Las empresas, especialmente las pequeñas y medianas, así como los profesionales autónomos, son los objetivos más vulnerables de los ataques informáticos. La ciberseguridad en las pymes es la gran ausente y eso hace que sean un blanco fácil. Por eso, vamos a ver los mejores consejos de seguridad informática para empresas de pequeño tamaño, las más numerosas.

Estamos hablando de esos negocios que no pueden permitirse tener un SOC, ni tampoco a un experto en ciberseguridad. De hecho, muchas ni siquiera pueden permitirse a un experto en redes o IT en general.

Por suerte, siguiendo estos consejos, que se van a explicar de la manera más sencilla posible, estarán a salvo de la gran mayoría de ataques informáticos.

Además, también son aplicables a negocios de cualquier tamaño, desde autónomos a grandes corporaciones, ya que, por desgracia, la ciberseguridad es la asignatura pendiente de las empresas en general, incluso las importantes.

1. Mantenga su software actualizado

Una de las acciones más importantes que puede hacer para proteger su empresa es mantener actualizado todo el software que utiliza en su negocio, especialmente sistemas operativos y programas críticos.

Eso permite aplicar las constantes correcciones de seguridad para vulnerabilidades conocidas, que se van implementando con cada actualización de los programas.

Los hackers y actores maliciosos aprovechan errores de código en los programas para penetrar en sistemas o desplegar malware. Al otro lado de la trinchera, los desarrolladores de software se afanan en ir corrigiendo esos errores.

Es una carrera constante y debemos mantenernos en la cabeza con el software siempre bien actualizado.

Pero, ¿qué es lo que se ve a menudo en las empresas?

Windows de la edad de piedra, programas piratas de Office y, en general, software antiguo y lleno de agujeros.

Tener todo el software actualizado en ordenadores, móviles y dispositivos es la base fundamental de la ciberseguridad en una empresa.

2. Eduque a los empleados en prácticas básicas de ciberseguridad

El eslabón más débil de la cadena de la ciberseguridad siempre ha sido y será el usuario.

¿Cómo fue el hackeo que permitió descubrir las torturas del ejército americano en Irak? Manning grabó los archivos secretos a los que tenía acceso en un CD, puso con un rotulador que era de Lady Gaga y sacó la información.

Snowden hizo algo parecido, copiando a un USB la información del programa secreto de escuchas de la NSA.

Y no solo hablamos de factor humano que se lleva información sin que lo sepamos, la mayoría de las veces el usuario cae en trampas de ingeniería social y revela claves o pincha donde no debe.

La mayoría de personas no tiene ni idea de ciberseguridad y de sus peligros. Por experiencia, esa es la mayor vulnerabilidad que tratan de explotar siempre los actores maliciosos.

La vacuna contra esos ataques informáticos es la educación de nuestros empleados en ciberseguridad. Conocer los peligros y las mejores prácticas es la primera línea de defensa y la más importante.

¿Y en qué buenas prácticas de ciberseguridad hay que educar?

En las que vamos a ver a continuación que, por suerte, son sencillas, pero no debemos confiarnos.

3. Que todo el mundo utilice contraseñas seguras

Otro paso fundamental para proteger nuestro negocio contras hackers es utilizar contraseñas seguras.

Eso implica contraseñas fuertes de al menos ocho caracteres e incluyendo una mezcla de letras mayúsculas y minúsculas, números y símbolos.

Dichas contraseñas:

• Jamás deben ser reutilizadas. De manera que no se pueda acceder a varios sitios, programas o cuentas con la misma contraseña.
• No poner palabras que estén en un diccionario. Tengamos en cuenta que ese es uno de los ataques clásicos de los hackers, que usan grandes diccionarios con palabras y contraseñas habituales para ir probando hasta que dan con la correcta.
• No poner referencias personales en las contraseñas. Como fechas de nacimiento, matrículas o el nombre de la mascota, que un actor malicioso pueda adivinar o inferir.
• Cuanto más larga, mejor. Ya que eso dificulta ataques habituales de fuerza bruta. Así que, en vez de una palabra, mejor una frase y aderezarla con esos números y símbolos que no son letras.

4. Use un gestor de contraseñas

La manera de hacer más cómodo lo anterior es usar un gestor de contraseñas. Es decir, un software que almacena nuestras credenciales de inicio de sesión de los distintos servicios y sitios web que usamos.

Así, en vez de estar recordando contraseñas, el gestor las guarda de manera segura y encriptada, e incluso puede generar automáticamente passwords casi imposibles de adivinar.

Ese gestor usará una contraseña maestra para acceder a él, de manera que solo hemos de recordar dicha contraseña, y no mil distintas.

Eso sí, más nos vale no olvidar la palabra clave para entrar al gestor, o las perderemos todas.

Navegadores como Google Chrome llevan integrado un rudimentario gestor de contraseñas, seguro que lo ha visto en acción.

Sin embargo, las recomendaciones que se suelen hacer por experiencia son:

• Keepass. Software veterano libre, gratis y probado.
• Bitwarden. También de código abierto y cada vez más popular, su cuenta gratuita es suficiente para las necesidades de la mayoría de pequeños negocios.

