Las pymes y los problemas

informáticos, que las hacen

vulnerables.

Rodríguez Nahuel

Salta, Argentina

Año 2020
INDICE

Introducción………..

Hipótesis…………..

Objetivos………………

1-MARCO TEORICO………………………..

2-Metodologia………………………..

3-SEGURIDAD INFORMATICA…………………..

4-NORMAS DE SEGURIDAD INFORMATICA………………..

5-ELEMENTOS INVOLUCRADOS, ROLES, RESPONSABLES………………..

6-BENEFICIOS DE LA SEGURIDAD INFORMATICA PARA UNA PYME………………..

7-CORREOS ELECTRONICOS Y USO DEL INTERNET……………….

8-CONSIDERACIONES ADICIONALES PARA EL ACCESO A INFORMACION DE

INTERNT……………….

9-ANTIVIRUS……………………

10-PROBLEMAS INFORMATICOS MAS COMUNES………………..

11-COMO COMBATIR LA VULNERABILIDAD DE LAS EMPRESAS……………………

12-RIESGOS DE SEGURIDAD Y CIBERSEGURIDAD…………………

CONCLUSION………………………

BIBLIOGRAFIA………………….
INTRODUCCION:

Las pymes tienen necesidades específicas que deben ser atendidas por
el Estado. Este tipo de empresas genera, en conjunto, grandes riquezas para
cada país además de ser uno de los principales motores del empleo.

Los sistemas informáticos de una pyme pueden ser atacados por la presencia

de virus, software maliciosos (malware) y spam, así como también por la
existencia de fallas inesperadas en el funcionamiento de los dispositivos,
software y hardware.
De esta manera, permite hallar y aportar soluciones para mantener o
recuperar la operatividad, según sea el caso, y prevenir daños o pérdidas que
pueden llegar a ser irreparables, de no atenderse en la manera adecuada.
En lo referente a algunas medidas de seguridad informática que pueden
implementarse en una pyme, se pueden encontrar aquellas que sirven para
la prevención de amenazas, así como también aquellas que ayudan
a enfrentar dichas amenazas una vez ocurridas

Proteger en todo momento los recursos informáticos contra los riesgos de

destrucción, pérdida, divulgación, malversación, no disponibilidad, y repudio,
conforme con normas de procedimientos emanados por la empresa y las leyes
y reglamentaciones a las que la empresa está sujeta.

Se deberá asegurar la confidencialidad, integridad y disponibilidad de la

información procesada por la empresa.

La gran mayoría de pequeñas y medianas empresas no disponen de un

informático propio. Y esto es un riesgo. La falta de previsión, protección y
capacidad de reacción puede generar pérdidas de datos alarmantes, llegando a
poner en serio riesgo la continuidad del negocio.

Como los gastos de tener un informático en plantilla resultan elevados, la mejor

solución es el outsourcing informático, es decir, subcontratar a una gestoría con
especialistas para cada tipo de situación. A continuación vamos a resumir
los problemas informáticos más comunes en las pymes para que observes su
variedad y relevancia.

Hipótesis: La gran mayoría de pequeñas y medianas empresas no disponen de un

informático propio. Y esto es un riesgo. La falta de previsión, protección y capacidad
de reacción puede generar pérdidas de datos alarmantes, llegando a poner en serio
riesgo la continuidad del negocio. Las pequeñas empresas poseen un gran riesgo de
ser vulnerables en su protección de datos

Objetivos:

General

Identificar todos los escenarios donde se procesan y guardan los datos críticos en una
empresa y analizar sus potenciales riesgos. Es vital crear un plan que garantice la
protección de la información en todas esas situaciones.

Objetivos específicos:

Encontrar el por qué son tan vulnerables las pymes, como muchas de ellas no tienen
un plan de seguridad, y que hay que tener en cuenta a la hora de tener una empresa
con una buena seguridad:

 Normas de seguridad
 Empleados capacitados
 Antivirus
 Consideraciones en la información de internet
 Cuales son los problemas más comunes
 1- MARCO TEORICO

Para poder centrarnos en el tema, primero, hay que conocer, que es una PYME
o empresa, para saber si cuentan, con los mecanismos necesarios de
seguridad para la información que generen, y si no es así plantear cuales
serían los inconvenientes y proponer una solución.

