Los problemas de seguridad en las empresas suponen un inconveniente cada vez más grave. Siempre lo ha sido pero, normalmente, se traducía en una interrupción de negocio, tiempo perdido para recuperar nuestro ordenador a un estado óptimo tras un ataque. Hoy en día las cosas han cambiado, y en muchos casos el secuestro de los datos está a la orden del día. Vamos a ver las medidas básicas de seguridad que debes implementar para evitar la pérdida y sustracción de datos.
Siempre pensamos que esto de la seguridad es algo más propio de la gran empresa que de las pymes, los autónomos o profesionales que trabajan por su cuenta. Pero es un gran error porque los atacantes no discriminan entre grande y pequeño, sino que atacan y secuestran los datos de todo aquello que tiene una vulnerabilidad o es susceptible de ser atacado.
Es necesario tener una mínima formación en seguridad no solo para evitar que nuestro equipo sea infectado con nuestra colaboración involuntaria, sino también para saber a qué riesgos estamos exponiendo los datos personales que podemos almacenar en los mismos y cumplir con la LOPDPGDD y el RGPD.
Además es necesario contar con las herramientas adecuadas. En el caso de los equipos portátiles —que salen de las instalaciones de las empresas y muchas veces albergan datos sensibles— más todavía. Por eso, además de elegir un portátil con un buen diseño, es importante que nos ayude a cumplir con las medidas de seguridad necesarias que nos impone la nueva normativa en protección de datos. Un ejemplo de ello es el HP Elitebook x360, que tiene en la seguridad una de sus señas de identidad.
Los riesgos de perder información en la empresa
En el último año, los ciberataques a pequeñas empresas y profesionales ha aumentado un 11%. Los más comunes son los basados en phishing o ingeniería social, que representan un 48% de los casos, y los basados en web con un 43%. Se trata de un ataque que engaña al usuario para que enlace a una web especialmente manipulada para aprovechar alguna vulnerabilidad de nuestro ordenador y hacerse con el control del mismo.
El objetivo suele ser recoger nuestros propios datos o aquellos que almacenamos en nuestros ordenadores. Datos personales, bancarios, contraseñas, etc. Es el usuario el que abre la puerta al confiar que ese correo que le ha llegado supuestamente de la web de la Agencia Tributaria o ese paquete que tiene que recoger, a pesar de que no recuerda haber pedido nada... En estos casos si no existe una barrera adicional las consecuencias pueden ser muy graves.
Además, para muchos trabajadores y empleados las actualizaciones del sistema y de las aplicaciones que tenemos instaladas son más un incordio que una solución. Pero en la mayoría de los casos estas actualizaciones de seguridad se corrigen problemas que impiden estos ataques afectar a nuestros equipos. Mantener un ordenador sin actualizar implica ponerlo en riesgo. Este es uno de los principales motivos por los que las empresas tienen que pensar en renovar sus equipos con Windows 7 que dejará de recibir dichas actualizaciones en enero de 2020.
En los equipos destinados a la movilidad, como pueden ser los portátiles, otro foco de problemas está en la conexión a WiFi pública. Y aquí no solo son las grandes redes WiFi gratuitas, como puede ser la de una aeropuerto o la del parque público donde salimos a dar un paseo. También la red de la cafetería donde nos hemos sentado a trabajar mientras esperamos a un cliente.
Ser una empresa pequeña no nos mantiene a salvo. Las pymes son los principales objetivos de muchos ciberatacantes
No solo debemos tener una conexión segura, también hay que huir de toda conexión que no tenga contraseña porque la información entre nuestro portátil y el router no viajará cifrada. Si además no está bien configurada la red donde nuestra conexión tiene que estar aislada del resto de equipos que se conectan en la misma ubicación, tendremos un problema.
No se trata únicamente de que alguien busque interceptar nuestra información —las contraseñas con las que nos hemos identificado en determinada página web, por ejemplo—, sino que un equipo que está conectado a la misma red que nosotros y tiene un software malicioso podría comprometer al nuestro e infectarlo.
Hay que cumplir con la normativa del RGPD
Si hemos sufrido un ataque, las repercusiones son varias. Por un lado, a nivel profesional sufrimos un importante retraso, dado que nuestro ordenador en muchos casos deja de funcionar bien y tenemos que estar varias horas o días, en función de la gravedad del ataque, recuperando sistema y datos. Pero por otro, si se han visto afectados datos personales de clientes que tengamos almacenados en los equipos, por ejemplo, direcciones de correo electrónico o datos bancarios que podemos tener en una factura, es necesario notificarlo a la AEPD, que nos podría imponer una sanción por ello.
