GUÍA DE CIBERSEGURIDAD PARA LA PEQUEÑA EMPRESA
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
GUÍA DE CIBERSEGURIDAD PARA LA PEQUEÑA EMPRESA
Guías suplementarias
Guías
suplementarias
Encontrará más medidas
de ciberseguridad para
ayudarle a mantener su
empresa segura, en nuestro
salón de Ciberseguridad
para la pequeña empresa
en cyber.gov.au
Step-by-Step Guide
Backing Up & Restoring
Your Computer
(For Mac)
GUÍAS PASO POR PASO
cyber.gov.au
Quick Wins Quick Wins Quick Wins
for your End of Support for your Portable Devices for your Website
Every software product has a lifecycle. Knowing key dates in a program’s Mobile technology is an essential part of modern business. While these devices Small businesses account for over 95 per cent of all businesses in Australia.
lifecycle can help you make informed decisions about the products your small may be small, the cyber threats associated with transporting them outside Whilst 72 per cent of small businesses have a website, only 36% check for updates
business relies on every day. This guide helps small businesses understand of the office are huge. This guide helps small businesses understand what every week, with websites increasingly being targeted by cyber criminals.
what end of support is, why it is important to be prepared and when to update, represents a portable device, why it is important to manage their usage and These three quick wins will help small businesses with websites protect their
GUÍAS QUICK WINS
upgrade or make other changes. who is responsible for keeping data secure. money, data and reputation.
cyber.gov.au cyber.gov.au cyber.gov.au
2
Guía de ciberseguridad para la pequeña empresa
Índice
PREFACIO ������������������������������������������������������������������������������������������������������������������������������������������� 4.
CIBER PELIGROS: ÁREAS CLAVE �������������������������������������������������������������������������������� 5.
Software malintencionado (Malware)���������������������������������������������������������������������� 6.
Mensajes fraudulentos (Phishing)����������������������������������������������������������������������������������� 7.
Ransomware�������������������������������������������������������������������������������������������������������������������������������������� 8.
CONSIDERACIONES DE SOFTWARE: ÁREAS CLAVE ������������������������������ 9.
Actualizaciones automáticas�������������������������������������������������������������������������������������������� 10.
Copias de seguridad automáticas�������������������������������������������������������������������������������� 11.
Autenticación multifactorial���������������������������������������������������������������������������������������������� 12.
LAS PERSONAS Y LOS PROCEDIMIENTOS: ÁREAS CLAVE ����������� 13.
Control del acceso���������������������������������������������������������������������������������������������������������������������� 14.
Frases de contraseña���������������������������������������������������������������������������������������������������������������� 15.
Formación del empleado����������������������������������������������������������������������������������������������������� 16.
LISTA DE VERIFICACIÓN RESUMIDA�������������������������������������������������������������������� 17.
GLOSARIO���������������������������������������������������������������������������������������������������������������������������������������� 18.
cyber.gov.au 3Guía de ciberseguridad para la pequeña empresa
Prefacio
Esta guía tiene por objeto ayudar a las pequeñas empresas a protegerse de los
incidentes de ciberseguridad más comunes.
Los incidentes de ciberseguridad pueden tener Nuestra Guía de ciberseguridad para la pequeña
un impacto devastador en la pequeña empresa. empresa fue producida especialmente para que
las pequeñas empresas comprendan, tomen
Desafortunadamente, en el Centro de
medidas y aumenten su resiliencia en materia de
Ciberseguridad de Australia (ACSC) vemos
ciberseguridad ante la evolución constante de
todos los días los efectos de los incidentes de
los peligros para la ciberseguridad. El lenguaje
ciberseguridad en las personas, las pequeñas
es claro, las medidas son simples y la orientación
empresas y las grandes compañías.
está adaptada a la pequeña empresa.
Reconocemos que muchos propietarios y
Si desea un panorama general de los
operadores de pequeñas empresas no tienen
fundamentos de la ciberseguridad, esta Guía
el tiempo o los recursos para dedicarle a la
es un lugar excelente para empezar. Si desea
ciberseguridad. No obstante, hay unas medidas
mejorar su ciberseguridad aún más, encontrará
simples que la pequeña empresa puede tomar
más información y asesoramiento en la página
para ayudarla a prevenir los incidentes de
web del ACSC en: cyber.gov.au
ciberseguridad comunes.
