Un reciente estudio de Cisco apunta a que durante el año pasado (2017), el 53% de pymes han recibido algún ciberataque a sus sistemas de información, que ha supuesto una brecha de seguridad respecto de la confidencialidad, integridad y/o acceso a la información y datos personales de la compañía.

Así se desprende del Cisco SMB Cybersecurity Report, el informe realizado a 1.816 pymes de 26 países distintos (incluyendo España), que además del porcentaje mencionado, indica que, de media, las pymes gestionan unas 5.000 alertas de seguridad diarias, el 41% de las cuales permanece sin remediarse, con el consecuente riesgo de seguridad para las compañías.

Además, y en orden de mayor a menor, las principales preocupaciones de seguridad para las empresas analizadas se refieren a los ataques tipo phishing hacia empleados, las amenazas persistentes avanzadas (APT), ataques tipo ransomware, ataques DDoS y los riesgos de seguridad que supone el aumento del fenómeno BYOD (Bring Your Own Device).

Si combinamos los resultados del informe de CISCO con los resultados del Informe sobre el estado de higiene cibernética realizado por Tripwire en base a una encuesta a 306 profesionales de IT, y que analiza la implementación de los controles de seguridad básicos recomendados para compañías por parte del CIS (Centro para la Seguridad de Internet), podemos afirmar que una gran parte de empresas no están implementando las medidas de seguridad necesarias y adecuadas y que, aunque existe preocupación ante el aumento de ataques, una parte significativa de compañías no están preparados para hacerles frente ni disponen de una estrategia de seguridad global efectiva.

En OptimumTIC contamos con una larga experiencia en diseño e implementación de estrategias globales de seguridad, orientadas y personalizadas para todo tipo de compañías, y que incluyen medidas de carácter técnico, organizativo y legal que garanticen la seguridad de la información así como el cumplimiento de legislaciones aplicables en relación con la información corporativa y los datos personales.

A continuación presentamos algunos aspectos clave a tener en cuenta e implementar en la compañía para aumentar la seguridad de la organización y empezar a construir una estrategia global en seguridad.  

1.- Identificar los dispositivos con acceso a la información

 En la era de los dispositivos IoT y del auge del fenómeno BYOD (Bring Your Own Device – utilizar dispositivos personales para fines laborales), determinar concretamente los dispositivos que la compañía autoriza a acceder y almacenar información corporativa contribuirá a mitigar riesgo relativos a la información, ya que evitará que se acceda a ella desde dispositivos que no cuenten con las medidas de seguridad establecidas por la organización.

Disponer de un inventario de dispositivos autorizados y concienciar a nuestros empleados de los riesgos de acceder o almacenar información corporativa en dispositivos no autorizados, contribuirá a evitar las posibles fugas de información y las conexiones no seguras a la red corporativa.

2.- Política de contraseñas y control de accesos

Implementar una política de contraseñas que determine los mínimos de robustez y la actualización periódica de las mismas puede evitar accesos no autorizados a la información. Además, y en relación al acceso a ésta, diferenciar a los usuarios por funciones y roles, atribuyendo los consecuentes permisos a cada uno, contribuirá a garantizar que sólo se accede a aquello necesario.

3.- Actualizaciones para evitar vulnerabilidades

Inventariar todo el software que se utiliza en la organización y asegurar que éste se actualiza adecuadamente evitará que podamos recibir un ataque a causa de las vulnerabilidades de uno de ellos. Los fabricantes publican parches para mitigar estos riesgos, y es por ello por lo que es tan importante contar con software debidamente licenciado y determinar, para todos los trabajadores, qué programas y aplicaciones están autorizados para su uso corporativo y cuáles no.

4.- Monitorización

Disponer de herramientas que permitan la monitorización y el análisis de los registros, así como la revisión periódica de éstos y la creación de alertas, facilitará a la compañía ser consciente de cualquier ataque e identificar posibles comportamientos internos que podrían suponer un riesgo para la información corporativa.

Estas cuatro recomendaciones se incluyen en toda estrategia de seguridad, que abarca muchas más medidas, conforme el tipo de organización y su actividad. Desde OptimumTIC estamos dispuestos a ayudarte a aumentar la seguridad en tu compañía, ya sea a través del diseño de la estrategia, su implementación o la formación y concienciación a todos los actores involucrados.

Para más información y/o una demostración sin compromiso de nuestros servicios y herramientas puede ponerse en contacto con OptimumTIC mediante un correo electrónico a info@optimumtic.com