Una de los peajes que tienen que pagar las empresas para asegurar su correcto funcionamiento es el de la seguridad informática. Y realmente supone un problema en un país de pymes, de empresas pequeñas o muy pequeñas donde una gran parte de las mismas carece de un personal técnico propio para gestionar estas cuestiones. Y en el mejor de los casos tienen a una empresa contratada que se ocupa de ello. El problema está en que sin la correcta formación de los empleados, no importa cuanto hemos invertido en ciberseguridad, al final se convierte en un gasto.

En las empresas más pequeñas muchas veces se opera de la misma manera que esos empleados están acostumbrados a trabajar en su casa. Dicho de otra manera, el concepto de seguridad no es más que un antivirus instalado y una contraseña para iniciar sesión en el ordenador, en el mejor de los casos. Y la mayoría de las veces, dicha contraseña es muy simple y conocida por cualquiera en la misma oficina.

En Pymes y Autonomos

Día de la contraseña, estos son los protocolos que debería seguir cualquier empresa para garantizar su seguridad

Seguridad vs. usabilidad

Algo similar ocurre con el manejo de las memorias USB, que acaban por moverse entre equipos personales, profesionales o cualquier otro sin pasar nunca por un antivirus que analice si pueden tener un problema o algún archivo sospechoso. Y se convierten de esta manera en otra puerta más abierta a problemas de seguridad. que el servicio técnico externalizado que tienen contratado pueda realizar estos trabajos. Y acaban por hacerlo ellos mismos.

Es aquí cuando la inversión en seguridad muchas veces se va al traste. Porque los empleados acaban por trabajar con todos los privilegios, desactivan o ignoran los avisos de advertencia que pueden realizar los programas de seguridad que hemos contratado o acaban por aceptar o añadir como excepción cualquier aviso restrictivo que les llega.

Hay empleados más cautelosos, que suelen consultar cuando les aparecen estos avisos. Pero en otros casos, simplemente deciden ignorarlos o aceptarlos y continúan con el proceso que estaban realizando. Hasta que punto llega esta laxitud en el manejo de la seguridad, pues he visto desde usuarios que desactivan el antivirus porque hace que su ordenador vaya más lento a otros que teniendo una conexión VPN para trabajar desde casa acaban por instalarse programas externos para hacer dicha conexión remota.

En Pymes y Autonomos

Esa aplicación gratuita que usaba al final me salió muy cara, los peligros del modelo fremium en la empresa

Y además en muchos casos acaban por instalar programas de disco duro virtual, para compartir carpetas entre diferentes ordenadores, que pueden compartir más datos de los que necesitan. No sería la primera vez que datos personales acaban publicados donde no deben por este motivo.

Algo similar ocurre con el manejo de las memorias USB, que acaban por moverse entre equipos personales, profesionales o cualquier otro sin pasar nunca por un antivirus que analice si pueden tener un problema o algún archivo sospechoso. Y se convierten de esta manera en otra puerta más abierta a problemas de seguridad.

El 5 de mayo se celebra el día mundial de la contraseña. Es una jornada que trata de concienciar sobre el buen uso que debemos tener a la hora de garantizar la seguridad de nuestros dispositivos y de nuestra información y datos. Más todavía si se tratan datos personales. Por eso vamos a ver los protocolos básicos que debería seguir cualquier empresa para garantizar su seguridad.

Y esto también se puede aplicar a los empleados en su vida personal, así como autónomos o profesionales. Que alguien obtenga las credenciales de nuestros ordenadores, aplicaciones o servicios en la nube puede suponer un problema de gran envergadura. Eso por no hablar de las posibles multas por fuga o robo de datos personales de terceros en el caso de las empresas.

En Pymes y Autonomos

Estas son las 11 sanciones más altas establecidas por protección de datos en un año de récord

Cambio frecuente de la contraseña

Tradicionalmente en las empresas el modelo más común para garantizar la seguridad era obligar a los empleados a cambiar la contraseña regularmente. Lo habitual es obligar a un cambio cada mes, sin que se puedan repetir determinados caracteres de la contraseña a la que se sustituye. El problema de este modelo es que en muchos casos los usuarios acaban creando patrones para acordarse por lo que al final no resulta demasiado efectiva.

De hecho el tener que cambiar la contraseña de forma habitual, obligar a que incluya letras, números, signos o mayúsculas al final resulta contraproducente, porque en muchas organizaciones acaban anotadas y pegadas en una nota adhesiva en la pantalla del ordenador.

Lo ideal en estos casos es que la contraseña sea más larga, pero a la vez fácil de recordar, por ejemplo, la estrofa de una canción o una frase o dicho que nos sea fácil de recordar.

Biometría, la mejor alternativa

Si queremos un plus de seguridad podemos optar por la identificación biométrica. En estos casos, será una característica física la que nos ayude a acceder a nuestro ordenador o servicios.

En Pymes y Autonomos

Obligué a mis empleados a fichar con huella dactilar y ahora tengo una multa de protección de datos

Pero tiene algunos inconvenientes. Para empezar, no todos los ordenadores o diferentes servicios nos permiten identificarnos con la huella o nuestra cara, por poner dos ejemplos sencillos.