El ACSC vela
por que Australia
sea el lugar más seguro
donde conectarse en línea.
El Centro Australiano de
Ciberseguridad (ACSC) forma
parte de la Dirección Australiana
de Señales (Australian Signals
Directorate, ASD), y proporciona
asesoramiento, asistencia y
respuestas operativas para prevenir,
detectar y responder a los peligros
cibernéticos para Australia.
4Guía de ciberseguridad para la pequeña empresa
Ciber peligros:
Áreas clave
Para la pequeña empresa, incluso el
incidente más pequeño de ciberseguridad
puede tener un impacto devastador.
Esta sección tiene por objeto ayudar a la pequeña
empresa a mantenerse alerta y preparada. Identifica
PROTECCIÓN
de su dinero, sus datos
y explica los tipos más comunes de ciber peligros y lo
que puede hacer para proteger su empresa. y su reputación
cyber.gov.au 5Guía de ciberseguridad para la pequeña empresa
Software
malintencionado
(Malware)
¿Qué? Software sin autorización
diseñado para causar daño
El malware es un término genérico que describe el
software malintencionado e incluye el ransomware,
los virus, el software espía y los troyanos.
¿Por qué? Perturbar. Dañar. Engañar.
El malware les da a los delincuentes una manera de
acceder a información importante como los números
y contraseñas de las tarjetas bancarias o de crédito.
También puede tomar control o espiar en la computadora
de un usuario. Los delincuentes optan por utilizar este acceso
y estos datos para:
• Fraude
•R
obo de identidad
• Perturbación del negocio
• Robo de datos confidenciales o de propiedad intelectual
• Desvío de recursos informáticos para actividades
delictivas generales
¿Quién? Cualquiera, en cualquier lado
Los creadores de malware pueden estar en cualquier
parte del mundo.
Todo lo que necesitan es una computadora, destrezas técnicas
y malas intenciones. Los delincuentes pueden obtener
herramientas baratas para usar malware contra usted.
Los delincuentes despliegan un sistema amplio y persiguen
a los más vulnerables. Ponga en práctica medidas de
ciberseguridad y manténgase alerta a los peligros para
proteger su empresa y no ser presa fácil.
PROTEGERSE Actualice Haga copias Capacite a su personal
DEL automáticamente de seguridad de sus para que pueda
MALWARE su sistema operativo, datos importantes con reconocer los enlaces
su software y sus regularidad y archivos adjuntos
aplicaciones sospechosos
6Guía de ciberseguridad para la pequeña empresa
Mensajes fraudulentos
(Phishing)
¿Qué? E-mails, mensajes o ¿Quién? Empresas australianas
llamadas “dudosas” que tienen
Los mensajes de estafa se pueden enviar a
por objeto engañar a quien miles de personas, o dirigirse a una persona en
los recibe para que entregue particular.
dinero y datos No obstante, los delincuentes usan técnicas
comunes para tratar de engañar al personal de su
Los delincuentes suelen usar e-mails, medios empresa. Sus mensajes pueden incluir los siguientes:
sociales, llamadas telefónicas o mensajes de
texto para intentar estafar a las empresas • Autoridad: ¿Dice el mensaje que viene de un
australianas. funcionario oficial o de una persona de cargo
superior de la empresa?
Estos delincuentes podrían aparentar ser una
persona u organización que usted cree que • Urgencia: ¿Le dicen que hay un problema, o que
conoce, o que piensa que es de confianza. usted tiene un tiempo limitado para responder
o pagar?
Sus mensajes y llamadas intentan engañar
a las empresas para que hagan ciertas cosas, • Emoción: ¿Despierta el mensaje en usted
por ejemplo: sensaciones de pánico, temor, esperanza
o curiosidad?
•P
agar facturas fraudulentas o cambiar los
datos de pago de las facturas legítimas • Escasez: ¿Le ofrece el mensaje algo que escasea,
o le promete una buena oferta?
