Las empresas españolas no están preparadas para hacer frente a un ciberataque
- Seguridad
Los ciberataques suponen pérdidas de entre 2.000 y 50.000 euros para las pymes. Las copias de seguridad son la solución más eficaz para luchar contra la amenaza de ransomware y la ciberdelincuencia en general. Sin embargo, sólo el 10% de las pymes en España las realizan fuera de sus bases de datos.
Los ciberataques en España se han incrementado un 26% en 2021, lo que convierte a nuestro país en el tercer más atacado de Europa. Las empresas siguen ocupando el primer puesto en la diana de los ciberdelincuentes, que atacan sus servidores y plataformas en busca de información relevante que les proporcionen beneficios económicos.
La pérdida de datos por ataques informáticos, desastres físicos o simples errores humanos pueden suponer pérdidas de entre 2.000 y 50.000 euros para las pymes, según cifras del Instituto Nacional de Ciberseguridad (INCIBE). Además, se enfrentan a la pérdida de datos confidenciales, de poner en riesgo vidas o de enfrentarse a grandes multas, así como a daños irreparables de su reputación.
“La información es hoy por hoy el principal activo de las compañías y, por ello, su protección frente a posibles fugas ya sea por ataques, por un descuido o por no tener buenos hábitos, es crucial para garantizar su seguridad y que el desarrollo de su actividad se efectúe con normalidad. Además, realizar políticas de ciberseguridad efectivas ayuda a mantener la imagen y reputación de las compañías con el exterior”, explica Juan Llamazares, CEO de Datos101.
Los expertos de Datos101 ofrecen una serie de consejos para que las empresas españolas estén seguras:
--Formar a los empleados. La primera barrera para que el ataque no afecte al sistema es el propio empleado o usuario. “Muchas veces los ciudadanos somos el eslabón más débil y principal punto de acceso para que un ciberataque triunfe o entre en una empresa. Lo mejor es usar el sentido común: no abrir emails de origen desconocido, no descargar documentos adjuntos no solicitados o sospechosos, no abrir enlaces cuyo origen desconocemos, etc.”, explica Juan Llamazares.
--Copias de seguridad. Los backups son la solución más eficaz para luchar contra la amenaza de ransomware y la ciberdelincuencia en general. Sin embargo, sólo el 10% de las pymes en España las realizan fuera de sus bases de datos. “Lo recomendable es tener al menos dos copias actualizadas y en distintos servidores o dispositivos”, aseguran desde Datos101.
--Equipos actualizados. Es habitual que los ciberataques se cuelen por fisuras de seguridad. En muchas ocasiones los fabricantes corrigen esos errores, bugs y vulnerabilidades en actualizaciones, de ahí que la importancia de instalarlas. Por supuesto, la actualización del equipo debe ir acompaña de un buen antivirus que también esté actualizado.
--Contraseñas indescifrables. Por miedo a olvidarnos, es común usar contraseñas sencillas. Para crear una contraseña fuerte es conveniente que incluya letras y números, así como mayúsculas, minúsculas y algún símbolo.
--Dispositivos extraíbles. Smartphones, smartwatches o USBs son una puerta de acceso a las empresas. Es común que simplemente para cargar la batería conectemos dispositivos a los ordenadores, sin embargo, esta acción puede suponer un riesgo para el sistema de seguridad ya que pueden actuar como vía de acceso para los ciberdelincuentes.
--Elaboración del Plan Director de Seguridad, en el que se definirán las acciones, iniciativas y proyectos necesarios para alcanzar el nivel de seguridad de la empresa. Con iniciativas dirigidas a mejorar los métodos de trabajo actuales (marco normativo y regulatorio); acciones de mejora relacionadas con los controles técnicos y físicos cuya ausencia o insuficiencia se detecten, así como, la definición de la estrategia a seguir, así como, los proyectos más adecuados para gestionar los riegos y vulnerabilidades que se detecten.
--Gestión de los riesgos de seguridad TIC, realizado internamente o subcontratado. Es necesario vigilar las alertas de los sistemas TI mediante una monitorización continua de la actividad en las redes de telecomunicaciones, sistemas de servicios, etc., con el objetivo de detectar las actividades maliciosas.