pymes archivos — Prestigia

Consejos de ciberseguridad para pymes

https://seguridad.prestigia.es/wp-content/uploads/2022/08/consejos-pymes-prestigia-seguridad.png 1020 680 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2022/08/consejos-pymes-prestigia-seguridad.png 8 noviembre, 2022 22 agosto, 2022

8 noviembre, 2022

Las pequeñas y medianas empresas (PYMES) andan continuamente tomando decisiones difíciles para mantener su negocio en funcionamiento. Muchas pequeñas empresas se vieron obligadas a sacrificar las mejores prácticas de ciberseguridad en favor de la productividad empresarial, lo que aumentó su riesgo de sufrir ciberataques.

Según datos obtenidos para el presente artículo, el 43% de los ciberataques están dirigidos a pequeñas empresas, pero solo el 14% están preparadas para defenderse.

Para muchas PYMES, un ciberataque, especialmente uno que resulte en el robo de datos y la pérdida de la confianza de sus clientes, puede significar el final. Los robos de datos a menudo resultan en daños a la reputación de la organización, daños legales y pérdidas económicas. El coste total de un robo de datos para una PYME es incalculable dado su potencial económico para afrontar la perdida reputacional.

Si eres propietario de una pequeña empresa, necesitas saber: ¿Qué pasos pueden tomar las pequeñas empresas para reducir su riesgo en Internet? ¿Cómo pueden las pequeñas empresas priorizar las estrategias de ciberseguridad para adaptarse a presupuestos y recursos limitados?

¿Cuáles son las amenazas?

Para lograr la tranquilidad en el panorama de amenazas moderno, los propietarios de pequeñas empresas deben contar con una estrategia de seguridad sólida. Ese tipo de preparación comienza con una sólida comprensión de las amenazas actuales:

Phishing: a menudo proporciona una puerta de entrada para ataques de tipo ransomware u otras infecciones, el phishing generalmente funciona incitando a los usuarios a hacer clic en un archivo adjunto de correo electrónico o en una URL que contiene un malware. El phishing se ha vuelto cada vez más sofisticado y puede ser increíblemente difícil detectar un mensaje falso, ya que los cibercriminales se dirigen a individuos específicos, el eslabón más débil.
Ransomware: los cibercriminales utilizan una amplia gama de métodos para atacar a las empresas, siendo el ransomware uno de los más comunes. El ransomware bloquea los equipos y cifra los datos, manteniéndolos como rehenes. Para que los propietarios recuperen el acceso a sus datos, deben pagar un rescate a un cibercriminal que tras el pago libera una clave de descifrado.
Descargas no autorizadas: descarga malware desde Internet por parte de los usuarios, a menudo sin que los trabajadores se den cuenta de lo que está sucediendo, a veces, los usuarios tienen que responder a una ventana emergente para que se produzca la descarga, pero otras veces todo lo que tiene que hacer es visitar un sitio web comprometido sin darse cuenta.
Vulnerabilidades de software: los cibercriminales aprovechan las vulnerabilidades en plataformas web populares como WordPress, para entregar malware. ¿recordáis el artículo que no conviertan vuestra web en una tienda de perfumes? Recomendamos encarecidamente mantener las actualizaciones de los sistemas potencialmente vulnerables.
Copias de seguridad: Siempre es una buena idea tener varias copias de seguridad de los datos de tu empresa. De esa manera, si alguna vez eres víctima de un ataque de ransomware o algún otro evento que restrinja tu capacidad para acceder a tus datos, tendrás un plan de respuesta ante incidentes.

La ciberseguridad es una estrategia proactiva, tienes que hacer la inversión antes de que le suceda algo a su negocio, no en respuesta a que suceda algo. En consecuencia, el mejor momento para empezar es ahora mismo. Independientemente de si «sientes» que tu pequeña empresa es un objetivo activo de los ciberdelincuentes, el hecho es que todas las pequeñas empresas enfrentan un riesgo relativamente alto de ser atacadas. Pero incluso con una inversión modesta en defensas de ciberseguridad, deberías poder evitar y/o minimizar la mayoría de los ataques potenciales.