•R
evelar los datos de la cuenta de banco,
contraseñas y números de tarjeta de crédito • Actualidades: ¿Se refiere el mensaje a una
(a veces se denominan “estafas de phishing” en noticia de actualidad o a un evento importante?
que los delincuentes pueden imitar las marcas
y los logotipos de bancos y páginas web para
parecer legítimos)
•D
arle acceso remoto a su computadora
o servidor
•A
brir un archivo adjunto que podría contener
malware SCAM@LINK.COM
¿SE SIENTE
•C
omprar tarjetas de regalo y enviarlas al INDECISO?
estafador
¿Dónde? E-mails, medios CARD
sociales, llamadas telefónicas, 123 4
56 78
mensajes de texto Scam
Si usted piensa Emails
que, en realidad, un mensaje
Las estafas de phishing no se limitan a los e-mails. o llamada podría ser de una organización que le
inspira confianza (como su banco o un proveedor)
Son cada vez más sofisticadas y difíciles de detectar. busque un método de contacto en el que confíe.
Sea cauteloso ante los pedidos urgentes de Busque en la página web oficial o llame al
dinero, de cambios a cuentas bancarias, archivos número de teléfono publicado. No use los
enlaces o datos de contacto contenidos en el
adjuntos inesperados y pedidos de comprobación mensaje que recibió o que le dieron por teléfono,
o confirmación de datos de conexión. ya que podrían ser fraudulentos.
Visite scamwatch.gov.au para denunciar
una estafa.
cyber.gov.au 7Guía de ciberseguridad para la pequeña empresa
Ransomware NO PAGUE JAMÁS UN RESCATE
El pago de un rescate no garantiza el
restablecimiento de los archivos de la
víctima, y tampoco impide la publicación de
datos robados o su venta subsiguiente para
¿Qué? Un tipo de software uso en otros delitos. También aumenta las
probabilidades de nuevos ataques a la víctima.
malintencionado, o malware, Si usted es víctima de un incidente de
que traba su computadora o sus ransomware y necesita apoyo, llame al
número de ayuda del ACSC las 24 horas,
archivos hasta que se paga un todos los días del año, al 1300 CYBER1
rescate (1300 292 371).
Independientemente de la decisión de pagar
El ransomware traba o codifica sus archivos de modo un rescate, alentamos a las víctimas a que
que usted ya no pueda usarlos ni tener acceso a ellos. denuncien los incidentes de ransomware
A veces puede incluso impedir el funcionamiento de al ACSC en cyber.gov.au. Al compartir
información sobre los incidentes se ayuda
sus dispositivos. El ransomware puede infectar sus a proteger a otras empresas australianas.
dispositivos de la misma manera que otros softwares
maliciosos. Por ejemplo:
• Visitar páginas web inseguras o sospechosas
•A
brir enlaces, e-mails o archivos de fuentes
desconocidas $
JETA
•T
ener poca seguridad en su red o en sus dispositivos TAR
78
(incluso los servidores) 123
456
¿Por qué? Dinero
El ransomware ofrece al ciberdelincuente un ingreso
de poco riesgo y muchas ganancias. Su desarrollo
y distribución son fáciles. Los rescates se pagan
generalmente por medio de una moneda digital en
línea o en criptomonedas como Bitcoin, cuyo rastreo
es muy difícil. Además, algo que está a favor de los
ciberdelincuentes, es que la mayoría de las pequeñas
empresas no están preparadas para afrontar un
ataque de ransomware.
¿Quién? Las pequeñas, PREVENGA Y RECUPÉRESE
medianas y grandes empresas DEL RANSOMWARE
Las pequeñas empresas pueden ser especialmente Haga copias de seguridad regularmente de sus
vulnerables pues es menos probable que implementen datos importantes
medidas de ciberseguridad que podrían ayudarles a Actualice automáticamente sus sistemas
prevenir y recuperarse de un ataque de ransomware. operativos, software y aplicaciones
Si fuera posible, exija autenticación multifactorial
para el acceso a los servicios (página 12)
Haga una auditoría y aumente la seguridad
de sus dispositivos (incluidos los servidores
si los tiene) y cualquier servicio expuesto a
internet que tenga en su red (escritorio remoto,
archivos compartidos, webmail). Consulte a un
profesional de informática si no estuviera seguro.
