PA00ZKCQ
PA00ZKCQ
PA00ZKCQ
PARTE 2:
PROTEGIENDO
SU EMPRESA
RECONOCIMIENTOS
La Guía de Ciberseguridad para Pequeñas y Medianas Empresas fue desarrollada con la asesoría de la Agencia de Desarrollo
Internacional de los Estados Unidos (USAID, por sus siglas en inglés), de la Oficina para el Desarrollo, Democracia e
Innovación (DDI, por sus siglas en inglés), por el Centro para el Desarrollo Económico y de Mercado (EMD, por sus siglas
en inglés) y redactado principalmente por Daniel Vázquez en el marco de la Actividad de Comercio y Competitividad
implementada por Resonance Global. Las contribuciones y revisiones adicionales fueron proporcionadas por Clare Sullivan
del Centro de Investigación Cyber SMART de la Universidad de Georgetown, así como por Jeremy Ravenelle, Evan Legé y
Anne Szender McCarthy de la Actividad de Comercio y Competitividad.
Este documento fue elaborado para su revisión por la Agencia para el Desarrollo Internacional de los Estados Unidos.
Asimismo, fue preparado por la Actividad de Comercio y Competitividad, con el número de contrato AID-OAA-C-17-00110.
Su contenido es responsabilidad exclusiva del autor y no refleja necesariamente las opiniones de USAID o las del Gobierno
de los Estados Unidos.
TABLA DE CONTENIDOS
Glosario de Términos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Lista de Acrónimos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Dónde empezar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1. Capacitar a los empleados a confiar, pero verificar. . . . . . . . . . . . . . . . . . . . . . . . . 7
2. Instalar un software antivirus y antimalware confiable . . . . . . . . . . . . . . . . . . . . . . 8
3. Usar cortafuegos de web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
4. Elegir contraseñas seguras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
5. Utilizar la autenticación multifactor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
6. Actualizar el software de manera regular . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7. Cifrar todos los datos confidenciales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
8. Asegurar las conexiones Wi-Fi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
9. Supervisar los sistemas de pago . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
10. Mantener el sitio web de la empresa seguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
11. Evitar que los teléfonos móviles sean objetivos de ataqu . . . . . . . . . . . . . . . . . . 14
12. Mantener copias de seguridad de toda la información . . . . . . . . . . . . . . . . . . . . . 15
13. Recordar que la seguridad física es parte de la ciberseguridad . . . . . . . . . . . . . . 17
14. Explorar la posibilidad de un seguro cibernético . . . . . . . . . . . . . . . . . . . . . . . . . 17
15. Considerar contratar a un profesional de TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
GLOSARIO DE TÉRMINOS
Software antivirus: programa que monitorea una computadora o red para detectar o identificar los principales tipos
de código malicioso y prevenir o contener incidentes de malware, en ocasiones eliminando o neutralizando el código
malicioso.1
Criptomoneda: una moneda digital en la que las transacciones se verifican y los registros se mantienen mediante un
sistema descentralizado que utiliza criptografía en lugar de una autoridad centralizada. Algunos ejemplos son Bitcoin,
Ethereum, Monero, etc.
Ataque cibernético: ataque por el ciberespacio cuyo objetivo es el uso del ciberespacio por parte de una
organización, con el fin de interrumpir, deshabilitar, destruir o controlar maliciosamente un entorno o infraestructura
informática o destruir la integridad de los datos o robar información controlada.3
Ciberseguridad: actividad o proceso, habilidad o capacidad, o estado mediante el cual los sistemas de información y
comunicaciones y la información contenida en ellos están protegidos y/o defendidos contra daños, uso o modificación
no autorizados, o explotación.4
Denegación de servicio distribuida (DDoS, por sus siglas en inglés): tipo de ataque cibernético en la que el
atacante hace que la máquina, el sitio web o la red objetivo no estén disponibles para sus usuarios al inundar el objetivo
con solicitudes en un intento de sobrecargar el sistema.