Pyme es el acrónimo de pequeña y mediana empresa. Se trata de

la empresa mercantil, industrial o de otro tipo que tiene un número reducido de
trabajadores y que registra ingresos moderados

La definición de pyme varía según el país. En Argentina, por ejemplo, las

empresas se clasifican de acuerdo a sus ventas anuales y a su rubro (una
pyme industrial puede tener un volumen de facturación que, en otro sector
económico, la ubicaría entre las de mayor volumen).

Las pymes tienen necesidades específicas que deben ser atendidas por
el Estado. Este tipo de empresas genera, en conjunto, grandes riquezas para
cada país además de ser uno de los principales motores del empleo. Sin
embargo, por sus particularidades, necesitan protección e incentivos para
competir frente a las grandes corporaciones.
Las Ventajas de las PYME
* presentan más flexibilidad que las empresas convencionales en el sistema de

producción;

* permiten entablar una relación mucho más cercana con los clientes;

* gracias a la mayor sencillez de su infraestructura, es más sencillo cambiar

de nicho de mercado (el espacio donde se encuentran los potenciales usuarios

o consumidores de un servicio o producto);

* los puestos de trabajo son más amplios, menos estrictos, y los trabajadores

están más abiertos al cambio;

* el mayor nivel de conocimiento específico y know how, que se da gracias a la

cercanía de los integrantes con el día a día de la empresa, puede convertirse

en una importante ventaja con respecto a la competencia;

* el tiempo que requiere la toma de decisiones estratégicas puede ser

considerablemente menor, dado que los procesos de gestión resultan menos

complejos;

* presentan una visión menos estricta, más enfocada en las necesidades y

demandas de los clientes (siempre cambiantes) que en sus propias raíces, lo

cual da lugar a importantes modificaciones a nivel estructural, adoptando las

tecnologías y el personal necesario para encarar los desafíos que se presentan

a cada paso.

Las Desventajas de las PYME:

* dado que se mueven por procesos de tipo emergente, no cuentan con

lineamientos específicos relacionados con su creación, sino que experimentan

constantes cambios y evoluciones;

* no gozan de un importante respaldo financiero, lo cual les impide embarcarse

en negocios de gran envergadura;

* requieren de una constante revisión de su estructura, dado que su naturaleza

adaptable puede convertirse en la razón de su disolución a causa de la pérdida

del control organizativo;

* la mayor cercanía entre los trabajadores puede ser negativa si éstos trasladan

sus problemas personales a la oficina;

* suele ocurrir que no exista un control estricto de la entrada y la salida del

dinero;

* el reducido volumen de producción se refleja en la cuantía de los pedidos

realizados a los proveedores, lo cual puede derivar en sobrecosto;

* si no se realiza una campaña publicitaria efectiva y constante, la empresa

puede pasar desapercibida ante los consumidores.

* Dado que la seguridad representa siempre un costo, la inversión deberá ser

acorde a las características de la información.

2-Metodologia

Para el estudio cuantitativo se recogió a través de encuestas donde El estudio

recogió los testimonios de más de 4.200 profesionales de TI y seguridad
informática de Australia, Nueva Zelanda, Brasil, Canadá, China, Alemania,
Francia, India, Japón, Corea, México, Países Bajos, Emiratos Árabes Unidos,
Reino Unido y Estados Unidos. Estos testimonios permitieron brindar algunas
mejoras específicas que pueden aplicar las empresas para reducir los riesgos
en seguridad informática.
Por ejemplo, el 53% de los encuestados cree que sería útil crear una vista
unificada de todos los usuarios de la empresa para controlar mejor el flujo de
información. También se recomienda procurar anticiparse a nuevos ataques
informáticos. Y finalmente, el 72% considera que mejorar el personal asignado
a TI sirve para que los datos de las empresas estén más seguros
Durante la investigación sobre infraestructura de seguridad empresarial, un
porcentaje relevante de los encuestados (48%) manifestó que su organización
no cuenta con políticas de seguridad que garantizan que los empleados y
terceros tengan el acceso correspondiente a su identidad. Tampoco es
favorable para este panorama que el 70% de las empresas encuestadas
mencionara que algunas de sus soluciones de seguridad están desactualizadas
y son insuficientes.

