Riesgos de Ciberseguridad en Medianas Empresas

SeguridadEnPyme

Riesgos de Ciberseguridad en Medianas Empresas

1. Out of Business

Hoy y de golpe se nos presentaron varios desafíos nuevos para poder cubrir con estos requerimientos planteados por la pandemia. Entre ellos, ampliar la cantidad de usuarios que se conectan remoto a la empresa y las dudas sobre si nuestra infraestructura, originalmente pensada para unos pocos, soportaría esta nueva realidad.

Esta modalidad, además, presenta nuevos riesgos para la seguridad de la empresa permitiendo, ya sea por costos o por funcionalidad, que sus empleados conecten equipos domésticos a la red corporativa. Como equipo doméstico, pensamos que, al estar fuera de la red corporativa, no cuentan con las políticas de seguridad básicas como antivirus, firewall personal o políticas de instalación de aplicaciones. Es posible además que estos equipos sean los mismos que utilizan los niños de la familia para jugar o navegar por internet con todos los riesgos que eso conlleva.

2. INTERNET: una red poco confiable

Recordemos que, por definición, internet es una red insegura, agregaría además hostil, pero eso ya es otro cuento.

Entonces bien, tenemos una nueva empresa que monta su sitio web y diseña su página de forma de atraer clientes. Eventualmente permite las compras online.  En internet existe múltiples servicios que permiten hacer esto a costos muy accesibles. Y así de simple en 3 o 4 clics, tenemos un sitio web.

Pero entonces, ¿cuáles son los riesgos más importantes que existen en internet estos días? Pues bien, entre ellos están el ransomware, los ataques SQLi o XSS, los ataques de contraseñas o el robo de información.

El ransomware, un tipo de malware, entra por diferentes medios y encripta los archivos del equipo. El atacante ofrece una billetera de criptomonedas para recibir un pago a cambio de la llave para desencriptar esa información. Esta modalidad de ataque que tuvo su auge en 2018, hoy sigue estando vigente. Y aunque la mayoría de los expertos en seguridad recomiendan no pagar, hoy día sigue siendo un negocio muy redituable para los atacantes.

SQLi y XSS (SQL inyection o Cross Site Scripting) llevan años dentro de la lista de las vulnerabilidades más explotadas por los atacantes a sitios web. Sin embargo, los tiempos o la escases de controles en las etapas de desarrollo, llevan a un código pobre en lo que refiere a seguridad. Esto ha dado a los atacantes una infinidad de sitios web donde robar bases de datos o atacar a los visitantes. En ambos casos, quien más sufre es la imagen de la empresa junto a su reputación.

Los robos de contraseñas que pueden darse, ya sea por filtraciones en sitios web o por la mala administración que hacen los usuarios de las mismas, abren cientos de puertas a los atacantes permitiendo acceder a los sitios de manera “legítima” y minimizando así la evidencia para los encargados de seguridad.

3. ¿Cómo respaldar tu sitio Web?

No todo está perdido y tampoco sale fortunas. Con algunos pasos sencillos y baratos, nuestro sitio web estará mucho más preparado para el momento en que seamos víctimas de un ataque.

Los principales navegadores web, anuncian de manera clara cuando los sitios web no permiten hacer conexiones seguras (la S del https). Hoy en día la mayoría de los proveedores web proveen este tipo de servicio para los sitios que alojan. Pero si usted elige almacenar su sitio web por su cuenta, podrá comprar un certificado a las entidades certificadoras más grandes de internet con muy buena reputación o instalar un certificado gratuito desde let’s encrypt.

Mantener respaldos del sitio web, hoy en día no es una opción para reducir costos. Existen múltiples formas de respaldar el sitio web completo. No solo la base de datos o las páginas web, sino también su configuración completa. Esto nos permitirá volver al estado anterior antes del ataque de manera rápida y segura. Recuerde siempre mantener los respaldos fuera del sitio principal y hacer pruebas de restauración regularmente, para estar seguro que el día que los requiera, estarán en buen estado.

Capacite a sus usuarios sobre el correcto uso de herramientas como administradores de contraseñas.  Invierta en educar a sus usuarios para reconocer phishing. Los atacantes se han hecho expertos en crear correos electrónicos o sitios web muy similares a los originales permitiendo, en algunos casos, hacer dudar hasta al ojo más experto.

Pero sobre todo, no olvide su sitio web. Manténgalo actualizado y esté al tanto de las últimas vulnerabilidades que pueden hacer que su negocio desaparezca dentro del primer año de vida.

Te invitamos a ver mas notas que pueden interesarte en nuestro blog: Ciberseguridad&SeguridadTI.

DESCARGA NUESTRO BROCHURE