Y vosotros, ¿habéis recibido algún ciberataque en vuestra PYME? Si es así ¿contáis con los servicios de alguna compañía especializada en ciberseguridad que os asesore? Desde Prestigia Seguridad, nuestros expertos están especializados en test de intrusión, análisis de malware y respuesta a incidentes, no dudes en contactar con nosotros para informarte.

Ciberseguridad en vacaciones: que nada te amargue la fiesta

https://seguridad.prestigia.es/wp-content/uploads/2018/07/ciberseguridad-en-vacaciones.jpg 1020 691 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2018/07/ciberseguridad-en-vacaciones.jpg 19 julio, 2018 23 julio, 2018

19 julio, 2018

Bajar las persianas, cerrar puertas y ventanas a cal y canto, avisar al vecino de que nos marchamos…Estas son algunas de las cosas que hacemos cuando pasamos fuera de casa la época estival. Son una serie de medidas básicas para mantener el hogar seguro y protegido de posibles cacos que aprovechan el verano y las casa vacías para cometer sus fechorías.

Si también bajas la persiana de tu empresa en agosto -o tu equipo de IT se va de vacaciones-, no está de más tomar algunas medidas de ciberseguridad para proteger tu web, tu negocio online o los datos de tu compañía. En definitiva, se trata de ser precavido con tu seguridad digital:

La regla número uno: revisa las contraseñas de acceso y su fortaleza. Y tampoco dejes escrito en un papel o envies por email las contraseñas.
No hagas clic en enlaces sospechosos ni descargues archivo cuya procedencia desconozcas o no sean 100% fiables. Tras este tipo de situaciones suele esconderse un virus o malware dispuesto a hacer mucho daño.
Antes de hacer la maleta, haz una copia de seguridad. De esta forma podrás marcharte tranquilo. Todos tus datos estarán a salvo en caso de sufrir algún robo o percance durante las vacaciones.
Chequea la seguridad de la red wifi de la empresa (WPA) y habilitar una red wifi distinta para invitados. De esta forma, los dispositivos que se conecten tendrán acceso a Internet pero no a tu red privada. Si bajas la persiana durante unas semanas, directamente puede desconectar el wifi.
Aplica un filtro web o software de control de contenidos para evitar el acceso a determinadas páginas web que puedan poner en riesgo la seguridad de tu empresa.
Formación del personal. En verano suelen incorporarse nuevas personas al equipo humano de una compañía. Es importante que aprendan y tenga claro las políticas de seguridad y buenas prácticas.
Asegúrate de que tus proveedores tiene actualizados los datos de contacto de la persona responsable ante una posible incidencia. Y garantiza que tu plan de contingencia y recuperación ante desastres está al día antes de marcharte. Ante una ausencia, es importante que quede claro cómo actuar para actuar de forma eficaz y eficiente ante un imprevisto.
Cuidado con la temperatura. Tu piel sufre ante la exposición solar y los aparatos electrónicos también son víctima de las altas temperaturas. Para evitar desperfecto o roturas de los equipos informáticos, vigila especialmente la temperatura y la humedad.

Una vez que hayas dejado la ciberseguridad de tu empresa en buenas manos, no olvides también de protegerte a ti mismo. Así que…

No te fies de las conexiones externas. El Wifi suele ser un reclamo para muchos pero recuerda que no es una red segura y tu información personal puede quedar al descubierto. Si quieres evitar verte inmerso en un pishing, extrema la seguridad. No realices operaciones confidenciales con Wifi o usa sólo redes oficiales.
Sé discreto en redes sociales. Sabemos que el postureo en verano está a flor de piel pero…si vas proclamando tu día a día…los delincuentes se percatarán de que tu negocio, o incluso tu casa, están vacíos.

Estas son solo algunas medidas básicas para mantener la seguridad en vacaciones. Ante la duda, recuerda la regla principal: tener sentido común. Y si tienes alguna duda más sobre cómo fortalecer tu ciberseguridad en vacaciones o quieres contratar un servicio de mantenimiento y seguridad para despreocuparte de la seguridad estas vacaciones, ¡contacta con Prestigia Seguridad!