5. Habilite la autenticación de dos factores

La realidad en ciberseguridad es que no existe la contraseña totalmente segura, o que la ponemos y luego, como he visto en persona más de dos veces, está escrita en un post-it al lado del monitor.

Por eso, si nos queremos olvidar de contraseñas, lo mejor es habilitar la autenticación de dos factores.

Esta práctica añade una capa adicional de seguridad que puede ayudar a proteger su negocio. Con este tipo de autenticación, necesitarás dos elementos para acceder a tu cuenta: algo que sepas, como una contraseña, y algo que tengas, como un teléfono móvil o una llave del estilo Yubikey.

Cuando su banco le pide confirmación de una compra a través de su móvil, está usando una autenticación de dos factores. Muchos de los servicios importantes, como la cuenta Google de su negocio, por ejemplo, permiten activar la autenticación. Todos deberíamos hacerlo.

El problema es el mismo que siempre ha tenido la ciberseguridad, que no es nada cómoda, de hecho, suele resultar fastidiosa.

La seguridad informática es una lucha constante entre conveniencia y protección. Cuanto más protegidos estemos, más inconveniente será todo, como el uso y acceso a herramientas. De ese hecho inevitable se aprovechan los hackers, porque los humanos siempre elegimos la comodidad.

Si queremos proteger nuestra empresa adecuadamente, debemos anteponer la seguridad a la conveniencia.

6. Tenga cuidado con todo aquello a lo que se hace clic

Una de las formas más comunes en las que las empresas se infectan con malware es que los empleados hagan clic en enlaces maliciosos en correos electrónicos o en sitios web que no deberían estar visitando.

Tenga cuidado con lo que hace clic, incluso si el enlace o el archivo adjunto parecen legítimos. Sospeche siempre y, en cuanto algo no huela del todo bien, actuemos con precaución.

La enorme mayoría de ataques informáticos, a menos que nos enfrentemos a un hacker muy dedicado, con tiempo y recursos detrás, suelen comenzar por alguna clase de phishing o similar.

Por eso, es muy importante no pinchar en nada mínimamente sospechoso y corroborar con el remitente en caso de duda, si es que se trata de un email, WhatsApp o similar.

7. Utilice un cortafuegos o software similar de control de acceso

Un cortafuegos es un software que ayuda a proteger tu red de accesos no autorizados. Dicho programa puede configurarse para bloquear determinados tipos de tráfico, como el procedente de direcciones IP maliciosas conocidas.

Además de detener el tráfico no deseado de entrada, también puede detener el de salida, es decir, impedir que las máquinas de la empresa visiten webs y lugares que no deben.

Así, evitaremos buena parte de los problemas que estamos comentando. Si los empleados no pueden acceder a su correo personal o mensajería desde los ordenadores de la empresa, no podrán pinchar en nada que quede infectado.

Si queremos aplicar esta medida de ciberseguridad con éxito, probablemente necesitaremos la ayuda de alguien que sepa configurar ese cortafuegos adecuadamente.

8. Haga copias de seguridad de sus datos cada día

Esto es lo primero que tendríamos que hacer, tener copia a salvo de todos los datos de la empresa: facturación, clientes, documentos, lo que sea.

En caso de ciberataque, una de las mejores cosas que puedes hacer es echar mano de esa copia de seguridad reciente de tus datos. De este modo, si estos se cifran o se borran a causa de un malware, podremos purificar con fuego formateando todo y restaurando una copia limpia.

Así, de paso, tampoco tendremos que aceptar chantajes económicos a cambio de las claves de cifrado o de la promesa del actor malicioso de no borrar nada con el malware que nos ha conseguido instalar.

La regla de 3 en las copias de seguridad

Una de las mejores prácticas que podemos seguir es la llamada “Regla de 3 de las copias de seguridad”. Es decir:

• Tener al menos tres copias de los datos de la empresa.
• Almacenar las copias en al menos dos tipos de medios diferentes, como por ejemplo, dos servicios de almacenamiento seguro en la nube.
• Mantener al menos una de esas copias fuera de las instalaciones y completamente offline, como en un disco duro externo asegurado.

Por supuesto, debemos mantener una disciplina de hacer copia de seguridad diaria.

Si no, no servirá de nada tener mil backups desactualizados.

9. Controle los dispositivos de la empresa

Si los trabajadores manejan equipos propiedad de la empresa, debemos tener controlados dichos equipos: que estén actualizados, sean seguros, que no se puedan introducir o instalar programas extraños o virus mediante USBs…

A la mayoría de pymes, pequeñas empresas o autónomos, lo de tener equipos administrados les sonará a chino. Si no hay un experto informático en eso, pues poco podremos hacer, porque hace falta conocimiento para administrar y controlar remotamente esos ordenadores, móviles o tablets.

Por eso, si no podemos poner en marcha lo anterior, al menos debemos considerar el uso de equipos lo más seguros posibles.

Más de dos me van a lanzar los trastos a la cabeza, pero, si la mayoría de trabajo se hace online, con aplicaciones web y dentro del navegador (como suele pasar muchas veces hoy día), lo mejor es proporcionar Chromebooks a nuestros empleados.