Cifrado: El proceso de transformar texto sin formato en texto cifrado. 5
Firewall: Capacidad que limita el tráfico de red entre redes y/o sistemas de información.6
Firmware: Programas informáticos y datos asociados que pueden escribirse o modificarse dinámicamente durante
la ejecución.7
HTTPS: una combinación del Protocolo de Transferencia de Hipertexto (HTTP, por sus siglas en inglés) con el
protocolo de Capa de Puertos Seguros (SSL, por sus siglas en inglés) /Seguridad de la Capa de Transporte (TLS, por
sus siglas en inglés). TLS es un protocolo de autenticación y seguridad ampliamente implementado en navegadores y
servidores web.8
Malware: software que compromete el funcionamiento de un sistema al realizar una función o proceso no autorizado.9
Módem: dispositivo que convierte datos digitales para transmitirlos en una red; por ejemplo, un dispositivo que
permite que una red doméstica o comercial se conecte con un proveedor de servicios de Internet (ISP, por sus siglas
en inglés).
Autenticación multifactor: Autenticación que utiliza dos o más factores diferentes para lograr la autenticación. Los
factores incluyen: algo que sabe (por ejemplo, contraseña o PIN); algo que tiene (p. ej., dispositivo de identificación
criptográfica o token); o algo que eres (por ejemplo, biometría).10
Enrutador: en una red, un dispositivo que determina la mejor ruta para reenviar un paquete de datos hacia su
destino;11 — por ejemplo, un dispositivo que emite una señal Wi-Fi.
Capa de Puertos Seguros (SSL, por sus siglas en inglés: proporciona privacidad e integridad de datos entre dos
aplicaciones que se comunican entre sí. Está diseñado para encapsular otros protocolos, como HTTP.12
Identificador de conjunto de servicios (SSID, por sus siglas en inglés): el nombre de una red Wi-Fi.
Acceso Wi-Fi Protegido 2 (WPA2): Protocolo de seguridad que utiliza contraseñas para proteger redes Wi-Fi.
PARTE 2: PROTEGIENDO SU EMPRESA 3
LISTA DE ACRÓNIMOS
DDoS Denegación de Servicio Distribuida
IP Protocolo de Internet
IT Tecnología de Información
1 https://niccs.cisa.gov/about-niccs/cybersecurity-glossary
2 https://www.oed.com/
3 https://csrc.nist.gov/glossary
4 https://niccs.cisa.gov/about-niccs/cybersecurity-glossary
5 https://csrc.nist.gov/glossary
6 https://niccs.cisa.gov/about-niccs/cybersecurity-glossary
7 https://csrc.nist.gov/glossary
8 https://www.healthit.gov/faq/what-does-https-web-address-mean
9 https://niccs.cisa.gov/about-niccs/cybersecurity-glossary
10 https://csrc.nist.gov/glossary
11 https://csrc.nist.gov/glossary
12 https://www.oed.com/
4 GUÍA DE CIBERSEGURIDAD PARA PEQUEÑAS Y MEDIANAS EMPRESAS
© XX
PARTE 2: PROTEGIENDO SU EMPRESA 5
INTRODUCCIÓN
Desde el punto de vista de una empresa, puede parecer lógico abordar la ciberseguridad
únicamente desde una perspectiva de cumplimiento legal. Si bien este puede ser un
primer paso en la dirección correcta, las empresas deben asumir que la innovación y las
nuevas tecnologías superan rápidamente las regulaciones. Hay acciones relativamente
simples que las empresas pueden tomar para reducir en gran medida la probabilidad y el
impacto de los ataques cibernéticos. Al mismo tiempo, a pesar de las mejores prácticas
preventivas, es probable que al menos un ataque tenga éxito, por lo que es necesario
crear resiliencia dentro de la empresa y establecer la capacidad de recuperarse después
de una infracción.
13 https://hbr.org/2019/11/companies-need-to-rethink-what-cybersecurity-leadership-is
6 GUÍA DE CIBERSEGURIDAD PARA PEQUEÑAS Y MEDIANAS EMPRESAS
© FAIDA
PARTE 2: PROTEGIENDO SU EMPRESA 7
DÓNDE EMPEZAR
La clave para limitar el acceso también es cancelar el acceso una vez que un empleado
deja la empresa. Esto mitigará el riesgo de amenazas internas. Si una empresa quiere
controles robustos, existen muchas soluciones de TI que pueden facilitar la creación y
gestión de perfiles de usuario. Los administradores pueden hablar con un profesional de
TI y deberían considerar ponerse en contacto con el servicio de asistencia de su sistema
operativo para saber qué métodos de control de acceso a archivos son adecuados.