De acuerdo con el informe, entre las principales preocupaciones en torno a la

seguridad informática está el hecho de que el 70% de las organizaciones
invirtió en un sistema de seguridad que no se implementó. También, el 65%
dijo que su compañía no es capaz de reducir el riesgo de interferencias a sus
sistemas. El 64% reveló que su organización no tiene un método para reducir el
riesgo de datos no administrados, es decir datos que se descargan a una
unidad USB o se comparten con terceros. Adicionalmente, las empresas tienen
poco personal adecuado para su seguridad informática: solo el 40% dijo que
contrató con éxito a profesionales de seguridad calificados y con experiencia.

Cualitativo

Diversos especialistas en seguridad informática hablan sobre riesgos y medidas de prevención

Sheila Berta, especialista en ciberseguridad y directora de investigación en

Dreamlab Technologies

Qué medidas de precaución tomás como usuaria en tus dispositivos?

-Uso el sentido común ante todo: no instalo cosas en mi máquina o smartphone

de las cuales el origen no es confiable. Controlo los permisos de las
aplicaciones que uso, no le doy permiso de usar la cámara o el micrófono a una
app que claramente no lo necesita. El hacer click en todo “si, si, ok, ok, acepto”
sin mirar y entrar a cualquier link o descargar y ejecutar todo es el error de la
mayoría de la gente. Usar el sentido común y tener una paranoia sana evita
caer en todos los ataques masivos o más comunes.

-¿Qué opinás de las VPN?

-Respecto de las VPN, sí, es muy recomendable utilizarlas. Tener configurada

una VPN de confianza en la computadora y el teléfono nos añade una capa
más de protección a nuestras comunicaciones por internet. Es una medida muy
recomendable de aplicar en todo momento, e indispensable si solemos
conectarnos a wifi abiertas o desconocidas.

Margarita Abella Hernández, especialista en Educación a Usuarios en

Seguridad Digital de Google.

¿Qué medida de precaución hay que tomar para evitar caer en casos de
phishing?

-El phishing es un tipo de ataque que existe desde hace muchísimos años.

Este tipo de estafa siempre se hace pasar por una fuente legítima y esto es lo
que más confunde a los usuarios. Por ejemplo, los mails o sitios web de
phishing pueden pedir nombres de usuario y contraseñas, incluidos cambios de
claves; números de Seguridad Social; cuentas bancarias; números de tarjetas
de crédito, el apellido de tu madre o tu fecha de nacimiento.

Como primer medida práctica, hay que mirar bien el remitente porque podría
ser muy similar al de un amigo o empresa que conozcamos aunque con una
letra, número o símbolo diferente. Desde Google trabajamos intensamente para
minimizar esta amenaza y por eso fomentamos entre los usuarios el uso de la
autenticación de dos factores, un proceso de identificación que combina: algo
que sabes (tu contraseña) y algo que tienes (clave o código de seguridad).
Entonces, incluso si un hacker tiene tu contraseña, no podrá acceder a tu
cuenta sin la clave de seguridad o el código y viceversa.

Otra de las cosas importantes es denunciar los correos. Gmail identifica el

correo sospechoso o que podría ser de suplantación de identidad y lo coloca en
Spam o le muestra al usuario una advertencia. Si un correo no se ha marcado
correctamente, es importante que los usuarios los denuncien por suplantación
de identidad o los marquen como spam ya que con esta acción Google recibe
una copia de este mail para analizarla y proteger a sus usuarios.