Además hay que tener en cuenta que es lo que dice el RGPD, ya que son datos de especial protección y antes de implantar este método de identificación deberíamos probar que otros no han funcionado correctamente.

Doble factor de autentificación

En estos casos, quizás la mejor alternativa es utilizar siempre que sea posible el doble factor de identificación, donde además de la contraseña nos puede llegar un mensaje de aprobación a nuestro teléfono o tenemos que desbloquear con una aplicación de seguridad que tenemos instalada en el mismo.

El problema es que no todos los empleados disponen de un teléfono de empresa donde van a llegar estos mensajes o instalar estas aplicaciones. Pero en muchos casos es la mejor manera de evitar problemas, incluso aunque en algún momento nuestras contraseñas hayan quedado expuestas.

Gestores de contraseñas

Por último, hay que mencionar los gestores de contraseñas, aplicaciones que nos permiten generar contraseñas seguras y almacenarlas para no tener que recordarlas. El principal inconveniente es que dependen de una contraseña maestra y si esta se vulnera tendrán acceso a todas nuestras credenciales.

Por supuesto, son mucho más seguras que las contraseñas almacenadas en el navegador, algo que nunca deberíamos hacer. Y nos ayudan a evitar otro de los malos hábitos que tienen muchos usuarios, y que luego trasladan a la empresa, utilizar la misma contraseña para todo.

En Pymes y Autonomos

Qué es un ataque de ransomware a la empresa y qué rescate están pidiendo a las secuestradas

Es aquí cuando la formación en seguridad nos dará ese sentido común, nos enseñará a distinguir riesgos y, sobre todo, a sospechar a tiempo y evitar problemas de seguridad que puedan comprometer datos y continuidad de negocio.

Otras buenas prácticas para mejorar el uso de la contraseña en la empresa

Por último, si trabajamos como autónomos, pero también en nuestras empresas es muy recomendable separar vida personal y profesional. No compartir información, contraseñas que utilizamos en nuestro día a día en el trabajo. Una norma básica, pero que hay muchos trabajadores que no cumplen.

En Pymes y Autonomos

¿Por qué no hemos logrado resolver el inicio de sesión seguro sin contraseñas en las empresas?

Para finalizar, siempre deberíamos  trabajar con el mínimo privilegio, es decir, que en algún momento nuestras contraseñas queden expuestas, no se puedan hacer demasiadas cosas. Si se tienen acceso a la información, pero no instalar un programa que nos capture más información todavía, ya sea para grabar las pulsaciones de nuestro teclado, la pantalla o la imagen y sonido a través de las cámaras.

A la hora de contratar un servicio de VPN en la empresa existen diferentes soluciones para lograr un acceso seguro desde fuera de nuestras oficinas. Siempre es una opción recomendable, por eso queremos hacer un repaso a cinco soluciones de VPN profesionales para empresas que cumplen con la seguridad necesaria.

Para las empresas más pequeñas lo ideal es acudir a servicios de VPN a través de software, donde por lo general se instala una aplicación en un equipo que siempre va a estar conectado en las oficinas a las que queremos acceder y se instala una aplicación cliente en el dispositivo de acceso remoto para acceder de forma segura.

En Pymes y Autonomos

Por qué es crítico para la seguridad de la empresa tener una VPN para empleados en remoto

Router VPN, qué es y cómo sacarle partido

Otra alternativa es la creación de una VPN a través de dispositivos de hardware. En este caso se trataría de introducir un router VPN en nuestras oficinas, donde se configuran conexiones, protocolos y usuarios para que desde su casa se puedan conectar. Puede ser algo más complicado y se tiene que contar con una empresa especialista en comunicaciones para hacerlo. Lo recomendable para ponerlo en marcha es disponer siempre de IP pública fija en cada sede a la que queramos conectarnos, algo que tenemos que contratar con nuestro operador de comunicaciones.

Esto en el caso de un servicio para trabajadores remotos. En el caso de querer unir dos o más oficinas a través de VPN se necesitará un router VPN en cada una de ellas que facilite la comunicación. Es importante además de la seguridad asegurar un caudal mínimo de transmisión, 100 Mbps, para facilitar una conexión fluida.

Para la empresa suele suponer una inversión inicial, tanto en la adquisición de equipos como en la puesta en marcha, pero luego su administración es relativamente sencilla y los costes de mantenimiento muy bajos. Lo ideal es que si no tenemos nuestro propio servicio técnico, acudir a empresas especializadas que nos monten el servicio.

Otra alternativa es hacerlo directamente con nuestra operadora de comunicaciones. Todas suelen ofrecer este servicio. La ventaja principal es que garantizan el caudal mínimo, no necesitamos invertir en hardware y ellos se ocupan de todo a cambio de una cuota mensual. El inconveniente es que tenemos que pagar una cuota mensual que suele ser a la larga más costoso.

Configurar la VPN en nuestro equipo de casa

Para la parte que nos ocupa para un trabajador que quiera conectarse a distancia en su casa tendrá que habilitar una conexión VPN. Esto podemos hacerlo sin problema a través de Windows, a través del Centro de redes y recursos compartidos, donde nos ofrece crear una nueva conexión.