Son equipos altamente seguros, sin problemas de virus o malware (ya que no hay apenas ninguno que funcione en ese entorno, quitando fallos en versiones desactualizadas de Chrome) y que, además, si tenemos que administrar los equipos, le haremos la vida fácil al encargado, porque son muy sencillos en ese caso.

Y sí, lo sé, lo sé, Google lo mira todo, pero estamos hablando de seguridad, no de privacidad.

Aunque pueden estar muy relacionadas, aquí tratamos el tema de equipos protegidos contra amenazas externas con intenciones destructivas, no de vigilancia masiva con propósitos, principalmente, de ofrecimiento de anuncios, como es el caso de Google.

Un Chromebook actualizado (su sistema de actualizaciones es el mejor implementado y el menos invasivo, algo de lo que podrían tomar nota Windows o MacOS) es la elección que combina mayor sencillez y protección.

Ale, ya lo he dicho. Y es que, respecto a la privacidad, tampoco pensemos que usar Windows y su telemetría es mucho mejor.

Pero claro, hablamos de ciberseguridad en empresas, donde Microsoft Word y, sobre todo, Excel, suelen ser la piedra angular que sostiene el tejido y el día a día de pymes y profesionales.

Así que, en muchas ocasiones un Chromebook estará fuera de la quiniela y ni me planteo recomendar Linux (lo que uso personalmente y lo que recomendaría si tenemos un informático avezado y unos empleados enfocados en lo tecnológico).

De modo que volvamos a la realidad: Windows va a estar omnipresente en casi cualquier negocio, así que…

10. Utilice alguna clase de software de seguridad… o mejor dicho, Windows Defender

Hay muchos tipos de software de seguridad disponibles, y cada uno tiene sus propios puntos fuertes y débiles. Pero la realidad es la siguiente:

Si está activo y bien configurado, Windows Defender es suficiente para la ciberseguridad de la mayoría de pequeñas empresas.

En muchas ocasiones, software adicional, como antivirus y suites similares, solo harán que enlentecer todo, sin aportar demasiado.

Al final, la vida real es una cuestión de compromiso y, francamente, si usamos Windows en nuestra empresa, nos debemos asegurar de que:

• Lo tenemos actualizado a la última versión (sufriendo el tormento de las actualizaciones de Windows).
• Ese Windows Defender está activado.

En el caso de MacOS, suele haber menos malware escrito para este sistema operativo, ya que está mucho menos extendido. En el caso de que use Linux, probablemente todo esto le parecerá básico y sabrá nadar en estas aguas de la informática y la seguridad, aunque no hay que confiarse.

11. Supervise su red

Este artículo va de ciberseguridad en pequeñas empresas, que no suelen tener redes internas con documentos compartidos, etc. A veces tendrán servicios en la nube, pero una LAN, o el acceso remoto por VPN a la red interna de la empresa serán cosa de negocios más grandes.

No obstante, si tenemos montada cualquier clase de red, se hace imprescindible un administrador que sepa lo que hace.

Este debe supervisar dicha red en busca de actividades inusuales, lo que puede ayudar a detectar un posible ciberataque a tiempo.

Hay muchas herramientas disponibles, como sistemas de detección de intrusiones o programas al estilo de Wireshark. Sin embargo, no creo que ningún pequeño empresario tenga que perder su tiempo mirando el tráfico de paquetes.

Como siempre, en el mundo real debemos alcanzar un compromiso entre seguridad y poder trabajar. Si debemos sincronizarnos (y más en tiempos de teletrabajo) y somos un negocio pequeño con un equipo reducido de personas que no son técnicas, mejor usar servicios en la nube con una buena reputación de seguridad y ausencia de brechas importantes.

Una vez más, Google Drive puede ser un buen candidato, pero depende de nuestra infraestructura.

Si estamos muy apegados a Windows está Onedrive, también iCloud si somos de la manzana mordida de Apple, así como otros servicios clásicos de trabajo y colaboración en línea (Dropbox, por ejemplo).

Google no me paga nada, ni siquiera me gusta y su política de recolección de datos es bestialmente abusiva, pero su suite ofimática tiene como punto fuerte esa colaboración online.

12. Manténgase informado

Por último, una de las mejores cosas que puede hacer para proteger su empresa es mantenerse informado sobre las amenazas de ciberseguridad.

Hay muchos recursos disponibles y tampoco hablo de ser un geek del tema y estar pendiente cada día.

Sin embargo, permanecer al tanto de esas noticias sobre un nuevo malware que se extiende como la pólvora, y cómo se propaga o cómo hay que protegerse de él, nos ayudará a prevenir en muchas ocasiones.

En definitiva, equipos seguros y actualizados, educación mínima en seguridad y contra phishing, el uso de herramientas probadas, además de una buena gestión de accesos y ccontraseñas,son la columna vertebral de la ciberseguridad en la empresa.

Si vamos con esta lista de 12 consejos y la usamos como una especie de lista de chequeo, viendo cómo estamos en cada punto y poniendo en marcha las recomendaciones para mejorarlos, estaremos más seguros que el 90% de pequeñas empresas.