MITIGANDO RIESGOS:
CUENTAS DE USUARIOS
Después de comprender cuál es la información de la empresa y cómo puede poner
en riesgo a la organización, las empresas deben identificar quién tiene acceso a qué
SUSCRIPCIONES datos. Deberían:
GRATUITAS VS
• Reunir una lista completa de cuentas de usuario utilizadas para acceder a todos
PAGADAS
los servicios, dispositivos, aplicaciones, direcciones de correo electrónico, servicios
Muchas empresas de seguridad en la nube, bases de datos, teléfonos, tabletas, dispositivos de Internet de las cosas
de renombre ofrecen ver- (IoT, por sus siglas en inglés), sistemas empresariales, etc. Necesitan saber y registrar
siones gratuitas de programas
quién los usa, incluidos los proveedores externos que tienen acceso.
antivirus y cortafuegos.
Teniendo en cuenta el nivel • Identificar a cada usuario y los flujos de datos a los que tiene acceso, y exija
de riesgo empresarial, estas
el uso de contraseñas diferentes para cada función o sistema, especialmente
versiones pueden ser una
defensa suficiente para para aquellos que contengan información restringida.
empresas con menor riesgo. • Indicar a los usuarios que no compartan cuentas y que protejan con
Para aquellas con mayor
contraseña los datos críticos.
riesgo, las suscripciones
pagadas pueden ser necesarias
para otorgar funcionalidad o
soporte adicional.
2. Instalar un software antivirus y antimalware
confiable
CONFIGURACIÓN La solución más común para protegerse contra el malware es un software antivirus. Los
DE CORTAFUEGOS sistemas operativos Microsoft Windows, Google Chrome y Mac ya tienen un software
Pruebe el contrafuegos al antivirus integrado que funciona bien contra la mayoría de las amenazas14 y que tiene
configurar el plan de ciberse- la funcionalidad básica para detectar y eliminar malware, cuando están actualizados.
guridad empresarial. Esto A pesar de las ventajas de estos programas integrados, los atacantes tienen amplias
ayudará a garantizar que esté oportunidades para diseñar programas de malware para eludir estas defensas. Es una
correctamente configurado buena práctica incluir protección antivirus adicional en los dispositivos de TI de la
y funcionando. Aunque hay
empresa y asegurarse de que se actualice de manera regular.15
varias herramientas gratuitas
en línea que pueden ayudar a
realizar pruebas, puede ser
prudente trabajar con un 3. Usar cortafuegos de red
profesional de TI que pueda
interpretar los resultados Los cortafuegos o “firewalls” son dispositivos o programas que controlan el flujo de
técnicos y solucionar los información o tráfico entre redes (tráfico de red) desde una red externa a la empresa,
problemas identificados. dentro de la red interna de la empresa, o entre dispositivos con diferentes configuraciones
PARTE 2: PROTEGIENDO SU EMPRESA 9
MITIGANDO RIESGOS:
PROTECCIÓN DE CONTRASEÑAS
Las contraseñas siempre deben ser complejas, guardarse en un lugar seguro, mantenerse
confidenciales y cambiarse regularmente. Una de las vulnerabilidades más comunes
para las empresas es que los empleados escriban su contraseña en una nota adjunta a
su computadora o en algún otro lugar cerca de su área de trabajo, lo que amenaza la
seguridad de los datos. Las “carteras” digitales cifran de forma segura las contraseñas
guardadas.
Las empresas deben tener una contraseña para cada sistema o sitio web y deben
asegurarse de que se cambien con regularidad o al menos una vez al año. Si un sitio
permite contraseñas más largas (20 o más caracteres), los usuarios pueden crear
oraciones de contraseña completas, como “¡Me gustarían unas largas vacaciones!”.
14 https://www.av-test.org/en/antivirus/home-windows/
15 Publicaciones conocidas, como PC Magazine, realizan con frecuencia pruebas en software antivirus y cortafuegos gratuitos e
informan de sus hallazgos al público. Pueden encontrar ejemplos de las revisiones aquí: https://www.pcmag.com/picks/
the-best-free-antivirus-protection
16 https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-41r1.pdf
10 GUÍA DE CIBERSEGURIDAD PARA PEQUEÑAS Y MEDIANAS EMPRESAS
17 https://support.microsoft.com/en-us/windows/turn-on-device-encryption-0c453637-bc88-5f74-5105-741561aae838
18 https://support.apple.com/en-us/HT204837
12 GUÍA DE CIBERSEGURIDAD PARA PEQUEÑAS Y MEDIANAS EMPRESAS
g. Pruebe. Después de implementar los cambios, ejecute pruebas para ver si funcionan
según lo previsto.
