23/01/2023
La transformación digital y el incremento del uso de las nuevas tecnologías exponen a pymes y grandes empresas a algunos riesgos de seguridad asociados al panorama actual.
Por ello es tan importante y necesaria la concienciación y formación de los empleados en materia de ciberseguridad, así como la implantación de políticas y la aplicación de algunas buenas prácticas que ayuden a minimizar las posibilidades de sufrir un incidente de seguridad, tales como:
Dispositivos móviles y equipos corporativos
- Llevar un registro en el que se pueda identificar el dispositivo y el usuario al que ha sido asignado.
- No permitir a los empleados realizar cambios en el hardware o instalar aplicaciones sin previa autorización.
- Almacenar siempre cifrada la información confidencial corporativa.
- Cumplir las normas establecidas en la empresa en relación con las conexiones a redes externas.
- Bloquear el equipo cuando se abandona el puesto de trabajo (pulsando teclas Windows + L).
- Mantener siempre actualizados el sistema operativo, las aplicaciones y el navegador de los equipos y dispositivos.
- Instalar y mantener actualizadas herramientas antivirus y antimalware en todos los equipos y sistemas, así como realizar análisis periódicos.
- Habilitar los puertos USB exclusivamente en los equipos de los empleados que necesiten esta funcionalidad.
Contraseñas
- Crear contraseñas robustas y no compartirlas con nadie ni apuntarlas en papeles o pósits.
- Hacer uso de un gestor de contraseñas para guardarlas de forma segura. Esta herramienta permite almacenar todas las contraseñas cifradas bajo una clave maestra, la única que debe recordarse.
- Cambiar las contraseñas periódicamente. Pueden utilizarse sistemas que obliguen al cambio de contraseña en el plazo establecido.
- Implantar sistemas de doble autenticación para acceder a los servicios que contengan información confidencial o sensible.
- No hacer uso de la opción “recordar contraseña” de los navegadores, ya que se guardan en un listado de texto que algunos de ellos almacenan sin cifrar, por lo que podrían quedar desprotegidas y expuestas.
Redes sociales y correo electrónico
- Proteger ambos servicios con contraseñas robustas y, siempre que sea posible, habilitar el doble factor de autenticación.
- Utilizar con discreción las redes sociales y no publicar información que pueda ser utilizada por los ciberdelincuentes para realizar algún ataque, como direcciones de correo electrónico, organigrama de la empresa, etc.
- No descargar archivos adjuntos en un email o programas de páginas web a las que se ha accedido a través de un enlace incluido en un correo electrónico de origen desconocido o sospechoso. Las campañas de phishing suplantando a clientes o proveedores son los fraudes más utilizados por los ciberdelincuentes para dañar a las empresas.
Otras buenas prácticas
- Desconfiar de las llamadas o mensajes extraños, especialmente si urgen a proporcionar datos, descargar un archivo o instalar un programa. Se recomienda contactar con el servicio supuestamente afectado de la manera habitual para comprobar la veracidad de esa comunicación.
- En caso de recibir un email solicitando la realización de una transferencia confidencial y urgente, eludiendo los procedimientos de autorización habituales, contactar por vía telefónica con el remitente para confirmar que realmente es él quien ha solicitado la operación, ya que puede tratarse de un “fraude del CEO”.
- Tener copias de seguridad actualizadas para recuperar la información en caso de pérdida accidental o daño intencional (ataque ransomware). Es recomendable realizar dos copias de seguridad en sitios diferentes y desconectadas del sistema.
- Descargar siempre las aplicaciones desde los mercados oficiales o desde la página web oficial del desarrollador. Observar si la aplicación ha sido descargada por un elevado número de usuarios, tiene una valoración alta y opiniones positivas, ya que estos indicadores ayudan a reconocer la autenticidad de la aplicación.
- Fomentar la formación en ciberseguridad para todos los empleados de la empresa, especialmente la relativa a las técnicas de ingeniería social más utilizadas, ya que supone el vector de entrada más frecuente en los ataques a empresas.
- Ante un incidente de seguridad que pueda afectar a las finanzas de la empresa, contactar con BBVA en el teléfono 91 224 98 02.