Elegimos la opción de conectarse a un área de trabajo o VPN donde nos va a pedir la dirección IP pública de la oficina a la que nos vamos a conectar o un dominio que nos lleve a dicha dirección. Después solo tenemos que poner un nombre identificativo a dicha conexión y hemos terminado.

Existe la opción de conexión automática

Si se requiere alguna configuración adicional tendremos que hacerlo desde la opción de Cambiar la configuración del adaptador, donde nos aparecerá una conexión con el nombre que hemos puesto y a través del botón de propiedades podremos configurar según las características del protocolo que nos hayan facilitado. Lo puede hacer el propio usuario o ayudarse del servicio técnico. Lo ideal es que no se recuerden credenciales para que siempre que conecten tengan que introducirlas.

Una vez que todo está listo solo tenemos que hacer doble clic sobre la conexión para que inicie el protocolo, nos solicite usuario y contraseña, se valide y levante el túnel de cifrado y conexión segura. Llegados a este punto ya estamos dentro de la red de la empresa y podemos acceder a los recursos de red de la misma.

Conexión VPN a través de nuestro NAS

Muchas micropymes y pequeñas empresas tienen un NAS. Normalmente lo utilizan como un medio de almacenamiento en red, pero también es posible que realicen este trabajo de router VPN. Para ello lo primero que tenemos que saber es si nuestro NAS ofrece el servicio. La mayoría de los avanzados de marcas como Synology o QNAP, por citar dos ejemplos lo ofrecen y funcionan de forma similar.

A través de esta aplicación del NAS podemos configurar y crear las conexiones, protocolos y usuarios necesarios para habilitar la conexión. El problema principal está en muchos casos en la necesidad de abrir los puertos en el router que facilite dicho acceso remoto. Los propios sistemas operativos del NAS se encargan de esta apertura, algo que no es demasiado complicado si nuestro router es de tipo doméstico, algo muy frecuente en las empresas más pequeñas.

Una vez que tenemos habilitada la conexión el siguiente paso es habilitar la conexión VPN en el ordenador remoto desde el que nos queremos conectar. En estos casos también nos suelen ofrecer una aplicación cliente que instalamos y facilitamos los parámetros para que se pueda realizar la conexión sin mayores problemas. No es demasiado complicado, aunque si requiere de ciertos conocimientos técnicos. La ventaja es que no necesitamos adquirir nuevo hardware si ya tenemos un NAS.

Conexión remota de Telefónica

Telefónica también ofrece una alternativa muy interesante como software. Se trata de un servicio muy sencillo, con un coste de 5 euros por usuario y mes para empresas pequeñas que tienen contratados menos de 25 usuarios y que baja hasta los 2 euros por usuario y mes y se han contratado otros servicios de VPN-IP con la compañía. Hay que tener en cuenta que los usuarios tienen que ser concurrentes, es decir, podemos configurar el acceso en varios equipos si no nos vamos a conectar desde dos a la vez.

Para ponerlo en marcha hay que instalar un pequeño programa de software sobre un equipo del cliente siempre conectado, normalmente el servidor. Después se instala un segundo programa en el ordenador remoto que se quiere conectar  con los datos de conexión que previamente hemos definido en el portal de gestión web de los usuarios. Si ya somos clientes de telefónica es una de las mejores opciones. Su mayor inconveniente es que solo está disponible para sistemas Windows.

NordVPN

NordVPN es muy popular para tener VPN doméstica para también ofrece otra solución similar que permite a los trabajadores remotos conectarse de forma segura a los recursos de la red corporativa a través de una aplicación que tienen instalada en sus equipos. Una vez conectada levanta el túnel de cifrado que asegura la comunicación y facilita el acceso sin importar desde que red nos conectamos, ya sea la de nuestra casa o la de una WiFi pública del aeropuerto, por citar varios ejemplos.

El coste en su modalidad básica es de unos seis euros por usuario si se  contrata de forma anual. La ventaja es que tenemos una administración online donde podemos cortar la conexión, acceso de los usuarios y conceder permisos de forma sencilla e intuitiva o la elección de diferentes servidores alrededor del mundo, algo interesante si tenemos negocios fuera de España.

En Pymes y Autonomos

Cómo preparar a mi empresa contra ataques ransomware: ciberseguridad y copias de seguridad

Viprvpn

Viprvpn es otra solución interesante aunque enfocada para empresas de tamaño mediano, ya que su solución parte de 240 euros al año. Dispone de servidores VPN tanto en España como en diferentes países de la UE y a nivel mundial. Nos facilita un acceso seguro a nuestras redes corporativas y está especialmente pensado para trabajadores en remoto.

La administración de los usuarios es muy sencilla gracias a su panel web. Además ofrece aplicaciones tanto para equipos de sobremesa como para smartphones o tablets, algo en lo que otras soluciones no son tan completas. Presumen de tener una capa de seguridad adicional al protocolo de VPN, así como de una velocidad de conexión de las mejores del mercado.