Google bloquea más del 99.9% de los intentos de phishing, pero

recomendamos a los usuarios siempre estar siempre en estado de alerta
porque los atacantes utilizan distintos recursos y es muy fácil caer en este tipo
de engaños. En caso de que un usuario haya sido víctima de una suplantación
y su cuenta haya sido hackeada y no pueda acceder a ella, puede ver
estas recomendaciones y conocer cómo proteger su cuenta.

Romana Linkeová, investigadora de malware en Avast

-¿Cuáles fueron los tipos de malware que más crecieron durante el último año?

-Este año, observamos un aumento en los troyanos bancarios, malware que

intenta obtener acceso a una cuenta bancaria en línea y a la información
almacenada o procesada a través de la banca en línea. También hemos visto
más RAT (herramientas de acceso remoto) en comparación con el año
pasado. Las RAT son herramientas que los cibercriminales utilizan para
obtener acceso remoto a un dispositivo, sin el conocimiento de la víctima. Los
ciberdelincuentes usan RAT para espiar las actividades de los usuarios sin que
el usuario note nada, e incluso pueden alterar los archivos de sus víctimas.

¿Qué medidas de prevención se pueden tener en cuenta para evitar esto?

-Tanto los troyanos bancarios como las RAT a menudo se distribuyen junto con
otro software, o mediante estafas de phishing, por lo que es importante que los
usuarios solo descarguen archivos de fuentes confiables y verifiquen qué
archivos están descargando, antes de que comience la descarga. Las personas
también deben evitar hacer clic en los enlaces y archivos adjuntos que se
incluyen en los correos electrónicos, y verificar la dirección de correo
electrónico del remitente para asegurarse de que el correo electrónico
realmente provenga de una fuente confiable.

Los atacantes también suelen explotar vulnerabilidades, que se pueden

encontrar en software obsoleto y al explotar software obsoleto pueden infectar
dispositivos con malware, por lo que es importante actualizar el software tan
pronto como esté disponible una actualización. Por último, pero no menos
importante, las personas deben descargar antivirus en todos sus dispositivos,
ya que el antivirus actúa como una red de seguridad, protegiendo incluso a los
usuarios más cautelosos de la descarga accidental de malware.

Carlos Aramburu, director de McAfee

¿Qué es un keylogger?

-Un keylogger (abreviatura de keystroke y logger) es una versión de spyware o

software de monitoreo que registra cada una de las teclas presionadas en un
teclado, generalmente de manera encubierta.

El objetivo es claro: a través del rastreo y registro de teclas presionadas, el

delincuente puede interceptar y leer contraseñas y otra información confidencial
ingresada a través del teclado, obtener códigos PIN, números de cuenta o
usuarios de home banking, contraseñas de correo electrónico. Con esta
información pueden acceder a cuentas bancarias, robar identidades, utilizarla
para extorsión a familiares y amigos o simplemente venderla en la Deep web.

-¿Cómo se propaga y detecta?

-Generalmente, se propaga de la misma manera que otros programas
maliciosos, instalándose en su sistema cuando abre un archivo adjunto al
correo electrónico, mensaje de texto, redes P2P, mensaje instantáneo o redes
sociales. Los keyloggers también se pueden instalar simplemente visitando un
sitio web si ese sitio está infectado.

Son difíciles de detectar. Algunos indicios pueden ser un rendimiento más lento

cuando se navega por la web, el mouse o las pulsaciones de teclas con
demora, diferencias entre lo que se escribe y lo que se ve en la pantalla y
errores al cargar gráficos o páginas web pueden ser síntomas de infección.

-¿Cómo protegerse?

-Las medidas que debemos tomar para protegerse de un keylogger son las
mismas que para otras amenazas de la web: siempre tener actualizado el
sistema operativo, contar con un antivirus que debe tener un “firewall” dado que
normalmente este tipo de malware necesita comunicarse con un servidor
externo para mandar la información. Si el firewall detecta este intento de
conexión y nos permite bloquearlo, podremos evitar que nuestros datos se
envíen a los piratas informáticos y, aunque estemos infectados por el
keylogger, éste no servirá de mucho.