Hay que tener en cuenta que las sanciones pueden llegar en los casos más graves a 20 millones de euros o el 4% del volumen de negocio global, la que suponga mayor cuantía. Por eso para las empresas invertir en seguridad es una necesidad a día de hoy imprescindible.
Consejos para mantener un equipo seguro
Para los equipos corporativos o que utilizan profesionales y autónomos es imprescindible una serie de medidas de seguridad:
Mantener los equipos actualizados, tanto en lo que se refiere a los sistemas operativos como los programas que utilizamos. Pero también a aspectos menos comunes como el firmware o la BIOS, que en ocasiones son el foco de los problemas y no se les suele prestar atención.
Utilizar un programa de antivirus eficiente. Es imprescindible que tenga un sistema de alerta temprana. Un antivirus caducado o sin actualizar es como no tener nada hoy en día. Sería necesario complementarlo con un cortafuegos que nos informe de las conexiones entrantes y salientes de nuestro equipo.
Cifrado de datos, algo básico sobre todo en los equipos que trabajan en movilidad, de manera que si hemos olvidado o nos han robado el portátil los datos que tenemos almacenados no sean accesibles.
Uso de contraseñas fuertes que sean de una longitud de más de 8 caracteres e incluyan algún signo y mayúsculas. Además es necesario renovarlas de forma periódica. No se deberían repetir para diferentes servicios. Se pueden utilizar gestores de contraseñas pero nunca debemos dejar que las recuerde nuestro navegador, por ejemplo.
Si nos vamos a conectar desde fuera de la empresa es imprescindible utilizar una VPN que cree una conexión segura para que los datos que se transmitan viajen cifrados desde el origen hasta el destino.
Es necesario tener un sistema de copias de seguridad bien definido. Es habitual que una empresa lo tenga bien estructurado para los datos que están en su servidor, pero no en lo que respecta los equipos y menos todavía si se trata de un portátil. Si tenemos datos básicos para nuestro negocio almacenados, es imprescindible hacer copias de seguridad con regularidad.
La importancia del hardware a la hora de mantener la seguridad
Un portátil como el HP Elitebook x360, además de permitirnos trabajar tanto en modo tablet como con un teclado y touchpad, nos ofrece distintas características destinadas a aumentar la seguridad de nuestros datos.
No solo se trata de tener una contraseña, sino de añadir un segundo método de acceso. Para eso dispone de autentificación multifactor, donde además de la contraseña podemos añadir un segundo método para que se acceda al equipo, ya sea la huella dactilar o utilizar Windows Hello y la cámara del portátil para identificarnos mediante la imagen de nuestra cara.
Uno de los problemas cuando se trabaja fuera de las oficinas de la empresa son las miradas indiscretas. Dispone de la tecnología HP SureView gracias a la cual pulsando un botón, F2, la pantalla se oscurece para todos excepto para la persona que está delante del portátil.
Respecto a los ataques de ransomware, uno de los más dañinos es el que impide directamente que el ordenador arranque porque afecta a la BIOS. El HP Elitebook x360 cuenta con la función Protección HP Sure Start puede reparar automáticamente la BIOS de malware, rootkits o corrupciones, añadiendo una capa extra de protección.
¿Cómo podemos saber si ese correo que hemos recibido es de verdad de la Agencia Tributaria o es un engaño? Esta duda es bastante habitual y los atacantes son cada vez más sofisticados. Por eso es interesante una tecnología como HP Sure Click, evita que aunque nos llegue un correo malicioso, con un enlace a una página que suplanta la original contiene y aísla ataques de esta web.
En todo caso si un atacante ha logrado hacerse con el control de nuestro equipo, el siguiente paso suele ser desconectar algunos servicios que le impiden realizar determinadas acciones. La tecnología HP Sure Run evita que se desconecten servicios. Incorporado en el hardware, reinicia los procesos para prevenir que un atacante tome el control.
Por si extraviamos nuestro portátil o alguien lo roba, podemos utilizar la autentificación multifactor, que permite definir hasta tres factores de autentificación para que nadie iniciar sesión en nuestro dispositivo.
- Por último y enfocado más a los usuarios de grandes empresas, la solcuión HP Manageability Integration Kit y la última generación de procesadores Intel® Core™ vPro™ con Intel Active Management Technology, los responsables de sistemas de nuestra empresa pueden gestionar los equipos de forma centralizada y controlar de manera remota soluciones de seguridad clave como HP Sure Start o políticas de seguridad a nivel de empresa para una flota completa de ordenadores HP.
La compra de un portátil hoy en día no es solo adquirir un nuevo equipo, sino invertir en la seguridad de nuestra organización. Las cifras de ataques y problemas que sufren las organizaciones nos aseguran un rápido retorno de la inversión, ya que nuestro equipo se mantendrá a salvo de problemas.