio (el cual debes pensar en base al nombre de tu página web). Tu nombre de dominio debería ser algo así: tuempresa.com. Y tu email debería ser parecido a: nombre@tuempresa.com. Sin una autenticación de email, los estafadores pueden utilizan este nombre de dominio para enviar emails que parezcan que son de tu empresa. Si tu email corporativo utiliza el nombre de dominio de tu empresa, asegúrate de que tu proveedor de correo tiene estas tres herramientas de autenticación de correo:

  • Política de envíos: explica a otros servidores qué servidores pueden enviar correos utilizando el nombre de dominio de tu empresa. Así, cuando envíes un email desde nombre@tuempresa.com, el servidor receptor podrá confirmar que el servidor de envío es confiable. Si lo es, el servidor receptor dejará pasar el correo. Si no puede verificarlo, será marcado como sospechoso.
  • Claves de dominio de correo verificado: pone una firma digital en los correos salientes para que los servidores puedan verificar que un correo con tu nombre de dominio se envió desde los servidores de tu organización y que no ha sido manipulado durante el proceso.
  • Autenticación, notificación y conformidad de mensajes basados en el dominio: es la tercera herramienta esencial para la autenticación de correo. Las dos anteriores verifican la dirección que el servidor usa “entre bastidores”. Esta, en cambio, verifica que la dirección coincide con la que aparece en el apartado “De” del correo. Además, te permite explicar a otros servidores qué hacer cuando reciben un correo que parece de tu dominio, pero el servidor receptor tiene razones para sospechar de él en base a las herramientas anteriores. Puede hacer que otros servidores rechacen el correo electrónico, lo marquen como spam o no emprendan acciones. Además, puedes configurar esta herramienta para que te envíe una notificación cuando esto ocurra.

Configurar estas herramientas para que funcionen correctamente y no bloqueen el correo legítimo requiere cierta experiencia. Asegúrate de que tu proveedor de alojamiento de correo electrónico puede configurarlos si tú no tienes conocimientos técnicos para ello. Si no pueden, o no incluyen estos servicios en el acuerdo, considera contratador otro proveedor.


SEGURIDAD DEL PROVEEDOR


Los proveedores de tu empresa tienen acceso a información sensible. Por ello, asegúrate de que tus proveedores están securizando también sus ordenadores y sus redes. Por ejemplo, ¿y si tu contable, que posee todos tus datos financieros, pierde su ordenador? ¿Y si un proveedor cuya red está conectada a la tuya es hackeado? El resultado es que los datos de tu empresa y la información personal de tus clientes podrían terminar en las manos equivocadas —poniendo así en riesgo a tu empresa y a tus clientes.

Para poder monitorizar a tus proveedores y verificar que la seguridad de tu empresa está bajo control, debes:

  • Ponerlo por escrito: incluye disposiciones sobre seguridad en los contratos con tus proveedores, como un plan para evaluar y actualizar los controles de seguridad, puesto que las amenazas cambian constantemente. Haz que las disposiciones de seguridad que puedan ser críticas para tu compañía no sean negociables.
  • Confirmar el cumplimiento: establece procesos para confirmar que los proveedores cumplen tus normas. No creas simplemente en su palabra.
  • Realizar los cambios necesarios: las ciberamenazas cambian rápido. Asegúraate de que tus proveedores mantienen su seguridad actualizada.


CONTRATAR UN ALOJAMIENTO WEB


Es probable que quieras una nueva página web para tu empresa o, al menos, una que esté actualizada.  Pero si no tienes las habilidades para configurar tu web tal y como la quieres, entonces deberías contratar un proveedor de alojamiento web para que lo haga por ti. Tanto si se trata de lanzar un sitio web o de lanzar un nuevo negocio, hay varias opciones de alojamiento web. Cuando compares servicios, asegúrate de que la seguridad sea un factor de decisión relevante.

¿Qué debes tener en cuenta a la hora de contratar un alojamiento web? Por un lado, la seguridad en la capa de transporte. El servicio que escojas debe incluirla, ya que te ayudará a proteger la privacidad de tus clientes. La seguridad en la capa de transporte te ayuda a asegurar que los clientes acceden a tu página web real cuando escriben tu URL en la barra de direcciones. Cuando esta seguridad esté implementada de forma correcta en tu página web, tu URL debería empezar por https://.

Además, ayuda a confirmar que la información que se envía a tu página web está encriptada. Esto es especialmente importante si manejas información sensible de tus clientes, como números de tarjetas de crédito o contraseñas. En segundo lugar, otro factor a tener en cuenta es, como ya hemos mencionado en apartados anteriores, la autenticación de email.