MITIGANDO RIESGOS:
SEGURIDAD DEL SITIO WEB
Haga coincidir el nivel de asignación de recursos necesarios para proteger el sitio web
empresarial con el nivel de importancia del sitio web para la empresa y los riesgos
inherentes. Es una buena práctica:
6. Cree un “cyber pen” alrededor de los archivos que cargan los usuarios.
Esto requiere contar con medidas para garantizar que los archivos estén seguros,
incluyendo escáneres antivirus y antimalware de un tipo permitido. Es recomendable
limitar el tipo y el tamaño de los archivos que se aceptan para cargar y tener un
programa que verifique el tipo de archivo y garantice que el archivo se cargue en
una ubicación segura fuera de la carpeta donde se almacena información confidencial
o donde hay acceso a todos los archivos del sitio web.
7. Realice una copia de seguridad periódica del sitio, que incluya todos sus
datos. La frecuencia de las copias de seguridad depende de la importancia de los
datos, pero lo ideal es que las copias de seguridad se realicen a diario. Si es posible,
19 https://www.pcisecuritystandards.org/pdfs/Small_Merchant_Guide_to_Safe_Payments.pdf
20 Empresas como Wix, Squarespace o Weebly han sido reconocidas a nivel mundial por sus productos y servicios. Puede
haber otras empresas nacionales o regionales que puedan ofrecer productos comparables.
21 La denegación de servicio distribuida (DDoS) es una forma de ataque cibernético que abruma a un servidor objetivo con
solicitudes que eventualmente resultan en que ese objetivo rechace las solicitudes de servicio legítimas. Esto termina
deshabilitando el sitio web.
22 https://www.statista.com/statistics/330695/number-of-smartphone-users-worldwide/
23 https://support.apple.com/guide/icloud/erase-a-device-mmfc0ef36f/icloud
24 https://support.google.com/accounts/answer/6160491?hl=en
14 GUÍA DE CIBERSEGURIDAD PARA PEQUEÑAS Y MEDIANAS EMPRESAS
MITIGANDO RIESGOS
ASEGURANDO LOS DISPOSITIVOS MÓVILES
Las empresas pueden mejorar la seguridad de los dispositivos móviles siguiendo prácticas
generales de higiene cibernética (por ejemplo, actualizar aplicaciones y sistemas
operativos, instalar programas de buena reputación, configurar para usar conexiones
seguras, usar redes Wi-Fi confiables, etc.). Además, hay algunas precauciones que se
aplican solo a los teléfonos inteligentes. Las empresas deben:
2. Use and update the manufacturer’s operating system. A menudo, los usuarios
reemplazan el sistema operativo original con uno creado por una comunidad de
desarrolladores. Este proceso se llama “rooting” o “jailbreaking”. Dado que la
seguridad de un sistema operativo rooteado y con jailbreak es difícil de garantizar, esos
dispositivos no deben tener acceso a la red de la empresa ni a datos confidenciales.
PARTE 2: PROTEGIENDO SU EMPRESA 15
4. Esté atento a las aplicaciones y restrinja los datos a los que pueden acceder
las aplicaciones. Los investigadores analizan de forma rutinaria las aplicaciones
en busca de problemas de seguridad, como en el conocido debate reciente que
involucra a TikTok y WeChat.25 Evitar aplicaciones fuera de las tiendas oficiales del
sistema operativo (por ejemplo, Google Play y Apple App Store) y restringir los
datos a los que pueden acceder las aplicaciones después de la instalación son buenas
prácticas de ciberseguridad. Las empresas deben tratar de limitar el acceso de las
aplicaciones a otros recursos, como la ubicación, los contactos, las carpetas de
archivos, la información de otras aplicaciones y la cámara.
5. Desactive las funciones cuando no las utilice. Los teléfonos inteligentes tienen
muchas formas de conectarse, además de las redes celulares, incluyendo Bluetooth,
Wi-Fi y AirDrop. Cada uno de estos son caminos potenciales para un ataque. Los
administradores solo deben activar las funcionalidades necesarias cuando sea necesario.