La gran ventaja de las soluciones de software es que no necesitamos hardware adicional, no tenemos que contratar IP estática con el operador y pagamos por usuarios concurrentes. Es decir, vamos a contratar tantos como necesitemos que estén conectados a la vez, lo que da una solución muy flexible para muchas empresas a bajo coste. En el caso de NordVPN o Viprvpn también tenemos la posibilidad de utilizar el servicio con todo tipo de equipos, desde ordenadores a tablets o smartphones.

Trabajar desde cualquier lugar cada vez se ha convertido en una práctica más habitual en las empresas. Lo cierto es que con la pandemia del coronavirus y los confinamientos, muchos se vieron obligados casi a la fuerza a hacerlo. Descubrieron inconvenientes, pero también ventajas. Ahora con la situación algo más estable, es el momento de sacarle, partido pero hacerlo bien. Por eso vamos a explicar por qué es crítico para la seguridad de la empresa tener una VPN para empleados en remoto.

Y vamos a intentar hacerlo en un lenguaje que no sea demasiado técnico, al alcance de cualquiera que no necesariamente necesita tener conocimientos de redes entender su utilidad. Hablamos siempre que existan empleados o los propios responsables que quieran trabajar desde sus hogares, por lo general fuera de horas de oficina.

En Pymes y Autonomos

Cómo preparar a mi empresa contra ataques ransomware: ciberseguridad y copias de seguridad

¿Qué es una VPN y por qué tu empresa la necesita?

La VPN, o Virtual Private Network, no es otra cosa que una conexión de forma segura entre el despacho de tu casa y la empresa. Dicho de otra manera, nos habilita la posibilidad de trabajar en casa, o cualquier lugar donde tengamos conexión a internet, con acceso a los recursos que podemos tener en nuestro escritorio dentro de la empresa.

Existe la posibilidad de utilizar estas VPN para conectar varias sedes u oficinas diferentes para que compartan recursos. El modelo no solo nos sirve para teletrabajo, sino que en muchos casos nos ayuda a trabajar mejor si tenemos sucursales y oficinas dispersas que necesitan operar conectados a la central, o utilizar parte de sus recursos.

Esto implica que se puede acceder a información en carpetas de red compartidas, pero también acceso a ordenadores, servidores, aplicaciones, etc. Todo de forma segura y sin exponer ni poner en peligro los datos o el acceso por parte de terceros.

La VPN se encarga de crear un túnel de comunicación segura, cifrada, entre diferentes sedes o entre un ordenador y una sede. Una vez establecida la comunicación, el equipo, sea ordenador, móvil o tablet, desde el que nos conectamos ya se encontraría virtualmente dentro de la empresa.

En Pymes y Autonomos

Día de la protección de datos en la era del teletrabajo, hay que redoblar esfuerzos

¿Por qué necesita la empresa una VPN?

Vamos a poner un ejemplo sencillo. Un trabajador que quiere conectarse desde el ordenador de su casa al de su despacho para terminar o adelantar trabajo. En muchos casos lo que se hace es una conexión a través del escritorio remoto, para lo que necesitamos saber una serie de datos y redirigir la información el el router de acceso de internet de la empresa para llegar hasta dicho equipo.

Es lo que se conoce como la apertura de un puerto, que encamina la petición de información desde el router hasta el equipo del usuario. Dicho de forma más sencilla, dejamos una puerta abierta por si tenemos que conectarnos. Y esto tiene cierto riesgo, ya que esta puerta abierta en Internet hacia nuestra empresa puede ser atacada por ciberdelincuentes, con los riesgos que esto  tiene asociado.

Haciendo una similitud, sería como dejar la llave de la puerta de la oficina debajo de la alfombra. Es posible que no se les ocurra mirar a los ladrones, pero si lo hacen tienen muchas posibilidades de entrar. Es cierto que se pueden poner diferentes barreras, pero la puerta queda abierta.

Y esto no es solo un problema a la hora de la seguridad de nuestro negocio, sino también en lo que se refiere al  cumplimiento del LOPDGDD. Si se determina que hemos tenido un fallo de seguridad por falta de medios, la multa puede ser bastante grave en el caso de que los datos de los clientes se vean afectados. 

Para el usuario final todo tiene que ser transparente

Con la puesta en marcha de la VPN, ya sea por software o por hardware, para abrir el túnel, nos va a solicitar un usuario y una contraseña, además de un protocolo, por lo que es muy complicado si se han tomado las medidas adecuadas que se pueda forzar el acceso por dicha puerta.

Para el usuario final es bastante sencillo de utilizar. Simplemente tendrá un acceso directo en su escritorio que le conectará con la VPN, le solicitará las credenciales de acceso y si todo es correcto, crea el túnel cifrado en cuestión de segundos y el ordenador se conectará.

En Pymes y Autonomos

Muchas empresas necesitan mejorar sus herramientas para trabajar en movilidad

A partir de aquí ya tiene acceso a carpetas compartidas en la empresa, impresoras o se puede conectar por Escritorio remoto a su equipo del despacho o al servidor en función de cómo quiera operar cada negocio. Si todo está bien configurado, apenas son un par de clic de ratón empezar a trabajar de forma segura. Una vez finalizado el trabajo, se desconecta y listo.

Próximamente explicaremos un poco más en detalle diferentes tipos de VPN que se pueden utilizar en las empresas, ya sean de software o hardware y como ponerlas en marcha de forma sencilla.