Por último, es importante verificar que nuestro proveedor de alojamiento web cuenta con actualizaciones de software y servicios de gestión de la página web. Respecto a las actualizaciones de software, muchos proveedores de alojamiento web ofrecen páginas web pre-creadas o paquetes de software diseñados para hacer más rápida y fácil la configuración de tu página web. Como en cualquier software, es esencial que utilices las últimas versiones con los parches de seguridad ya implementados. Asegúrate de que conoces cómo mantener el software de tu página web actualizado, o que tu proveedor de alojamiento web puede hacerlo por ti.

En lo que respecta a los servicios de gestión de la página web, si un proveedor de alojamiento web está gestionando tu página web, deberás acudir a este proveedor para realizar cualquier cambio —aunque es posible que puedas iniciar sesión y realizar los cambios tú mismo. Algunos proveedores de alojamiento web pueden ofrecerte la posibilidad de gestionar tú mismo tu propia web. Es importante dejar claro desde el principio quién gestionará la web después de su lanzamiento.


ACCESO REMOTO SEGURO


Los empleados y los proveedores necesitarán conectarse de forma remota a tu red. Primero, pon siempre por delante la seguridad de tu red. Haz que tus empleados y proveedores sigan los estándares de seguridad antes de conectarse a tu red. Dales las herramientas para que puedan integrar la seguridad como parte de su trabajo diario.

Tanto si los empleados o los proveedores utilizan dispositivos proporcionados por la empresa, como si emplean los personales cuando se conectan de forma remota a tu red, estos dispositivos deben ser seguros. Sigue estos consejos y asegúrate de que tus empleados y proveedores los realizan bien:

  • Cambia siempre cualquier contraseña preestablecida del router y el nombre que trae por defecto. Y mantén el software del router actualizado; debes visitar la web de tu router con frecuencia para hacerlo.
  • Considera establecer encriptación de disco completo en los ordenadores y otros dispositivos móviles que se conecten remotamente a tu red. Revisa tu sistema operativo para implementar esta opción, ya que protegerá cualquier dato almacenado en el dispositivo si este se pierde o es robado. Esto es especialmente importante si el dispositivo almacena información personal y sensible.
  • Cambia las configuraciones del móvil para que deje de conectarse automáticamente a Wi-Fi públicas.
  • Mantén actualizado el software de antivirus en dispositivos que se conecten a tu red, incluidos los móviles.

En añadido, para que los empleados y los proveedores puedan conectarse de forma segura a tu red cuando están en remoto, deben, por un lado, utilizar un router con cifrado WPA2 o WPA3. El encriptado protege la información enviada a través de una red para que personas ajenas no puedan leerla. Por otro lado, solo deben utilizar Wi-Fi público cuando estén empleando una VPN para encriptar el tráfico entre el ordenador y la red. Las Wi-Fi públicas no ofrecen por sí mismas una conexión segura a internet, por ello los empleados pueden adquirir una cuenta personal de VPN de un proveedor de servicios VPN, o puedes contratar a un proveedor para que cree una VPN empresarial y que todos tus empleados la utilicen.

En OptimumTIC, bajo la misión de ser una empresa líder y de referencia en el sector, nos dedicamos a la ciberseguridad transversal e integral desde hace 14 años. Nuestra misión es la de servir de acompañantes en la estrategia de ciberseguridad de todas las empresas, asegurando así la continuación de sus negocios.

Gracias a un equipo multidisciplinar que está formado por técnicos, abogados, criminólogos y compliance, y a que somos partners certificados de las mejores herramientas del mercado, somos una empresa que destaca por su experiencia, excelencia, conocimiento, optimización y transversalidad.

De esta manera, en base a nuestra metodología basada en la mejora continua y la proactividad, siempre comunicamos y recomendamos a nuestros clientes las mejores prácticas de gestión de la ciberseguridad con el fin de mantener la seguridad de sus compañías y conseguir un nivel de madurez adecuado. 


Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escríbenos a info@optimumtic.com 

OptimumTIC

OptimumTIC, Auditoria y Ciberseguridad al más alto nivel.

Siempre a la altura de nuestros clientes.

Contacta con nosotros

Plaça de Francesc Macià, 7
Barcelona 08029
Teléfono: 932 527 467
Email: info@optimumtic.com

Síguenos en

Certificados en el Esquema Nacional de Seguridad

Certificados en el Esquema Nacional de Seguridad

Certificados en la ISO 27001

ISO 27001

Certificados en protocolo contra el covid-19

Protocolo contra el covid-19

Gestión Excelencia Empresarial

Gestión Excelencia Einforma

Empresa registrada en el INCIBE

Registrada en el INCIBE