MITIGANDO RIESGOS:
RESPALDOS DE DATOS
Las empresas deben realizar copias de seguridad de sus datos con frecuencia y,
si es posible, de forma automática. Si la organización no tiene una solución automática,
necesita presupuestar el tiempo para crear de forma manual copias de seguridad
completas. Ese es un factor cuando se considera el nivel de tolerancia a la pérdida de
datos aplicable a una empresa. Los sistemas operativos de Microsoft y Apple, así como
muchos sistemas operativos móviles, ofrecen funciones de copia de seguridad que
pueden utilizarse como punto de partida.
Las copias de seguridad pueden corromperse o perderse, o los medios utilizados para
guardarlas pueden quedar obsoletos, por lo que es aconsejable hacer varias copias
utilizando diferentes medios. Una copia debe mantenerse fuera del sitio para protegerla
de un incidente catastrófico, como un incendio o el derrumbe de un edificio, y todas las
copias deben estar cifradas.
cibernético
En algunos mercados, las compañías de seguros ofrecen pólizas que cubren las pérdidas
resultantes de un ataque cibernético, como una interrupción de la red o una filtración
de datos. El seguro cibernético no debe verse como un reemplazo de una seguridad
cibernética adecuada. Cuando esté disponible, este seguro puede ser una herramienta
valiosa para mitigar daños y fortalecer las defensas cibernéticas, pero no elimina el riesgo
ni cubre todas las consecuencias y costos de los riesgos o incidentes cibernéticos.
Al tomar la decisión de comprar un seguro y de qué tipo, las empresas deben considerar
su perfil de riesgo específico y no lo que tienen otras empresas, incluso si son similares.
Tomemos el ejemplo de una empresa que ofrece una entrega garantizada de productos
a tiempo. Si un ataque cibernético a esa empresa le impide entregar el producto a
tiempo, la empresa tendrá una mayor exposición a la responsabilidad que sus competidores.
26 Cuando hay un incidente, incluso si una empresa realiza copias de seguridad periódicas, siempre pierde algunos de sus datos.
Si se realiza una copia de seguridad diariamente al cierre de operaciones del viernes y se produce un ataque al final del lunes,
la pérdida sería de 72 horas.
27 https://blogs.gartner.com/andrew-lerner/2014/07/16/the-cost-of-downtime/
28 PC Magazine revisa regularmente los servicios de respaldo y los califica de acuerdo con diferentes puntos de referencia
https://www.pcmag.com/picks/the-best-online-backup-services
18 GUÍA DE CIBERSEGURIDAD PARA PEQUEÑAS Y MEDIANAS EMPRESAS
• Un incidente que afecte el negocio o los datos puede ocurrir dentro del sistema
empresarial, en un sistema de terceros o mientras los datos están en tránsito. Es
posible que los datos en los sistemas de proveedores externos no estén cubiertos
por una póliza estándar.
• A menudo, las partes extranjeras originan ataques. Esto puede incluir grupos
patrocinados por el gobierno o deshonestos con el objetivo de causar un caos y una
interrupción general, no necesariamente para dañar una empresa en particular. Las
empresas deben entender cuáles incidentes, incluyendo los “desastres naturales”,
están cubiertos y no cubiertos por la póliza.
• Cuando los datos personales se ven comprometidos, las leyes pueden exigir que la
empresa proporcione una notificación inmediata a las personas y empresas afectadas,
además del reembolso del dinero perdido y los costos incurridos, además de otra
restitución. Las organizaciones deben verificar si estos requisitos están cubiertos
por la política.
• Las compañías de seguros tienen pautas diferentes sobre ransomware u otros pagos
de extorsión. Las organizaciones deben comprender de antemano la política y los
procedimientos requeridos, de manera especial qué hacer y qué no hacer en estos
casos. Las compañías de seguros pueden definir de diferentes maneras los términos
relacionados con la ciberseguridad. Las empresas deben comprender lo que cada
empresa quiere decir con los términos que utiliza.
• Hay elementos o riesgos que los seguros cibernéticos no cubrirán, como posibles
pérdidas futuras o el costo de mejorar los sistemas de seguridad. Una organización
debe tener en cuenta que estos gastos deben cubrirse en caso de incidente.