8Guía de ciberseguridad para la pequeña empresa
Consideraciones
de software:
Áreas clave
La gestión de su software, sus datos y cuentas
en línea puede aumentar drásticamente la
protección de su empresa contra los tipos más
comunes de ciber peligros.
Por ejemplo, su sistema operativo es la pieza más
importante de software de su computadora.
PROTECCIÓN
de su dinero, sus datos
Gestiona el equipo de su computadora y todos los
programas y, por lo tanto, debe ser actualizado y su reputación
regularmente para garantizar que usted siempre use
la versión más segura.
Mejore la resiliencia, manténgase informado y seguro
con estas consideraciones de software para la
pequeña empresa.
cyber.gov.au 9Guía de ciberseguridad para la pequeña empresa
Actualizaciones automáticas
¿Qué? Actualizaciones
de software
La actualización es una versión mejorada del
software (programas, aplicaciones y sistemas
operativos) que usted tiene instalado en sus
servidores, computadoras y dispositivos móviles.
La actualización automática es un sistema
predeterminado o de “seleccionar y olvidar”
que actualiza el software tan pronto como una ACTUALIZACIONES
actualización esté disponible. AUTOMÁTICAS
¿Por qué? Seguridad
•M
antener su sistema operativo y sus aplicaciones
actualizadas es una de las mejores formas de
protegerse de los incidentes de ciberseguridad
• L a actualización periódica de su software reduce
la probabilidad de que un ciberdelincuente use
una debilidad conocida para ejecutar malware
o piratear su dispositivo
• Un ahorro de tiempo y preocupación, las
actualizaciones automáticas son una parte importante
de mantener la seguridad de sus dispositivos y datos
¿Cuándo? Hoy y todos los días
• Active las actualizaciones automáticas,
especialmente para los sistemas operativos NOTA:
•C
ompruebe regularmente si hay actualizaciones Si su equipo o software es demasiado viejo,
es posible que no pueda actualizarlo y
si las actualizaciones automáticas no están disponibles esto dejaría a su empresa en una situación
• Si recibe instrucciones de actualizar su sistema vulnerable a los problemas de seguridad.
operativo u otro software, debería instalar la El ACSC recomienda modernizar su dispositivo
actualización cuanto antes o software cuanto antes.
A partir del año 2020, Windows 7, Microsoft
• Elija una hora conveniente para las Office 2010 y Windows 98 ya no son seguros por
actualizaciones automáticas para evitar las haber llegado al fin de apoyo del fabricante.
perturbaciones al funcionamiento habitual de la Para obtener más información, lea la guía
empresa Quick Wins del ACSC donde encontrará
los datos de Fin de apoyo disponibles
• S i usted usa software antivirus, asegúrese de que en cyber.gov.au
las actualizaciones automáticas estén activadas
10Guía de ciberseguridad para la pequeña empresa
Copias de seguridad automáticas
¿Qué? Copias de seguridad de ¿Cuándo? Hoy y todos los días
los datos
• Elija un sistema de copias de seguridad que
La copia de seguridad es una copia de la sea idóneo para su empresa. Reflexione sobre
información más importante de su empresa, p.ej. lo que puede permitirse perder en el peor de
los datos de sus clientes y los registros financieros. los casos, para orientarse con respecto a los
Se la puede guardar en un dispositivo de requisitos p.ej. la frecuencia con que hará copias
almacenamiento externo o en la nube. de seguridad de sus datos
La copia de seguridad automática es un • Compruebe sus copias de seguridad
sistema predeterminado de “seleccionar y olvidar” regularmente y para ello intente restablecer
que hace una copia de seguridad de sus datos los datos
automáticamente, sin intervención personal.