Imagen | StefanCoders en Pixabay

Hoy es el día mundial de la contraseña. Como siempre este tipo de efemérides están pensadas para concienciar a los usuarios de la necesidad de llevar a cabo buenas prácticas en la protección de sus credenciales, que al fin y al cabo en muchos casos custodian su identidad digital. En las empresas llevamos años utilizando usuario y contraseña para identificarnos en los sistemas y poder trabajar, pero ¿por qué no hemos logrado resolver el inicio de sesión seguro sin contraseñas en las empresas?

Si cada vez que he tenido que cambiar una credencial de acceso a una persona me hubieran dado un euro por cada queja expresada: "no se que poner", "¿no puedo poner la de siempre?", "seguro que luego se me olvida", "¿y la tengo que cambiar cada mes?", "¿Tengo que poner mayúsculas, minúsculas y números?", "¿No puedo poner 123456? Seguro que a nadie se le ha ocurrido antes..." y podría seguir hasta el infinito.

En Pymes y Autonomos

Hasta 260 millones para reforzar la ciberseguridad de la pyme

La realidad es que el usuario y la contraseña no es una buena solución de seguridad, pero ¿tenemos otras alternativas mejores? Esta es la cuestión, porque hoy en día es una cuestión que está superada ampliamente en los dispositivos móviles y la biometría.

Sin embargo este tipo de soluciones no se acaban de imponer del todo en las empresas. En parte porque necesitan integrarse en muchos casos con sistemas que ya están en marcha, con aplicaciones de terceros, etc. Y todo esto implica inversión y un alto coste para mejorar la seguridad, algo a lo que muchas empresas tampoco es que presten demasiada atención. Lo mismo podríamos decir de otras soluciones como la autentificación por doble factor. A corto y medio plazo, la contraseña seguirá siendo el método básico de identificación en la mayoría de las organizaciones.

En este sentido la contraseña sigue siendo el método de identificación más utilizado y universal. Existen un buen puñado de buenas prácticas para intentar lograr que sea una fórmula segura, aunque la realidad nos dice que cuanto más complicado se lo pones a los trabajadores, más fácil es que se acaben por apuntar la contraseña en una nota adhesiva en la pantalla de su ordenador.

Por lo tanto hay que llegar a un compromiso entre seguridad y usabilidad. Que sea fácil trabajar, pero que a la vez se pueda hacer de forma segura. Y ante todo, dejar que cada uno trabaje con el mínimo privilegio, es decir, que solo tenga acceso a aquello que necesita, para que en caso de que se produzca una brecha de seguridad se intente aislar el problema.

Por último todo cambia si lo que se busca en la empresa, además de seguridad, es trazabilidad. Que cada usuario conozca su contraseña, pero no la de sus compañeros. Y esto es algo muy habitual, el uso de patrones para crear credenciales, de manera que al final, todo el mundo conoce la contraseña de los demás. En este caso los controles tienen que ser más estrictos, cambiar las contraseñas con más frecuencia, no dejar repetir las últimas, ni admitir la creación de esos patrones.

Una de las cuestiones básicas a la hora de crear un esquema de copias de seguridad adecuado es mantener a salvo los archivos en diferentes soportes. De esta manera tenemos la seguridad que en caso de necesidad vamos a poder recuperarlo con seguridad. Pero no todos son iguales ni nos van a dar la misma respuesta a la hora de recuperar los datos. vamos a ver tres tipos de almacenamientos para mantener los datos a salvo.

Porque dependiendo del tipo de soporte nos vamos a enfrentar a una problemática o a otra para recuperar nuestros datos. Pero también es muy importante para cumplir con el RGPD en el caso de realizar tratamiento de datos personales. Especialmente es un tema a tener muy en cuenta si tenemos que sacar una copia de los mismos de nuestras instalaciones para restablecer la información en caso de desastre mayor.

En Pymes y Autonomos

Día mundial del backup, estos son los errores que comenten muchas empresas para asegurar sus datos

Soportes de conexión directa

Aquí podríamos incluir los soportes que se conectan directamente al equipo del cual deben copiar los datos. Normalmente hoy se utilizan discos USB portátiles o memorias USB si el volumen de datos no es muy elevado. El principal problema es que en muchos casos al estar siempre conectados ante un ataque de cifrado de archivos la copia es vulnerable. En estos casos lo ideal es al menos tener dos soportes para ir alternando entre ellos, por días, fines de semana o semanas.

Otro inconveniente está en los problemas que nos dan por su retirada incorrecta, expulsión, cortes de luz, etc. que hacen que se deterioren con frecuencia. Esto genera problemas de reconocimiento del disco que lleva a que la copia pueda fallar, algo que es importante corregir para evitar estar desprotegidos. Su gran ventaja es que se trata de un método barato y fácil de poner en marcha.

Almacenamiento en red local

Se trata en este caso de un disco NAS o un equipo especialmente dedicado que se conecta solo para hacer las copias. La ventaja de estos sistemas es que nos permiten tener múltiples versiones de una copia de seguridad, caso de un NAS, configurar con diferentes usuarios y privilegios para mantener copias seguras e inaccesibles en caso de ataques o facilitan tener una redundancia de copias en discos externos que no son accesibles en la red.