PARTE 2: PROTEGIENDO SU EMPRESA 19
Lo más importante es conocer los riesgos para la empresa, qué se puede hacer para
reducir el riesgo inmediato y cómo planificar para alcanzar los objetivos de reducción de
riesgos dentro de las limitaciones de la empresa. Para reiterar, el cibernético es otro
riesgo operativo que puede tener consecuencias importantes para una empresa y sus
clientes. La conciencia de ciberseguridad puede poner a una empresa en el camino para
mejorar. La transformación no tiene por qué ocurrir de la noche a la mañana. Se puede
planificar para que las metas incrementales se cumplan de manera periódica con el
tiempo. Lo importante es establecer una cultura empresarial que incluya la conciencia de
ciberseguridad, saber qué está haciendo la empresa actualmente para abordar el riesgo
cibernético y qué se debe hacer para mejorar la ciberseguridad de la organización.
20 GUÍA DE CIBERSEGURIDAD PARA PEQUEÑAS Y MEDIANAS EMPRESAS
SI OCURRE UN INCIDENTE DE
CIBERSEGURIDAD
Una empresa siempre debe responder con rapidez en caso de un ataque cibernético u
otro incidente de ciberseguridad. Una reacción rápida puede ser la diferencia entre un CUANDO
daño menor o una interrupción importante del negocio. Primero, un administrador debe OCURRE UN
notificar a las personas adecuadas. Esto podría incluir personal interno con roles específi- CIBERATAQUE
cos y consultores externos identificados que pueden realizar servicios especializados que
Los admin deben tener una
pudiesen ser necesarios, como asegurar operaciones, detener una violación de datos,
lista impresa de contactos de
realizar análisis forense de TI, corregir vulnerabilidades, elaborar memorandos legales emergencia si se presentan
para reportes y comunicaciones a las autoridades correspondientes y partes interesadas, incidentes de ciberseguridad.
como clientes y proveedores. Deben determinar las obligaciones legales necesarias en Deben asegurarse de que
función del tipo de incidente. Los gobiernos o entidades gubernamentales pueden estos contactos no dependan
regular la notificación de infracciones de seguridad de manera diferente, lo que es del correo electrónico de la
empresa o de la funcionalidad
particularmente cierto cuando se trata de datos personales.
del servicio telefónico.
Además, el admin debe
revisar que cada persona
Reanudar Operaciones conozca sus responsabili-
dades en caso de un inciden-
En un evento cibernético, puede ser necesario desconectar computadoras y equipos de te cibernético.
red para evitar un mayor acceso a los sistemas empresariales y evitar la propagación
Si corresponde, el adminis-
de malware a equipos no infectados.
trador puede comunicarse
con el procesador de pagos
Las empresas deben seguir los consejos del profesional de TI de la empresa o del de la empresa y recopilar
proveedor de antivirus y/o copia de seguridad. Las copias de seguridad completas del cualquier información que
sistema, como se mencionó anteriormente, son a menudo la forma más fácil y limpia de pueda ser necesaria para la
restaurar los sistemas a su estado anterior, no afectado, y de reanudar las operaciones. recuperación de incidentes.
Las organizaciones deben asegurarse de identificar la fuente del ataque para que la
misma vulnerabilidad no se vuelva a explotar, dando como resultado otro compromiso
de los sistemas empresariales.
PREPARACIÓN
Los pasos exactos para restaurar las operaciones dependen de la naturaleza del incidente, PARA UN
la empresa y la información involucrada. CIBERATAQUE
Las organizaciones pueden
simular un incidente
Gestionar las Comunicaciones de forma efectiva cibernético para probar el
tiempo de respuesta de la
Después de que una empresa haya sido objeto de un ciberataque, la estrategia de empresa y si cada empleado
comunicación debe cambiar al modo de emergencia. Lo que se dice de manera pública conoce su función. Utilice
en el momento es fundamental para sobrevivir a un ataque, mantener la confianza y la copias de seguridad para
practicar reanudación de
reputación empresarial, y minimizar la responsabilidad legal. El Instituto de Ingeniería de
operaciones.
Software de la Universidad Carnegie Mellon ha desarrollado una Guía para Comunicación
Efectiva de Gestión de Incidentes29, que establece cómo abordar las comunicaciones
29 https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=651816
22 GUÍA DE CIBERSEGURIDAD PARA PEQUEÑAS Y MEDIANAS EMPRESAS
durante un incidente. Esa guía también hace referencia a las comunicaciones al Marco de
INSTITUTO Seguridad Cibernética (CSF, por sus siglas en inglés) del Instituto Nacional de Estándares
NACIONAL DE y Tecnología (NIST, por sus siglas en inglés), lo que facilita su integración en otros
NORMAS Y esfuerzos de comunicación.