• Siempre tenga por lo menos una copia de
Desconecte y extraiga cuidadosamente el
dispositivo de almacenamiento de su copia seguridad desconectada de su dispositivo,
de seguridad después de cada vez que haga de preferencia en un lugar fuera de la empresa
estas copias, para que la copia esté protegida en caso de catástrofe natural o de robo
durante un incidente cibernético. • No conecte sus dispositivos de copia de
seguridad a dispositivos infectados con
ransomware o virus
¿Por qué? Simple recuperación
• L as copias de seguridad son una medida de
precaución, para tener acceso a sus datos en
caso de que se pierdan, se los roben o se dañen
• L e permiten a su empresa recuperarse de un
ataque cibernético (como ransomware) y reducen Copia de seguridad finalizada
al máximo el tiempo muerto
•P
rotegen la credibilidad de su empresa
y ayudan a cumplimentar las obligaciones
jurídicas^
^Ciertas industrias tienen la obligación de llevar registros por un tiempo determinado.
Infórmese sobre sus requisitos de conservación de datos. cyber.gov.au 11Guía de ciberseguridad para la pequeña empresa
Autenticación multifactorial
¿Qué? Una medida de seguridad
que requiere un mínimo de dos
pruebas de identidad para dar
acceso
Normalmente, la autenticación multifactorial
(Multi-factor authentication, MFA) requiere una
combinación de los siguientes:
•a
lgo que usted conoce (contraseña/frase de
contraseña, PIN, pregunta secreta)
• algo que usted tiene (tarjeta inteligente o smartcard,
testigo físico, aplicación de autenticación)
• algo que usted es (huella digital u otro dato biométrico).
¿Por qué? Seguridad muchísimo
más vigorosa
La autenticación multifactorial es una de las
formas más eficaces de protegerse del acceso sin
autorización a su valiosa información y a sus cuentas.
Cuando hay capas múltiples, los ciberdelincuentes
tienen más dificultades para conseguir acceso a su
empresa. Puede que los delincuentes logren robarle
una prueba de identidad, como su contraseña, pero
todavía tendrán que obtener y usar las otras pruebas
de identidad para acceder a su cuenta.
¿Dónde? Accediendo a cuentas
importantes
Las pequeñas empresas deberían implementar
la autenticación multifactorial en las cuentas
importantes cuando sea posible, y darles prioridad
a las cuentas financieras y de correo electrónico.
Algunas opciones de autenticación multifactorial
incluyen las siguientes, pero no se limitan a ellas:
• Testigo físico
• Pin al azar
• Datos biométricos/huella digital
• Aplicación de autenticación
• Correo electrónico
• SMS
12Guía de ciberseguridad para la pequeña empresa
Las personas
y los procedimientos:
Áreas clave
Independientemente de su tamaño, las
empresas deben ser conscientes de las
medidas de ciberseguridad y aplicarlas
deliberadamente a todo nivel.
Sus procesos internos y su fuerza laboral
constituyen su última línea de defensa, y una de las
PROTECCIÓN
de su dinero, sus datos
más importantes, en la protección de su empresa
contra los peligros de ciberseguridad. y su reputación
En vista de que las pequeñas empresas suelen
carecer de los recursos para emplear personal
dedicado específicamente a la informática,
esta sección examina cómo usted puede gestionar
el acceso a la información en su empresa, mantener
la seguridad de sus cuentas comerciales y capacitar
a su personal sobre cómo prevenir, reconocer
y denunciar los incidentes de ciberseguridad.
cyber.gov.au 13Guía de ciberseguridad para la pequeña empresa
Acceso y control
¿Qué? Gestión de quién puede ¿Quién? Principio de mínimo
acceder a qué en el entorno privilegio
informático de su empresa Según la naturaleza de su empresa, el principio
El control del acceso es una manera de limitar el de mínimo privilegio o de menor autoridad es
acceso a un sistema informático. Ayuda a proteger el enfoque más seguro para la mayoría de las
la empresa mediante la restricción del acceso a: pequeñas empresas.
Les otorga a los usuarios los permisos de acceso
• Archivos y carpetas • Casillas de correo mínimos que necesitan para hacer su trabajo.
• Aplicaciones • Cuentas en línea Esto también reduce el riesgo de que un “iniciado”
• Bases de datos • Redes ponga en peligro la empresa, accidental o
maliciosamente.
