¿Qué puede hacer una pyme para estar preparada ante un ciberataque?

Carlos Sánchez - Colaborador de Asesores de Pymes externo a Cesce
 

En España, las pymes suelen ser un objetivo habitual para los ciberataques, ya que los delincuentes tienden a partir de la base de que este tipo de entidades tienen unos protocolos de seguridad informáticos menores que los de las grandes compañías, que suelen disponer de mayores recursos. Se estima que, en la actualidad, en torno al 70% de los ciberataques en España tienen como objetivo a las pymes, según datos del Instituto Nacional de Ciberseguridad (INCIBE). Tal es la gravedad de este tipo de actos delictivos que una proporción significativa de pymes se ve obligada a cerrar después de sufrir un ciberataque. Las cifras que se manejan hablan de que cerca del 60% de las pequeñas empresas que cesan su actividad lo hacen debido a un ciberataque. 

Qué puede hacer una empresa ante un ciberataque

Ante un ciberataque, una empresa debe intentar actuar rápidamente y con la cabeza lo más fría posible para mitigar el impacto, recopilar pruebas, notificar a las autoridades y, si procede, considerar acciones legales. Entre los principales pasos a seguir cuando una empresa es víctima de un ciberataque cabe destacar:

• Identificar y aislar el ataque. Implica desconectar cuanto antes los sistemas o redes afectadas para procurar evitar la propagación. 
• Contactar con las autoridades. Es esencial la notificación a la Policía, a la Guardia Civil o, en el caso de que se hayan sustraído datos personales, ponerse en contacto con la Agencia Española de Protección de Datos (AEPD).
• Evaluar los daños. En la medida de lo posible, hay que intentar determinar el alcance del ataque y de los datos comprometidos. 
• Recopilar pruebas. Es decir, intentar documentar el incidente, incluyendo registros de actividad y toda la información que resulte posible sobre los atacantes. 
• Notificar a los afectados. En el caso de que se hayan visto afectados datos personales, notificarlo cuanto antes a los empleados y clientes así como informarles sobre cómo está procediendo la empresas. 
• Recuperar y restaurar datos. Si la empresa posee copias de seguridad, procurar implementarlas cuanto antes e iniciar un plan de recuperación. 
• Fortalecer la seguridad. Revisar y actualizar medidas de seguridad, como contraseñas y políticas de acceso. 
• Considerar acciones legales. En el caso de ser posible, iniciar acciones legales para reclamar daños y perjuicios a los ciberdelincuentes.

Cómo puede una empresa prevenir un ciberataque

Para prevenir un ciberataque, una empresa debe implementar una combinación de medidas técnicas y de capacitación del personal, como por ejemplo:

Medidas técnicas:

• Mantener el software actualizado.
• Usar contraseñas seguras, que incluyan mayúsculas, minúsculas, números y símbolos. 
• Autenticación multifactor (MFA). Añadir una segunda capa de verificación, como códigos enviados al móvil, para acceder a sistemas y datos sensibles. 
• Copias de seguridad periódicas. 
• Uso de firewall y antivirus. 
• Cifrado de datos y de la información confidencial para protegerlos en caso de acceso no autorizado. 
• Control de acceso. Restringir el acceso a la información solo a aquellos que lo necesitan. 
• Auditorías de seguridad. Realizar auditorías y pruebas de penetración regularmente para identificar y solucionar vulnerabilidades. 
• Política de contraseñas. Establecer y revisar periódicamente las políticas de contraseñas.

En relación al capital humano:

• Concienciación sobre el phishing. Educar a los empleados sobre cómo identificar y evitar correos electrónicos de phishing, enlaces sospechosos y descargas peligrosas.
• Buenas prácticas de seguridad. Enseñar a los empleados sobre la importancia de las contraseñas seguras, la protección de datos y la seguridad en línea. 

El papel que puede desempeñar un ciberseguro

Contar con un ciberseguro permite a una empresa no sólo recibir una indemnización por los daños sufridos como consecuencia de un ciberataque, sino poder beneficiarse de diferentes servicios especializados tanto para planificar las políticas de prevención como para delegar la gestión de todo el proceso que hay que realizar tras un ciberataque.

Entre estos servicios están, por ejemplo: disponer de consultorías a disposición de la empresa 24/7 en caso de un ataque ciber, protección frente suplantación de identidad y el ramsonware, externalizar la gestión de una ciberincidencia o favorecer la continuidad del negocio en el caso de que el ciberataque suponga un desembolso económico relevante.