Plan de prevención de ciberriesgos paso a paso

La concienciación para la prevención de amenazas informáticas es una de las asignaturas pendientes de las pymes. En la actualidad, cada vez son más las noticias que aparecen en los medios relacionadas con ciberataques a empresas. Los ciberdelincuentes se adaptan a los nuevos tiempos y pueden atacar de múltiples maneras, por lo que tener siempre presente la importancia de la ciberseguridad es fundamental.

En adelante, se comentan algunos de los pasos que se deben tener en cuenta a la hora de diseñar un plan de prevención de ciberriesgos para una empresa. Los tres bloques principales a los que hay que prestar atención son: el personal, los dispositivos y el manejo de la información, y dentro de cada uno de ellos hay que trabajar distintos aspectos para que la empresa quede lo más protegida posible de cualquier tipo de ataque, que podría perjudicar o incluso acabar con su actividad.

• Empleados

Es fundamental mantener a los empleados informados y educarlos en la cultura de la ciberseguridad, algunos fallos humanos pueden producir brechas y, en consecuencia, suponen que la empresa quede desprotegida. Lo mismo sucede cuando se produce una nueva incorporación en la plantilla. Es muy importante recordar la normativa al menos una vez al año a cada uno de los empleados.

Para poder llevar esto a cabo, es necesario establecer una serie de políticas de prevención sobre las cuales se establezcan las normas que los trabajadores deben seguir. El documento resultante debe contener políticas relacionadas con la seguridad en puestos de trabajo, uso de software y dispositivos, reglamento para el teletrabajo, uso del correo electrónico y contraseñas, almacenamiento de información… Y cualquier actividad de la empresa a través de la cual puedan surgir debilidades. No se debe dejar margen para la improvisación.

• Dispositivos y redes

En cuanto a los dispositivos utilizados para realizar la actividad (que, por lo general, serán ordenadores) se deben controlar los accesos y permisos de cada usuario a los mismos mediante contraseñas únicas e intransferibles para cada trabajador, que se deberán renovar cada cierto tiempo. También es recomendable controlar el acceso humano al espacio físico dónde se realiza la actividad de la empresa utilizando, por ejemplo, identificación por huella. Siempre se debe evitar el tratamiento o almacenamiento de la información a través de dispositivos ajenos al negocio.

Todos los software utilizados deben estar dentro de la legalidad y actualizados, además, salvo el personal experto en ciberseguridad, no se deberán conceder permisos para instalar o modificar la instalación de las aplicaciones en los dispositivos de trabajo.

Las redes son otro foco por el cual los ciberataques pueden entrar a una empresa, es importante protegerlas. La red de una empresa no puede ser pública, debe tener contraseñas y cortafuegos que limiten el acceso. Además es recomendable limpiar la caché de las cookies cada cierto tiempo.

• Información y datos

Las copias de seguridad deben convertirse en el día a día de la actividad de una empresa, esta simple acción puede ayudar al negocio a seguir con su actividad en caso de un ciberataque. Lo más recomendable es realizarlas en dispositivos externos que posteriormente se almacenen de forma segura, pero también es posible realizar las copias de seguridad en la nube, para lo que es necesario estudiar la fiabilidad del proveedor de este servicio.

Un aspecto que no se debe descuidar y que, en cierto modo, forma parte de los tres bloques mencionados, es la correcta gestión del correo electrónico. Instalar programas de control y filtros para limitar la llegada de correo no deseado esa una buena práctica a tener en cuenta, además de formar y concienciar al personal sobre los peligros que puede conllevar la apertura de un correo electrónico malicioso.

Por último, el factor más importante para contar con una buena ciberdefensa en un negocio, es la comunicación entre el personal. Los conocimientos en ciberseguridad deben transmitirse a todo el equipo realizando formaciones sobre prevención y riesgos. Cuanta mayor sea la información compartida, mayor será la concienciación y la seguridad informática de una empresa.