¿Por qué? Para reducir al
máximo el riesgo de acceso
sin autorización a información
importante
En general, el personal no requiere acceso a todos
los datos, cuentas y sistemas de la empresa para
poder hacer su trabajo.
En lo posible, dicho acceso debería restringirse,
de modo que los empleados y los proveedores
externos no pongan en peligro su negocio,
accidental o maliciosamente.
Los sistemas y procedimientos de control del
acceso le permiten al propietario u operador de
la empresa:
•D
ecidir quién debería tener acceso a ciertos
archivos, bases de datos y casillas de correo PRINCIPIOS DE CONTROL DEL ACCESO
• Controlar cualquier acceso que se le permita
a proveedores externos p.ej. contadores, Haga la transición de sus empleados de las
cuentas de “Administrador” a cuentas estándar
proveedores de alojamiento de sitios web en los dispositivos de la empresa
• Restringir quién tiene acceso a cuentas p.ej. Examine los permisos de acceso de los archivos
proveedores de páginas web y medios sociales y carpetas digitales
• Reducir los daños eventuales si la seguridad de No permita que los empleados usen las mismas
una cuenta, dispositivo o sistema se ve afectada cuentas, contraseñas o frases de contraseña
Recuerde que debe revocar el acceso, suprimir
•R
evocar los derechos de acceso a sistemas cuentas y/o cambiar las frases de contraseña
y datos cuando un empleado cambia de puesto o las contraseñas cuando un empleado deja la
o deja la empresa empresa o si cambia de proveedores
14Guía de ciberseguridad para la pequeña empresa
Frases de contraseña
¿Qué? Una versión más segura ¿Dónde? Sus cuentas
de la contraseña y dispositivos
La autenticación multifactorial (MFA, vea la Si no puede usar autenticación multifactorial
página 12) es una de las formas más eficaces de en una cuenta o dispositivo, es importante que
proteger sus cuentas contra los ciberdelincuentes. use una frase de contraseña para mantener la
No obstante, si esta autenticación no está seguridad. En estas situaciones, una frase de
disponible, debería usar una frase de contraseña contraseña puede ser el único obstáculo entre los
para proteger su cuenta. adversarios y su valiosa información.
Las frases de contraseña usan cuatro o más Recuerde que sus frases de contraseña deben
palabras al azar como contraseña. Por ejemplo, ser únicas, pues si usa las mismas le facilita al
“cristal cebolla arcilla rosquita”. ciberdelincuente la piratería de varias cuentas.
Para obtener más asesoramiento sobre la
¿Por qué? Segura y fácil creación de frases de contraseña, vea la guía
del ACSC Creación de frases de contraseña
de recordar resistentes, disponible en cyber.gov.au
Los ciberdelincuentes tienen dificultades en
adivinar las frases de contraseña, pero usted las
recordará fácilmente.
Cree frases de contraseña que sean:
• Largas: Cuanto más larga la frase de
contraseña, mejor. Use por lo menos 14
caracteres.
• Imprevisibles: use una mezcla de palabras al
azar, no relacionadas. No use frases famosas,
citas conocidas o la letra de una canción.
• Únicas: No use las mismas frases de contraseña
en varias cuentas.
Si una página o un servicio web requiere una
contraseña compleja que incluya símbolos,
mayúsculas o números, usted puede incluirlos en
su frase de contraseña. De todos modos, su frase
de contraseña deberá ser larga, imprevisible y
única para que sea lo más segura posible.
Los gerentes de contraseñas (que también se usan para guardar las frases de
contraseña) facilitan los buenos hábitos de ciberseguridad. Tener una frase de
PIENSE EN USAR contraseña única para cada cuenta valiosa puede parecer abrumador; no obstante,
UN GERENTE DE un gerente de contraseñas donde guardar sus frases de contraseña le libera de la
carga de recordar qué frase de contraseña va dónde.