TECNOLOGÍA
Las empresas deben desarrollar un plan de comunicaciones siguiendo la guía y las diez
El NIST elabora normas de
consideraciones principales de Carnegie Mellon para una Comunicación Efectiva de
ciberseguridad, directrices,
mejores prácticas y otros Gestión de Incidentes.30 Las organizaciones deben:
recursos. Es un gran recurso 1. Considerar la comunicación como una iniciativa estratégica.
tanto para las grandes como
para las pequeñas empresas. 2. Tener un plan de comunicación reactivo en marcha.
• Rincón de la
ciberseguridad para 3. Considerar los mensajes de la empresa, la reputación y las partes interesadas como
pequeñas empresas factores críticos en el desarrollo de planes de comunicación.
• Guía de inicio rápido del 4. En el plan de comunicación, definir y determinar claramente los siguientes
marco de ciberseguridad
componentes clave:
• Guías de ciberseguridad
de uso general – Establecer el propósito;
• Guía de respuesta a un – Determinar la audiencia;
incidente cibernético – Definir roles y responsabilidades;
– Comprender y estandarizar los mensajes;
– Determinar y establecer canales de comunicación; y
– Determinar los métodos de distribución de mensajes.
Cuando ocurren delitos relacionados con Internet, por ejemplo, hackeos, ransomware,
etc., actuar de forma rápida puede ayudar a minimizar el daño a la empresa y limitar la
responsabilidad legal si hay problemas de cumplimiento. Cada jurisdicción tiene requisitos
de reportes y plazos específicos, por lo que las empresas deben consultar con las
autoridades locales antes de que ocurra un incidente para saber qué requisitos aplican a
la empresa. Esto incluye requisitos legales específicos y recomendaciones sobre cuándo
involucrar a las autoridades si hubiesen amenazas o demandas de rescate. Los delitos
cibernéticos pueden investigarse y procesarse de manera diferente a otros delitos, por lo
que las organizaciones deben notificar a todas las autoridades correspondientes que
PARTE 2: PROTEGIENDO SU EMPRESA 23
supervisarían el incidente. Es mejor conocer esta información con anticipación para que
el personal clave conozca los requisitos para presentar reportes.
• Cualquier otra información que pueda ser relevante para el hackeo reportado,
incluyendo nombre e información de contacto de las empresas y las personas
afectadas por la exposición de sus datos.
Los administradores deben ser conscientes de que los atacantes utilizan técnicas que les
permiten penetrar y permanecer en una red sin ser detectados hasta que lanzan un
ataque. Por lo tanto, puede haber un lapso de tiempo entre la infracción inicial y las
actividades ilegales que se llevan a cabo. Por ejemplo, se puede violar el acceso a los
datos comerciales más críticos de una red, pero es posible que la empresa no se entere
hasta más tarde, cuando los clientes llamen para reportar cargos no autorizados en
sus tarjetas de crédito. Las organizaciones deben asegurarse de documentar todas las
circunstancias y sus plazos para obtener un registro completo del incidente. Esto podría
incluir inicios de sesión en la red, registros de tráfico, direcciones de Protocolo de
Internet (IP, por sus siglas en inglés), sitios web involucrados, órdenes electrónicas para
realizar transferencias, etc. Un profesional de TI puede ayudar a recopilar toda esta
información. En caso de duda, las empresas deben agregar la información al registro
de incidentes. La información que en apariencia no tiene importancia podría ser crucial,
especialmente cuando se consideran todas las circunstancias. Si se contrata a un
profesional de TI, también debe verificar que el atacante ya no esté presente en la red.
El profesional de TI debe actuar de enlace con las autoridades con respecto a la
investigación del incidente y la conservación de la evidencia.
Los ataques recientes han seguido un modelo de “hub-and-spoke”, ya que los atacantes
violan los sistemas desarrollados por los proveedores para atacar a sus clientes. Si el
incidente involucra a proveedores de servicios, como el procesador de pagos comerciales,
para realizar pagos no autorizados o la instalación de un proveedor donde se almacenan
datos, las empresas deben reportarlos y trabajar juntos en consulta con las autoridades
para mitigar el daño y acelerar la recuperación. De igual manera, una empresa podría ser
parte de las cadenas de suministro y el incidente cibernético podría haber expuesto la
cadena en su totalidad o en parte. Las organizaciones deben notificar a los socios
inferiores y superiores sobre el incidente, y deben compartir la información relevante.
