Esta es la tercera y última entrega de nuestra serie dedicada a implementar una política de seguridad informática efectiva en pequeñas y medianas empresas (pymes). En nuestros artículos anteriores, destacamos la importancia crítica de la ciberseguridad en el ámbito de las pymes y exploramos los primeros cuatro pasos esenciales para fortalecer la protección de sus sistemas informáticos. Empezamos con la evaluación de riesgos y la necesidad de desarrollar políticas claras, seguido por la capacitación y concientización del personal, y finalmente, la implementación de medidas técnicas.

Hoy, nos adentraremos en los dos últimos pasos de este proceso: el Monitoreo y Revisión Regular, y la Respuesta a Incidentes y Recuperación. Estos componentes son vitales para mantener la seguridad informática en constante evolución y para preparar a la empresa para actuar eficientemente ante cualquier incidente de seguridad.

5. Monitoreo y Revisión Regular

La seguridad informática es un campo en constante evolución. Las políticas y las medidas de seguridad deben ir acompañadas de un mantenimiento preventivo adecuado. Este aspecto es el que permitirá que el nuevo sistema se mantenga en buen estado, y facilitará la detección de posibles fallos de seguridad que no se hayan tenido en cuenta.

• Ejemplo: A continuación, se detallan las tareas de monitoreo y revisión regular:

• • Revisar los intentos fallidos de inicio de sesión. Todos los servicios que permitan la autenticación de un usuario deben monitorizarse para identificar si un usuario con malas intenciones intenta colarse en el sistema. Este suele ser el primer punto que controlar y, de hacerlo adecuadamente, evidenciará otros fallos de seguridad que no se hayan tenido en cuenta.
  • Instalación con la máxima puntualidad de los parches de seguridad del software. Es vital mantener los sistemas Windows y el resto de software de la empresa actualizado con las últimas actualizaciones. Se requiere un sistema que permita automatizar y monitorizar esta labor porque hacerlo manualmente no tiene mucho sentido hoy día.
  • Revisión de los sistemas de backup. En el peor de los casos, un sistema de copia de seguridad puede ser el último recurso que una empresa tenga frente a un posible incidente de seguridad. Es de vital importancia que le empresa disponga de sistemas para verificar que su copia de seguridad se hace adecuadamente. Este punto parece obvio, pero hemos visto muchos casos en que empresas intentan recuperar una copia para darse cuenta que por el motivo que fuera, la copia no se estaba realizando correctamente.
  • Mantener un ojo puesto en las vulnerabilidades que se descubren. Es muy importante equiparse con sistemas que permitan identificar vulnerabilidades cuando aparecen. En la mayoría de los casos lo más útil es suscribirse a boletines de noticias que informen cuando surja la necesidad. Para las páginas web existen soluciones que generan alertas cuando se produce una situación similar.
  • Realizar auditorías de seguridad periódicas para evaluar la eficacia de las políticas y medidas de seguridad existentes. Las empresas deben estar constantemente analizando sus sistemas para adaptar sus políticas a los cambios que requiere el día a día de las organizaciones y a las tendencias emergentes en ciberseguridad.

6. Respuesta a Incidentes y Recuperación

La política debe incluir procedimientos claros para responder a incidentes de seguridad y estrategias de recuperación para minimizar el daño y restaurar los sistemas rápidamente. La empresa debe estar preparada para actuar en caso de un problema de seguridad. Para ello hay que identificar los tipos de incidentes, sus consecuencias y las posibles alternativas.

• Ejemplo: A continuación, se detallan los aspectos que hay que considerar para desarrollar un buen plan de incidentes según el tipo de problema.

• • Ataque por Criptolocker (encriptación de los datos de la empresa). Este ataque bloqueará el acceso a los datos de la empresa y en los casos peores, a la totalidad de los sistemas. El punto clave es disponer de la copia de seguridad y que esta esté a salvo del ataque. Los técnicos deberán identificar la fuente del ataque para neutralizarlo y que no vuelva a atacar, y recuperar los datos para restablecer la operativa de la organización.
  • Ataque a la página web corporativa. Este es un incidente muy común hoy día, especialmente si la página web está basada en el software WordPress. El típico ataque a la web consiste en que el actor malicioso sube código dañino a nuestra web para usarla como fuente para propagar más malware a los usuarios que visitan nuestra web. Otros ataques más elaborados podrían llevar a un atacante a infiltrarse en nuestra organización, tal como pasó con los Papeles de Panamá (esa filtración de datos empezó con un ataque a la web publica de la empres que sufrió el problema). Frente a estos ataques la principal medida correctiva pasa por: recuperar una copia de seguridad de antes del ataque, parchear/actualizar la web a las últimas versiones y aplicar un servicio de Firewall Web potente (WAF) como el de Sucuri o Cloudflare.
  • Ataque de suplantación de identidad por correo electrónico. La suplantación de identidad por correo electrónico es un tipo de ataque en el que los atacantes falsifican la dirección de correo electrónico del remitente para hacerse pasar por una persona o entidad legítima. Los atacantes pueden utilizar esta táctica para engañar a los destinatarios y obtener información confidencial, como contraseñas, información financiera o datos personales. Si hemos sido víctimas de este ataque, tendremos que analizar los registros del servidor para identificar por donde están entrando, posiblemente cambiar contraseñas y activar la autenticación de dos factores en las cuentas afectadas, así como seguir monitorizando el sistema para detectar otros ataques paralelos.

• Ataque por wifi. Los ataques informáticos a través de redes wifi son una forma de ataque en la que los atacantes explotan las vulnerabilidades de las redes inalámbricas para acceder a información confidencial o tomar el control de dispositivos conectados a la red. Si sospechas que has sido víctima de un ataque a través de la red wifi, lo primero es desconectar el dispositivo Wifi, cambiar contraseñas y actualizar todos los equipos. A continuación, es imprescindible analizar las conexiones y monitorizar el tráfico para controlar los posibles accesos maliciosos y bloquearlos.

Conclusión

Al concluir nuestra serie, es importante recordar que la seguridad informática es un viaje continuo, no un destino. Los pasos que hemos cubierto en estos artículos – desde la evaluación inicial de riesgos hasta la respuesta a incidentes y la recuperación – forman un ciclo de mejora continua en el campo de la ciberseguridad. En esta última parte, hemos enfatizado la importancia del monitoreo constante y la revisión regular para identificar y corregir fallos de seguridad proactivamente, así como la necesidad de un plan de respuesta bien definido y estrategias de recuperación para mitigar el daño en caso de incidentes.