CONTRASEÑAS Asegúrese de que el gerente de contraseña que use venga de una fuente de
confianza y de buena reputación, y esté protegido con su propia frase de contraseña
fuerte y memorable.
cyber.gov.au 15Guía de ciberseguridad para la pequeña empresa
Capacitación de los empleados
¿Qué? Instrucción para proteger
a su personal y empresa de los
“Aprenda y
peligros cibernéticos enséñele a su
Aprenda y enseñe a su personal cómo prevenir,
reconocer y denunciar la ciberdelincuencia.
personal cómo
Capacite a sus empleados en los fundamentos
de la ciberseguridad, incluida la actualización de prevenir, reconocer
sus dispositivos, la seguridad de sus cuentas y la
identificación de los mensajes de estafa. y denunciar la
También debería pensar en ejecutar un plan de
respuesta a los incidentes de ciberseguridad para
orientar a su empresa y a su personal en caso de un
ciberdelincuencia.”
incidente cibernético
Esto le ayudará a usted a determinar cuáles son
sus dispositivos y procesos de importancia crítica, y
también los contactos cruciales que podrá usar para
responder y recuperarse
¿Por qué? Los empleados
pueden ser la primera y última
línea de defensa contra los
peligros de ciberseguridad
La formación puede cambiar los hábitos y
el comportamiento del personal y crear la
responsabilidad compartida de proteger la seguridad
de su empresa.
La ciberseguridad es la responsabilidad de todos. CONSEJOS DE CONCIENTIZACIÓN
DE CIBERSEGURIDAD
¿Cuándo? Concientización Capacite a su personal para que reconozca
los enlaces y archivos adjuntos sospechosos
y capacitación periódicas en Proporcione periódicamente capacitación
ciberseguridad actualizada sobre la ciberseguridad
Cree un plan de respuesta a los incidentes de
ciberseguridad
La ciberseguridad evoluciona constantemente
Fomente una actitud vigorosa de
Mantener a todos al día con respecto a los ciberseguridad
peligros de ciberseguridad podría determinar si Comparta ejemplos de mensajes de estafa
un delincuente logrará o no logrará acceder a su para ayudar al personal a identificar los
dinero, cuentas o datos. peligros de ciberseguridad
16Guía de ciberseguridad para la pequeña empresa
Lista de verificación
resumida
Consideraciones de
software Haga copias de seguridad de sus datos
importantes regularmente
A
ctualice automáticamente sus sistemas • C ompruebe sus copias de seguridad
operativos, software y aplicaciones regularmente intentando restablecer los datos
• Mantenga siempre por lo menos una copia
• S i recibe una instrucción de actualizar su de seguridad desconectada de su dispositivo
sistema operativo u otro software, instale la
actualización cuanto antes Cuando sea posible, active la
autenticación multifactorial en las cuentas
• S eleccione un horario conveniente para las importantes
actualizaciones automáticas a fin de evitar
las perturbaciones a la empresa • La autenticación multifactorial (MFA) es una
de las formas más eficaces de proteger su
valiosa información y sus cuentas
• Priorice las cuentas financieras y de correo
electrónico para lograr el máximo efecto
Las personas y los
procedimientos
Gestione quién puede tener acceso a qué Capacite a su personal en los
en su empresa fundamentos de la ciberseguridad
• A
plique el principio de mínimo privilegio • Esto puede incluir actualizar sus
para los permisos de acceso dispositivos, proteger la seguridad
• N
o se olvide de suprimir las cuentas y/o de sus cuentas e identificar los
cambiar las frases de contraseña o las mensajes de estafa
contraseñas cuando un empleado deja la • Proporcione regularmente capacitación
empresa actualizada sobre ciberseguridad
S
i no fuera posible usar la autenticación
multifactorial, use frases de contraseña
para proteger sus cuentas y dispositivos
• L as frases de contraseña usan cuatro
o más palabras al azar de contraseña
• L as frases de contraseña son más
eficaces cuando son largas,
imprevisibles y únicas
cyber.gov.au 17Guía de ciberseguridad para la pequeña empresa
Glosario
Software antivirus Red
Un programa de software creado para proteger su Un grupo de computadoras, servidores, computadoras
computadora o red de los virus de computadora. centrales, dispositivos de red, periféricos u otros dispositivos
conectados entre sí para permitir el intercambio de datos.