Todo lo que debes saber sobre el Reglamento General de Protección de Datos

https://seguridad.prestigia.es/wp-content/uploads/2018/04/eloi-font-reglamento-general-de-proteccion-de-datos-1024x690.png 1024 690 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2018/04/eloi-font-reglamento-general-de-proteccion-de-datos-1024x690.png 2 mayo, 2018 1 mayo, 2018

2 mayo, 2018

Si tienes una pyme y has oído hablar que el próximo 25 de mayo será aplicable el Reglamento General de Protección de Datos y no sabes muy bien qué significa ni si te afecta, muy probablemente te interesará continuar leyendo este artículo.

¿Qué es el Reglamento General de Protección de Datos (RGPD)?

Es una nueva regulación europea que, como Reglamento comunitario que es, se aplicará de forma directa y por igual en todos los Estados Miembros y afectará a organizaciones de la Unión Europea (UE), con independencia de dónde se realiza el tratamiento de sus datos, así como a organizaciones de fuera de la UE, cuando traten datos de ciudadanos de la UE derivados de una oferta de bienes o servicios o a causa de una monitorización y seguimiento de su comportamiento.

Como consecuencia de la próxima aplicación del RGPD, se está reformando la Ley Orgánica de Protección de Datos (LOPD), aunque está previsto que, pronto, se apruebe una nueva ley española de protección de datos que esté totalmente alineada con el RGPD.

¿Qué nuevas obligaciones tendrá tu empresa a partir de ahora?

La regulación europea crea un nuevo marco en el que se introducen cambios, no solamente a nivel jurídico, sino también de tipo técnico y organizativo para tratar de introducir la “cultura de la privacidad” en las organizaciones. Vayamos por partes.

Hasta ahora, si una empresa trataba datos personales de, por ejemplo, clientes, proveedores, empleados o usuarios de la página web o la App corporativas, tenía que notificar los correspondientes “ficheros” a la Agencia Española de Protección de Datos (AEPD) mediante la cumplimentación de unos formularios para su inscripción en el Registro General. Con el RGPD, esta obligación desaparece y muta a una nueva que es la de tener que implementar unos documentos, denominados “Registros de Actividades de Tratamiento” (RAT), en los que deben reflejarse los aspectos básicos de los tratamientos de datos. A diferencia de los ficheros, los RAT no se tienen que notificar ni inscribir en la AEPD, sino implementar.

Hasta ahora, también era necesario implementar cláusulas y políticas en los canales de recogida de datos (por ejemplo, en los contratos con clientes o proveedores, en contratos laborales, pero también en formularios de contacto de la web o la app de la empresa) para informar, entre otros aspectos, de la finalidad del tratamiento, si se iban a comunicar datos a terceros o dónde se podían ejercer determinados derechos, como los derechos de acceso, rectificación, cancelación y oposición. El RGPD refuerza dicha obligación y añade nuevos requisitos como, por ejemplo, tener que informar del plazo de conservación de los datos, si se van a transferir fuera de la UE y de las posibilidades de revocar el consentimiento prestado o de reclamar ante la Autoridad de Control. Ello implica que, antes del 25 de mayo es necesario volver a informar a todos los interesados (clientes, proveedores, empleados, etc.) de los nuevos requisitos que prevé el RGPD si se desea continuar tratando sus datos.

Dado que hay más información a ofrecer/notificar y que el RGPD también prevé que las comunicaciones se hagan con un lenguaje sencillo y claro, es recomendable que todo se realice a través de un sistema de doble nivel o capa. Así, por ejemplo, si tu empresa recoge datos personales a través de una página web o una app, será necesario incluir, debajo del formulario de datos, una versión resumida de la política de privacidad e informar de cómo el usuario puede acceder a una versión más detallada, que deberá estar en un segundo nivel.