3-SEGURIDAD INFORMATICA

El ámbito de las tecnologías de la información, la seguridad informática puede

definirse como un conjunto de medidas de prevención y detección de riesgos,
amenazas, vulnerabilidades y cualquier otro tipo de eventualidad que pueda
afectar un dispositivo o conjunto de ellos.
Al aplicar medidas de seguridad en una pyme, debe tenerse en consideración
aquellas amenazas más comunes y potencialmente más peligrosas, para así
alcanzar a atenderlas de una manera oportuna y eficaz.

Por ejemplo, los sistemas informáticos de una pyme pueden ser atacados por

la presencia de virus, software maliciosos (malware) y spam, así como también
por la existencia de fallas inesperadas en el funcionamiento de los dispositivos,
software y hardware.
De esta manera, permite hallar y aportar soluciones para mantener o
recuperar la operatividad, según sea el caso, y prevenir daños o pérdidas que
pueden llegar a ser irreparables, de no atenderse en la manera adecuada.
En lo referente a algunas medidas de seguridad informática que pueden
implementarse en una pyme, se pueden encontrar aquellas que sirven para
la prevención de amenazas, así como también aquellas que ayudan
a enfrentar dichas amenazas una vez ocurridas. Por ejemplo:

1. Contar con un equipo especializado en seguridad informática

La seguridad informática no es un ente abstracto que funciona por sí solo,
aunque si posea un grado de autonomía bastante elevado. De hecho, siempre
es pertinente que una pyme pueda contar con un personal especializado en el
área.
Esto facilitará que las estrategias y planes de seguridad informática puedan
aplicarse del modo correcto, y con el menor riesgo posible de errores humanos
en el manejo y administración de cualquier tipo de eventualidad.

2. Utilización de software legal

Por ejemplo, una medida bastante aplicada es la utilización de software
legal en las pymes, para así poder contar con el debido soporte técnico y de
actualizaciones del fabricante, lo cual es una ventaja de carácter indiscutible.
3. Mantenimiento de dispositivos de la empresa
Por otra parte, un adecuado mantenimiento de los diferentes dispositivos de la
empresa también permitirá que las vulnerabilidades se vean reducidas de
manera exponencial, y el funcionamiento de aquellos sea óptimo.

4. Uso de programas antivirus y antimalware

El uso de programas antivirus y antimalware también resulta de gran utilidad
para identificar y prevenir amenazas de seguridad, sin embargo, siempre es
importante contar con una licencia que pueda cubrir todos los equipos
informáticos de la pyme.

5. Generar respaldos y copias de seguridad

La generación de respaldos y copias de seguridad de la información y bases de
datos de la empresa, garantizará que no existan pérdidas de recursos que
pueden ser altamente sensibles para el funcionamiento de la misma.

6. Uso de contraseñas seguras

Otra medida esencial de seguridad informática tiene que ver con el uso de
contraseñas seguras en todos los dispositivos y aplicaciones que se
encuentren en la pyme, para así evitar riesgos innecesarios.

7. Capacitación del personal

La capacitación siempre debe estar presente en una Pyme sobre todo cuando
hablamos de ataques internos. Por ejemplo, cuando por falta de seguridad de
la información no se administran bien los accesos y alguien del personal puede
borrar “por error” algún documento de importancia o por hacer clicc en un email
se generar el ingreso de un software malicioso del tipo Ransomware.
Una adecuada capacitación de todo el personal de la pyme en el ámbito de la
seguridad informática nunca está de más, y, de hecho, permitirá que cualquier
evento de riesgo pueda ser atendido de la mejor manera posible.

4-NORMAS DE SEGURIDAD INFORMATICA

 El objetivo de estas normas es proteger en todo momento los recursos
informáticos contra los riesgos de destrucción, pérdida, divulgación,
malversación, no disponibilidad, y repudio, conforme con normas de
procedimientos emanados por la empresa y las leyes y reglamentaciones a
las que la empresa está sujeta.

