Checklist de los buenos hábitos en ciberseguridad para PYMES

Contraseñas seguras y Control de Acceso

Toma estos cinco puntos como prioritarios para proteger tus contraseñas:

1. Se deben de cambiar todas las cuentas entregadas «por defecto» (la primera que se le da a una persona desde el sistema o la administración) y deshabilitar todos los servicios que no soporten factores de autenticación adicionales.
2. Utiliza contraseñas robustas, eso quiere decir más de 8 caracteres con al menos una letra Mayúscula, una minúscula, un número y un símbolo. No utilices información personal para crearla. No las reutilices y habilita siempre los factores de doble autenticación (móvil, tarjetas inteligentes, claves de seguridad online FIDO2(Fast Identity Online 2).
3. Utiliza este verificador  de haveibeenpwned.com para saber si alguna de tus contraseñas ha sido expuesta a través de alguna brecha de seguridad, este mismo servicio lo puedes encontrar en los gestores de contraseñas. Es importante cambiar tu contraseña con relativa frecuencia o en caso de sospechar que haya sido expuesta. Sí es muy importante y no es difícil de hacer.
4. Verifica todos los accesos remotos, VPN, portales corporativos con proveedores o correo electrónico vía web deben de utilizar autenticación multifactor.
5. Controlar siempre el acceso de terceros a nuestros sistemas para prevenir y detectar posibles ataques del tipo fraude de BEC (Bussines email Compromise), en este caso si alguno de nuestros proveedores ha sido víctima de hackeo o phishing, pueder ser una vía de acceso para vulnerar nuestros sistemas. Vigilar es anticipar.

Proteger correo electrónico, llamadas y mensajes

Toma en cuenta estos datos para proteger tu mensajería personal y corporativa:

1. Ante un remitente desconocido, abre bien los ojos, duda todo lo que necesites y extrema todas las precauciones, es el método más difundido para estafar.
2. Acostúmbrate a valorar la información, la cabecera de un correo electrónico ofrece mucha más información que un nombre, que puede estar falseado, el resto de datos te dará la pista.
3. Atención a los enlaces, lo primero es verificar la dirección de destino, si se trata de una dirección acortada utiliza herramientas como unshorten.it, cerciórate de que coincida cada uno de los caracteres con la web oficial, ejemplos clásicos de suplantación serían tusantander.es para santander.com o bvva.com para bbva.com
4. Utiliza siempre tus herramientas básicas actualizadas, antivirus y antimalware ante cualquier enlace o archivo adjunto sobre todo de remitentes desconocidos o de terceros con brechas de seguridad probables o conocidas.
5. Aplica toda tu política de seguridad a todos los canales de comunicación además del correo electrónico. También las aplicaciones de mensajería instantánea como WhatsApp, SMS y redes sociales son perfectas para la difusión de phishing o malware y la proliferación de los ataques basados en ingeniería social.
6. Si existen solicitudes de modificación o comunicación de datos bancarios, verifica siempre la procedencia de la petición y confirma la petición por un canal de comunicación distinto al que recibas la solicitud inicial.

Seguridad de redes y sistemas de información empresarial

Decálogo de una red segura

En el consenso de Ciberseguridad para redes y sistemas de información de Unifiednetworks.es se concluyeron estos 10 puntos como los más esenciales para mantener activa la seguridad de nuestra red empresarial.

1. Instalar y mantener actualizadas herramientas antimalware en absolutamente todos los dispositivos de la empresa incluyendo los móviles que se conecten a la red empresarial.
2. La actualización e instalación de parches relativos a la seguridad dentro de nuestro sistema operativo, son prioritarios en el mantenimiento del cerco de seguridad sobre todo si se tratan de amenazas críticas o incluso de la mayoría de graves anunciadas. Ten por seguro que la ciberdelincuencia es ya una profesión especializada y es cuestión de horas para que la mayoría conozca cómo aprovechar las brechas anunciadas. Actualízate siempre que te sea posible.
3. Segmenta tu red para separar los servicios internos de los que necesiten conectividad al exterior de la red de empresa. Dicho de otro modo, no es necesario que dejes la información sensible en una red accesible.Ten el detalle de bloquear los puertos de los servicios que no se estén utilizando.
4. Seguridad Wifi configurada con los últimos protocolos, crea una red separada para los invitados.
5. Los dispositivos IoT importan igual, solemos despreciar la capacidad de cómputo de una bombilla, cuando en realidad son elemento básico de las Bostnet, una amenza latente en ciberseguridad, así que recuerda las medidas básicas y protocolos de seguridad desde la red de acceso hasta el buen uso de usuarios y contraseñas.
6. Grabar «por si acaso» no está nunca de más, las copias de seguridad son la tranquilidad más objetiva de la información, responden siempre ante el fallo del resto de medidas. Realiza una copia de seguridad en 3, 2, 1…. 3 Copias, en 2 soportes distintos y en 1 ubicación separada y fuera de línea. Comprueba tu funcionalidad y actualiza la copia según tus posibilidades y necesidades. 
7. Doblar la seguridad ante la contratación de servicios externos en la nube computacional (cloud computing) y con la cadena de suministro del equipamiento informático.
8. Tu sitio web es la puerta principal, verifica que cumples con la legislación vigente para sitios web y tiendas online, tanto si la alojas en un servidor particular o si el servicio es contratado. Revisa que tus servidores web están a salvo de ataques de denegación de servicio y verifica que no son controlados por botnets.
9. Realiza auditorías periódicas y contar con sistemas de monitorización de redes y servidores.
10. Cíñete a un plan, tener un plan de contingencia y definir procedimientos actualizados en la gestión de incidentes son parte de un equipo bien preparado. Tener a mano la copia de seguridad y ponerla a andar lo más rápido posible así como solicitar la ayuda requerida en el momento necesita un plan elaborado para evitar retrasos en la cadena de actuación.

Ante cualquier ataque no olvides ponerlo en conocimiento de la Agencia Española de Protección de Datos, previamente debes denunciarlo como und elito a las Fuerzas y Cuerpos de SEguridad del Estado o informarlo a un centro de respuesta a incidentes del Instituo Nacional de Ciberseguridad.