Es la mejor alternativa, ya que es muy segura, altamente configurable y a medida que elegimos un NAS con mayor número de bahías nos da más opciones. Por no hablar de que un disco de red hoy en la empresa es como una navaja suiza, que nos da soluciones para diferentes problemas que podamos plantear en nuestro día a día en los negocios.

La gran ventaja es la rapidez en la recuperación que facilitan, que depende de la velocidad de conexión a la red, si tiene una o varias interfaces para salir, etc. Incluso se puede lograr que una empresa esté trabajando de nuevo prácticamente en minutos si se ha realizado un buen protocolo, cambiando la unidad de red de trabajo para que vaya al NAS, por ejemplo.

Almacenamiento en la nube

Aquí hablamos de llevar la copia de seguridad fuera de nuestras instalaciones y a servidores de terceros. Es importante asegurarnos que dichos servidores se encuentran dentro de la UE y sujetos a su legislación de protección de datos. No basta con contratar espacio en Google, en Dropbox o en cualquier otro servicio. Tenemos que asegurarnos que estos datos quedan dentro de Europa, ya que de otro modo podemos incumplir el RGPD.

Además estas copias deberían estar cifradas, para que aunque el servicio de almacenamiento sufriera un ataque no se viera comprometida la seguridad de nuestros datos. Es muy cómodo y muy seguro. Es la copia de último recurso, pero que nos da gran tranquilidad si tenemos que ponerla en marcha. El mayor inconveniente lo tenemos en la recuperación. La descarga de la información puede tardar bastantes horas y poner en marcha de nuevo la empresa puede resultar complejo.

¿Con cuál me quedo?

Lo cierto es que lo ideal es combinar todos ellos. Un NAS que se encarga de guardar diferentes archivos de copia, con versiones de diferentes días, semanas y meses. Que a su vez hace copias en disco externo y que también puede replicar al NAS de otra sucursal de nuestro negocio.

En Pymes y Autonomos

¿Cuánto tiempo estaré sin trabajar en el próximo incidente de seguridad?

Un esquema progresivo, diversificado y que no tenga debilidades no es tan sencillo. Requiere redundancia y esto implica no tener dependencias ni puntos de fallo que puedan complicar la recuperación.

El 31 de marzo se celebra cada año el día mundial del backup. Se trata de una jornada pensada para concienciar a los usuarios y las empresas, especialmente a éstas última, sobre la importancia de mantener los datos a salvo y poder recuperarlos ante cualquier percance, ataque, fallo de hardware, etc. Y sin embargo muchas empresas siguen cometiendo errores cada día en para asegurar sus datos.

Porque no basta con hacer una copia de seguridad. Una copia que tal vez se programó hace unos años, se definió un protocolo y tiempo después nadie sabe si llegado el momento se podrán recuperar o no los datos que necesitemos para continuar con nuestro trabajo.

En Pymes y Autonomos

Sobrevivir a un ataque de ransomware, crees que puedes hacerlo pero no estamos realmente preparados

1. No sabemos que datos guardamos

El principal problema que tienen la mayoría de las empresas es que no se sabe qué datos se están guardando. No se selecciona de forma adecuada cómo se guarda la información, está dispersa entre diferentes puestos de trabajo o no se cuenta con una ubicación centralizada. Y no se guarda todo lo que sería imprescindible.

A cambio se suele almacenar mucha información duplicada o que se almacenó de forma temporal en una carpeta de la que se hacen copias de seguridad, pero que después no se eliminó. Esto hace que el volumen de la copia aumente en muchos casos de forma exponencial.

2. No se han hecho pruebas de recuperación de datos

Otro de los errores habituales es que no se han hecho pruebas de recuperación de datos nunca. No se sabe si se puede o no recuperar un archivo, qué posibilidades tenemos de recuperar un documento, una carpeta o los datos de un programa de un mes atrás, por ejemplo. En definitiva no sabemos si la copia está funcionando y qué nivel de seguridad tenemos.

3. No se tiene en cuenta los dispositivos móviles

Como ocurre con la información que está dispersa en diferentes equipos de trabajo, los móviles son los grandes olvidados de las copias de seguridad. Y en muchas organizaciones almacenan tantos datos, especialmente fotografías que pueden ser necesarias para nuestro día a día. Pero también agendas, contactos, etc. que no siempre están correctamente respaldados. ¿Si pierdes tu móvil, cómo impactaría en tu día a día?

4. No se mantienen copias a salvo de ataques

Para muchos la copia de seguridad es un disco duro externo conectado a un dispositivo desde el que se hace la copia. Pero no se tiene en cuenta que hoy en día podemos sufrir un ataque de ransomware que cifre toda la información, incluida la de este disco duro. Y no tendremos una copia buena a salvo.

Por eso es necesario crear un buen esquema de copia en función de las necesidades de nuestra organización. Copia diaria, semanal, mensual, en diferentes soportes, que no todos estén conectados de forma simultánea y con una copia que se guarde fuera de la empresa por si ocurre un desastre mayor, como un incendio, que destruya todo.