Aplicación
También conocida como aplicación de celular, es el término Sistema operativo
utilizado para referirse al software que comúnmente se usa en Software instalado en el disco duro de la computadora que le
los teléfonos celulares inteligentes o tabletas. permite a ésta comunicarse con sus programas y ejecutarlos.
Ejemplos: Microsoft Windows, Apple macOS, iOS, Android.
Adjunto
Un archivo enviado con un mensaje de e-mail. Software
Conocido comúnmente como programas, es una colección
Aplicación de autenticación de instrucciones que permiten al usuario interactuar con una
Una aplicación utilizada para confirmar la identidad del computadora o su equipo, o realizar tareas.
usuario de la computadora para darle acceso por medio de la
autenticación multifactorial (MFA). Spyware
Software espía, programa diseñado para reunir furtivamente
Datos biométricos información sobre la actividad del usuario en su dispositivo.
La identificación de una persona por sus características
biológicas, p.ej. su huella digital o su voz. Testigo
Código seguro generado por un dispositivo físico o aplicación
Bitcoin de autenticación para uso durante la autenticación
Una moneda digital (criptomoneda) utilizada en internet para multifactorial. El testigo también puede referirse a un
varios servicios. dispositivo físico que genera un código seguro y que es
suficientemente pequeño para llevar en el llavero, o que tiene
Ataque de fuerza bruta la forma de una tarjeta de crédito.
Tipo de ataque que genera millones de combinaciones Troyanos
de caracteres por segundo. Supera muy eficazmente las
contraseñas cortas o de una sola palabra. Tipo de malware o programa malintencionado que suele
disfrazarse de software legítimo pero que contiene
Nube un código malicioso utilizado por los
ciberdelincuentes para acceder a los sistemas
Una red de servidores remotos que ofrece almacenamiento del usuario.
distribuido y capacidad de tratamiento de datos masivos.
Virus
Ciberdelincuente Un programa diseñado para causar
Todo individuo que piratea ilegalmente un sistema informático daño, robar información personal,
para causar daños o robar información. modificar datos, enviar correos
electrónicos, visualizar mensajes
Datos o una combinación de
Los datos son información e incluyen archivos, texto, números, todos estos.
imágenes, sonido o videos
Configuraciones predeterminadas
Algo que la computadora, el sistema operativo o el programa
han predeterminado para el usuario.
Ataques de diccionario
Tipo de ataque que genera millones de
intentos eventuales sobre la base de
reglas y bases de datos. Son eficaces
contra las frases de contraseña menos
complejas y usadas comúnmente.
Cifrado
El proceso de convertir los datos de modo
que otros no los puedan leer, con el fin
de evitar que otras personas accedan al
contenido de dichos datos.
18Descargo de responsabilidad.
El contenido de esta guía es de carácter general y no debe considerarse
asesoramiento jurídico ni utilizarse para ayudar en una situación en
particular o en una emergencia. Para cualquier asunto importante,
obtenga asesoramiento profesional independiente apropiado para su
situación.
La Commonwealth no acepta responsabilidad alguna por daños, pérdidas
o gastos incurridos por haber actuado en base a la información contenida
en esta guía.
Copyright.
© Commonwealth of Australia 2021.
Con la excepción del Escudo Nacional y de cuando se indique lo contrario,
todo el material presentado en esta publicación se suministra bajo licencia
internacional de Creative Commons Attribution 4.0
(www.creativecommons.org/licenses).
En caso de duda, esto implica que esta licencia se aplica solamente al
material presentado en este documento..
Los datos de las condiciones pertinentes de la licencia, así como también el
código jurídico completo para la licencia CC BY 4.0 están disponibles en la
página web de Creative Commons (www.creativecommons.org/licenses).
Uso del Escudo Nacional.
Los términos que rigen el uso del Escudo Nacional se detallan en la página
del Departamento del Primer Ministro y Gabinete
(www.pmc.gov.au/government/commonwealth-coat-arms).
cyber.gov.au 19Para obtener más información o denunciar un incidente
de ciberseguridad contáctenos:
cyber.gov.au | 1300 CYBER1 (1300 292 371).También puede leer