Teniendo en cuenta que el RGPD exige un consentimiento inequívoco (en el que se exige una acción afirmativa por parte del interesado) y, en algunos casos, explícito, para tratar los datos con carácter general, es necesario revisar si en el pasado hemos tratado datos con consentimiento tácito de los interesados y, en consecuencia, proceder a regularizarlo antes del 25 de mayo.

Además, es necesario revisar los contratos suscritos con proveedores que accedan o traten datos por cuenta de la empresa (como, por ejemplo, las gestorías, asesoría o empresas de hosting) y suscribir con todos ellos un nuevo contrato para recoger los requisitos introducidos por el RGPD. Igualmente, es recomendable proceder a realizar un análisis de riesgos con una empresa especializada, que determine las medidas de seguridad más adecuadas para el tipo de tratamientos de datos que realiza la empresa, ya que con el RGPD desaparece el listado detallado de medidas de seguridad que había hasta ahora.

Además, si tu empresa lleva a cabo tratamientos de datos sensibles masivos o realiza evaluaciones de perfiles a gran escala, será necesario determinar si estás obligado a llevar a cabo una auditoría específica, denominada “Evaluación de Impacto”, para tratar de adaptar el producto o servicio a los requisitos del RGPD y de tener que designar un Delegado de Protección de Datos, figura que podrá ser interna o externa a la organización, que se encargará de supervisar de forma continuada el cumplimiento del RGPD por parte de la empresa.

Finalmente, a partir del 25 de mayo, habrá que notificar a la AEPD, en un plazo máximo de setenta y dos horas, las violaciones de seguridad que sufra la empresa cuando afecte a datos personales y suponga un riesgo para los derechos y libertades de los interesados. Ello se deberá realizar a través del canal de comunicaciones electrónicas habilitado por la misma AEPD. Además, si es probable que la violación de seguridad ocasione daños de entidad a los interesados, por ejemplo, porque se desvela información confidencial como contraseñas o se difunden datos sensibles de forma masiva, también será necesario notificarlo a los afectados.

¿Qué sucede si no cumples con el RGPD?

Además de perder la oportunidad de ofrecer una ventaja competitiva a los titulares de los datos, el incumplimiento del RGPD también puede acarrear la imposición de importantes sanciones administrativas que, en el peor de los casos, pueden llegar a ser de 20 millones de euros o, en el caso de las empresas, del 4% del volumen de negocio global del ejercicio fiscal anterior.

*Post invitado, por Eloi Font, director de Font Advocats, partner legal de Prestigia Seguridad

¿Eres una PYME? Estos son los principales riesgos de ciberseguridad a los que te enfrentas

https://seguridad.prestigia.es/wp-content/uploads/2018/04/riesgos-de-ciberseguridad-en-las-pymes-1024x682.png 1024 682 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2018/04/riesgos-de-ciberseguridad-en-las-pymes-1024x682.png 10 abril, 2018 10 abril, 2018

10 abril, 2018

Los ciberdelincuentes están cada vez más y mejor preparados. Las corporaciones con miles de empleados son conscientes de los peligros en Internet y destinan una gran inversión a protegerse. Sin embargo, las pymes, que tienen una percepción más limitada del peligro, también tienen riesgos de ciberseguridad si no toman las medidas necesarias para protegerse.

El año pasado el CERTSI gestionó un total de 123.064 incidentes de seguridad, un 7% más que en 2016. La mayoría de estos incidentes afectaron a empresas y ciudadanos. Y en 2016, según datos de INCIBE, el 70% de los ataques informáticos fue dirigido a pymes.

Si quieres estar a salvo de cualquier riesgo de seguridad, lo primero que debes hacer es conocer los riesgos potenciales a los que te enfrentas. Los mencionamos a continuación:

1. Suplantación y robo de identidad. La Encuesta Mundial de Seguridad de la Información 2018, elaborada por PwC, revela que las compañías de nuestro país pierden más de 1 millon de euros debido a los ciberataques. Los ataques más habituales que sufren es el robo de identidad y las estafas de tarjetas.