En Pymes y Autonomos

Activa Ciberseguridad, el programa que te ayudará a saber el nivel de seguridad de tu empresa

5. No se tiene en cuenta el tiempo de recuperación de la copia

Si tenemos que recuperar la información y volver a poner en marcha todo es fundamental saber cuánto tiempo vamos a tardar en copiar de nuevo estos datos. No todos los programas de copia son iguales. Y en una situación de estrés este tiempo impacta de forma decisiva en la continuidad de nuestros negocios.

6. Se salvan datos pero no aplicaciones

La copia de seguridad normalmente supone salvaguardar los datos. Pero tan importante es tener a salvo una copia de los sistemas, algo que hoy en día gracias a la virtualización es relativamente sencillo para en el peor de los casos poder restablecer la actividad de nuestra empresa de forma rápida y efectiva. De poco sirven los datos si no tenemos un servidor, un ordenador o una aplicación para que los interpreten.

7. Se contratan servicios en la nube, pero no su copia de seguridad

Esto es algo más habitual de lo que parece. Los servicios en la nube se contratan de forma modular. Y hay que leer los contratos y tener en cuenta que ocurriría si el proveedor sufre un percance o si por cualquier motivo nosotros borramos o eliminamos un dato. No sería la primera vez que es después de este incidente cuando nos damos cuenta que no tenemos copia de seguridad.

8. No tener en cuenta el RGPD

No se trata solo de recuperar los datos para continuar con nuestra actividad. También hay que tener en cuenta los requerimientos legales de la protección de datos personales. No solo tenemos que proteger los datos, sino que también debemos evitar su pérdida, lo que en muchos casos no obliga a tener que volver a solicitarlos a nuestros clientes.

En Pymes y Autonomos

La seguridad en la empresa pasa por recuperar la información en el mínimo plazo

El escenario en 2021 de una copia de seguridad es completamente distinto al que tendría en la misma empresa cinco años antes. Pero seguramente se sigan haciendo las cosas de la misma manera. Hay que aprender y adaptarse a las nuevas exigencias y estar preparados para nuevos peligros en la recuperación de datos que pueden afectar a las organizaciones.

Imagen | panumas nikhomkha en Pexels

El ransomware se ha convertido en una de las peores amenazas para muchas empresas. Un problema que ataca a la seguridad y privacidad de los datos. Que los cifra y nos extorsiona pidiendo un rescate si queremos recuperarlos. Y el ransomware se ha vuelto más peligroso para las empresas, más agresivo para lograr que paguen.

Hasta no hace mucho el principal problema lo podíamos tener si no disponíamos de una copia de seguridad a salvo. Aquí muchas organizaciones se veían en el dilema de decidir si iban o no pagar el rescate que les pedían para descifrar los datos. Si había copia de seguridad el problema era de continuidad de negocio, de saber cuánto tiempo iban a estar parados sin poder trabajar.

En Pymes y Autonomos

Sobrevivir a un ataque de ransomware, crees que puedes hacerlo pero no estamos realmente preparados

Pero para lograr que paguen los ciberdelincuentes de han vuelto más agresivos. El primer paso fue una segunda extorsión. Si no pagas porque tienes copia de seguridad y no necesitas que se descifren de nuevo los archivos, publicarían datos confidenciales de tus clientes. Esto es un problema legal, por cumplimiento de la LOPDPGDD, pero también de reputación.

Muchas compañías no pueden permitirse que los datos confidenciales de sus clientes salgan a la luz porque se perdería gran parte de sus credibilidad y con ella se marcharían clientes que ya tienen o sería más complicado conseguir otros nuevos. Y esto lo saben los ciberdelincuentes.

También las nuevas variantes son más agresivas para replicarse dentro de los sistemas informáticos. Este es el caso de Ryuk, un virus de tipo gusano que propaga el ransomware no solo en un equipo de la empresa desde el que se cifra todo, sino que es capaz de introducirse en otros equipos de la red, dificultando de forma notable la eliminación y vuelta a la normalidad de la organización.

Y esto es un problema. Porque no es lo mismo aislar un ordenador en el que sabemos que ha sido el causante de la infección, que tener que limpiar y recuperar todos los equipos de una empresa. La diferencia en la vuelta a la normalidad son muchas horas de trabajo. Especialmente si no se ha sido consciente de la infección y se han pasado varias horas mientras se producía.

El problema es que si no somos conscientes de esta replicación es muy posible que al cabo de los pocos días el problema vuelva a aparecer y se reproduzca. Y habrá que ir limpiando todos los dispositivos conectados a la red uno por uno. ¿Os imagináis que esto ocurra en una asesoría fiscal en época de presentación de impuestos? Lo cierto es que da que pensar a muchas empresas para saber si estarían preparados para solucionarlo si ocurre algo.

El 28 de enero es el Día de la Protección de Datos, fomentado por el Consejo de Europa como una forma de concienciar y tratar de promover mejores prácticas sobre privacidad y protección de la información. Y esto en un momento donde muchas empresas han implantado el teletrabajo implica en muchas ocasiones redoblar los esfuerzos.