30 https://insights.sei.cmu.edu/blog/top-10-considerations-for-effective-incident-management-communications/
24 GUÍA DE CIBERSEGURIDAD PARA PEQUEÑAS Y MEDIANAS EMPRESAS
Los administradores deben discutir estos planes con los proveedores de servicios y
CREAR COMUNI- proveedores como parte de la preparación antes de un ataque para que todos conozcan
CACIONES el proceso para reportar un incidente, la información necesaria para obtener soporte y
PROACTIVAS cómo restaurar las operaciones. Es necesario documentar ese proceso como parte de
la estrategia de ciberseguridad de la empresa.
Las empresas deben
redactar la plantilla del
mensaje inicial a los consum- NOTIFICAR A LOS CLIENTES
idores/clientes y provee-
La divulgación oportuna y sincera, además de seguir el asesoramiento de expertos y
dores en caso de un ataque
de ciberseguridad que coordinarse con las autoridades, puede ayudar a asegurar a todos los afectados que sus
exponga sus datos. Deben intereses están siendo protegidos y que los impactos inmediatos y a largo plazo del
adaptar este mensaje a los incidente se están minimizando.
tipos de datos de clientes y
proveedores recopilados y Las notificaciones generalmente deben cumplir con los requisitos legales o reglamentarios.
almacenados en la empresa
Al notificar por primera vez a las autoridades, las empresas deben preguntarse si las
y garantizar que cumpla con
los requisitos legales leyes o reglamentos exigen una forma específica de notificar a las partes afectadas, las
aplicables. características de esas notificaciones y el plazo para hacerlo. Es importante que las
interacciones no comprometan las investigaciones de las autoridades, por lo que su
HAGA COPIAS participación en el momento y el contenido de las comunicaciones de la organización
IMPRESAS es crucial.
Usando la información
Las empresas deben considerar incluir la siguiente información al desarrollar
compilada después esta guía,
las organizaciones deben
comunicaciones:
preparar una carpeta de • Una explicación simple y veraz del incidente;
emergencia de seguridad
cibernética que contenga • Una explicación de los datos que se vieron comprometidos y cómo la violación
copias impresas de todos puede afectar a los clientes y proveedores ahora y en el futuro previsible;
los documentos preparados
para la mitigación y eventu- • Referencia a leyes o reglamentos aplicables y agencias involucradas en el caso;
alidades cibernéticas. Deben
asegurarse de que se pueda • Qué acciones se están tomando para recuperarse del incidente y para proteger
acceder a la carpeta si los los intereses de los clientes y proveedores;
sistemas informáticos no se
pueden utilizar en caso de • Asesoramiento sobre lo que los clientes y proveedores pueden hacer para
un incidente cibernético. protegerse si sus datos se han visto comprometidos o se han utilizado de
manera indebida;
• Medios por los cuales los clientes y proveedores se mantendrán informados de los
desarrollos (por ejemplo, vía correo electrónico, en el sitio web de la empresa, etc.),
siguiendo los requisitos legales aplicables.
REDES SOCIALES
Las organizaciones deben asumir que el incidente se compartirá en las redes sociales.
El plan de comunicaciones debe incluir un componente sobre cómo utilizar las redes
sociales de manera efectiva. Los mismos puntos descritos anteriormente se aplican a las
comunicaciones en los medios sociales, pero es probable que todo lo que se publique en
las redes sociales se haga público, más allá del grupo de clientes o proveedores afectados.
PARTE 2: PROTEGIENDO SU EMPRESA 25
CONCLUSIÓN
Los pasos descritos en esta guía por lo general no requieren un alto nivel de experiencia
o un gran gasto de fondos, pero sí necesitan reflexión y planificación para ponerlos en
práctica. Si bien estas son acciones básicas y de bajo costo que una pequeña empresa
puede implementar, los pasos se pueden integrar con estrategias más sofisticadas a
medida que la organización madura en su comprensión de cuestiones cibernéticas y
a medida que la empresa crece. Conforme la tecnología cibernética se desarrolle y
evolucione, surgirán nuevas amenazas y se tendrán disponibles nuevos recursos para las
empresas. Mientras tanto, los aspectos cubiertos en esta guía brindan un enfoque básico
sólido y un plan para desarrollar ciberseguridad y resiliencia en una pequeña empresa.