En cuanto al robo de la identidad, la modalidad de ciberataques más usada es el spear pishing, un método con el que los hackers logran información confidencial. Este tipo de ataque no se produce de forma general en toda la compañía sino que pone el foco en una persona o grupo de personas concretas. Normalmente el delincuente informático utiliza el correo electrónico que parece similar al de un remitente de confianza y le pide información confidencial a través de una web que, sin el usuario saberlo, está repleta de malware y riesgos.

2. Vulnerabilidad en Redes Wi-Fi. Bares, restaurantes y miles de lugares públicos ofrecen Wi-Fi de forma gratuita. Aunque para los usuarios o clientes es un incentivo por la oportunidad de utilizar internet sin gastar datos de su tarifa móvil, para el negocio es una ventana abierta a los ataques.

No hablamos solo de los riesgos asociados a redes inalámbricas gratis sino también a la vulnerabilidad propia del cifrado WPA2 de estas redes. En estos casos, aunque los hackers no pueden descubrir la contraseña Wi-Fi sí tienen acceso al tráfico de usuarios y dispositivos que la utilizan.

Por otra parte, cuando una red es gratuita y abierta, cualquier persona ajena a la compañía puede conectarse o robar información interceptando transferencias de datos.

3. Falta de prevención ante los ataques. Entre muchas pymes existe la falsa creencia de que, por ser pequeñas, no están en el punto de mira de los ciberataques. Es normal que esto suceda porque piensan en el delincuente informático como una persona de carne y hueso a la que no le interesan los datos de una pequeña empresa. Sin embargo, en muchas ocasiones estos ataques informáticos son de máquina a máquina, es decir, son indiscriminados y lo único que puede salvarte de ellos es la prevención y la protección.

Para evitar riesgos, se recomienda contar con protocolos y planes de seguridad. En este sentido, cabe destacar que el próximo mes de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD), del que Eloi Font, CEO de Font Advocats y partner legal de Prestigia Seguridad, nos hablaba en nuestro último post. Esta nueva normativa obliga a las pymes a ser más responsables con los datos de los clientes y, consecuentemente, deben protegerse más.

4. Ransomware. Es una de las amenazas de seguridad más conocidas a nivel internacional, sobre todo desde el ataque Wannacry que el año pasado afectó a empresas de todo el mundo.

Este tipo de ataque surte efecto cuando el usuario descarga un archivo malicioso o visita una web comprometida. En ese momento, bloquea el acceso a la web y, en los casos más graves, como sucedió en 2017, piden un rescate para liberar el sitio secuestrado.

Los ransomware cada vez están afectando más a las pymes, precisamente por lo que comentamos unos párrafos más arriba sobre la falta de concienciación sobre su seguridad informática.

Consejos para minimizar los riesgos de ciberseguridad en una pyme

No existe una solución única para todos los riesgos de ciberseguridad. Entre otros motivos porque los ataques evolucionan, haciéndose más sofisticados y difíciles de detectar. Sin embargo, hay algunas recomendaciones básicas que pueden ayudarte a proteger a tu pyme de cualquier amenaza:

1.- Dispón, como mínimo, de un antimalware y un cortafuegos. También es importante mantener el antivirus actualizado o realizar auditorías para detectar posibles agujeros de seguridad.

2.- Presta atención a las actualizaciones de seguridad de tu sistema operativo para estar al día

3-. Realiza backups, es decir, copias de seguridad en función de tus necesidades y cifra la información.

4.- Mantente informado sobre estafas e incidentes recientes. De esta manera, podrás identificar posibles riesgos.

5.- Protege la navegación de tus empleados y utiliza contraseñas seguras.

6.- Sentido común. Es el mejor y más útil de los consejos. Si detectas una situación sospechosa navegando por internet, ten precaución y no caigas. Si sospechas de un enlace, email o archivo adjunto…¡no lo abras, bórralo!

¿Está tu negocio suficientemente protegido de los ciberataques? Si quieres saber a qué riesgos se enfrenta tu pyme y cómo protegerte, ¡contáctanos!