Porque muchas pymes se han visto obligadas a hacerlo de un día para otro. Y en muchos casos no tenían una planificación previa que contemplara la protección de datos y el trabajo remoto. Se ha buscado primero la funcionalidad, poder empezar a trabajar, para luego llegar a aplicar medidas de seguridad. Esto rompe con uno de los principios básicos del RGPD, la protección de los datos desde el diseño.

En Pymes y Autonomos

Cumplir con el RGPD si trabajamos en movilidad o desde casa, principales recomendaciones

Trabajar desde casa pero de forma segura

¿Dónde están los datos personales? ¿Se manejan desde equipos privados de los propios trabajadores o siguen bajo el control de la empresa? ¿Si mañana uno de estos empleados deja de pertenecer a nuestra organización, ¿qué datos se mantienen en los equipos desde los que se conectaba remotamente desde su hogar? Si hay un problema de seguridad en su hogar, ¿puede afectar también a nuestra empresa? Estas son solo algunas preguntas que las empresas debería poder contestar y que implican riesgos en el teletrabajo.

Pero también hemos visto como mucha información corporativa, que antes se gestionaba en las propias instalaciones de las empresas, ahora se transmite por videoconferencias. Y aquí hemos tenido muchos ejemplos de fallos de seguridad en programas, en ocasiones problemas debidos a la inexperiencia de los usuarios en el uso de las mismas, etc. Es fundamental asegurar la comunicación y el cifrado de los datos de extremo a extremo.

Las empresas tendrán que invertir para hacer que los puestos de teletrabajo sean más seguros. En muchos casos estas inversiones pasan por mejorar sus infraestructuras, en otros por una mejor formación de sus empleados o un cambio en la cultura corporativa y un espacio de protección que antes se ceñía a la oficina, a sus instalaciones, pero que cada vez se difumina más la diferencia entre trabajar dentro y fuera de la empresa.

Mantener los datos personales en un entorno seguro y controlado es el objetivo. Y a la vez que sean accesibles desde cualquier ubicación y en tiempo real cuando se necesiten. A partir de aquí hay diferentes fórmulas, desde un cloud privado, a uno híbrido o uno público. Trabajar con conexiones remotas a la oficina a través de VPN y mantener barreras de protección sobre dichos accesos remotos para evitar que un problema en el ámbito privado se transmita al laboral y viceversa.

El peligro del cifrado de datos y la petición de rescate

Un último aspecto que me gustaría destacar es la incidencia del ransomware y cómo se ha ido volviendo más peligroso para la pyme cada año. La mayoría de las empresas piensan qué no tienen nada de valor para un ciberatacante. La mentalidad de los ciberdelincuentes es diferente. Ataco a todo el que puedo, porque la estadística me dice que de cada 1000 uno me paga, por lo tanto lanzo 1000.000.000 de ataques a nivel mundial. No atacan por lo que tengamos de valor, sino porque pueden hacerlo.

En Pymes y Autonomos

El peligro de mantener equipos obsoletos en la empresa, fallo de seguridad en Windows 7 sin resolver

Pueden engañar a los usuarios para que les den paso o aprovechar vulnerabilidades de sistemas y aplicaciones que son conocidos y fáciles de explotar, pero que en muchas empresas no han sido debidamente actualizados o no lo han hecho a tiempo. Esperemos que al menos estén preparados para recuperar sus sistemas lo antes posible. Y que no les amenacen con hacer públicos los datos de sus clientes obtenidos.

El 30 de noviembre se celebra el Día Internacional de la Seguridad de la Información y este año más que nunca, es importante recordar cómo garantizar la seguridad e integridad de todos los datos, tanto a nivel personal como a nivel profesional.

En un contexto de pandemia donde el teletrabajo ha ganado cada vez más adeptos, la seguridad en el trabajo y la protección de todos los dispositivos es esencial. Sin embargo, según el informe “Estado actual de la seguridad de datos móviles corporativos en movimiento en España” de Kingston, casi 1 de cada 4 empresas (23%) confirma no tener una estrategia de protección de datos móviles.

Una realidad cada vez más importante, especialmente por la crisis sanitaria y el teletrabajo, donde conceptos como la seguridad de los datos móviles han pasado a ser la principal preocupación de las empresas. Por esta razón, la propia Kingston lanza una serie de consejos con el fin de proteger los datos móviles:

• Proteger todos los dispositivos: cada vez son más los dispositivos que se usan para mover los documentos y archivos que se utilizan a diario, sobre todo a raíz de la rápida implantación del trabajo híbrido. El informe de Kingston señala que un 44% de las empresas españolas no utiliza dispositivos cifrados (USBs, SSDs, etc.).
• Invertir en ciberseguridad: la inversión en ciberseguridad continúa siendo muy baja: casi el 80% de las empresas españolas dedica un 7% (o menos) del presupuesto del departamento TI a potenciar la seguridad de datos móviles.

En Pymes y Autonomos

¿Por qué la seguridad de la pyme está cada vez más en peligro?

• Aumento de la formación como máxima: la formación es una de las mejores armas para que la pérdida de datos no siga siendo un problema. Una tendencia al alza, puesto que 62% de las empresas en nuestro país han apostado por formar a su plantilla en conceptos básicos de ciberseguridad.