Se deberá asegurar la confidencialidad, integridad y disponibilidad de la

información procesada por la empresa.

Se define la seguridad informática como la disciplina orientada a definir y

establecer mecanismos de resguardos y protección de la información,
cualquiera sea el medio o forma en que se procese.

5-ELEMENTOS INVOLUCRADOS, ROLES, RESPONSABLES

La Seguridad Informática está basada en una adecuada Estructura

Organizacional en la empresa, un Marco Normativo y un Proyecto de
Seguridad Informática, todos, encuadrados sobre la Estrategia definida del
Negocio.

 La Estructura Organizacional define los roles y responsabilidades,

dependencia jerárquica y la Capacitación del área encargada de realizar
las tareas de Seguridad Informática.

• El Marco Normativo establece las Normas, Procedimientos y Estándares,

sobre los cuales se llevarán a cabo las diferentes tareas de Seguridad
Informática.

• El Proyecto de Seguridad Informática permite definir los equipos de

trabajo, metodología, análisis de riesgos y áreas a cubrir, a fin de cumplir
con los objetivos de Seguridad Informática definidos en el Plan de Sistemas.

Todo empleado de la Empresa, cualquiera sea su posición dentro de la

misma, deberá ser informado acerca de la importancia de la Seguridad
Informática, como así también de los recaudos a tomar en cuenta a fin de
mantener un adecuado ambiente de control, sobre la información que se
procesa dentro de la Empresa. Todo nuevo empleado de la Empresa,
deberá recibir una instrucción básica acerca de los elementos relacionados
con la Seguridad Informática y su importancia para el cumplimiento de los
objetivos de la Organización. Así mismo deberá dejar asentada su
conformidad, con respecto a la instrucción recibida.

Esta instrucción abarcará entre otros aspectos, los riesgos relacionados a la

instalación de software ilegal o no corporativo definido por la Organización,
como así también los recaudos a tener en cuenta a fin de estar protegido
contra algún virus y la importancia de no difundir las contraseñas asignadas
para el acceso a los diferentes aplicativos y plataformas tecnológicas en
donde se procesa la información de la Empresa.

Lo debido es, que cada empresa, conforme un adecuado proyecto de

seguridad informática, pero en el caso que las mismas no cuenten con una
estructura organizacional y que se encuentre con bajos recursos
financieros, podrá contratar al inicio, un consultor, que le propondrá a la
empresa las medidas de seguridad informática acorde a la funcionalidad de
la empresa y al uso de la información que procesan. Dado que la seguridad
representa siempre un costo, la inversión deberá ser acorde a las
características de la información.

Para establecer las diferentes características de la información que maneja

la Empresa y sin acotar la norma a un ambiente de trabajo (desarrollo,
pruebas o producción), se establecen en la presente norma, los siguientes
tipos:

• Altamente confidencial: Es información altamente sensitiva o crítica ya que

puede ser de utilidad para la competencia o terceros y con la consecuencia
del detrimento de los intereses de la Empresa.

• Confidencial: Es información sensitiva o crítica cuya utilización inadecuada

puede traer efectos internos en la Empresa.

• Restringida: Es información de uso interno al personal autorizado de la

Empresa en función de los diferentes perfiles que cada uno de ellos posea y
de la que se debe mantener una adecuada segregación de funciones.
También se encuentra comprendida dentro de esta clasificación la
información que es exclusiva del cliente y sólo debe ser conocida por él.
 • Pública: Cualquier persona puede tener acceso a esta información.

Son responsables de la implantación de esta clasificación cada una de las

áreas que generan la información y una vez efectuada la misma, debe ser
comunicada a la Gerencia de Auditoría Interna para fines de evaluación y
consideración en sus trabajos.

Existen diferentes roles en uso y administración de la información, ellas son:

• Propietarios de la Información

• Responsable de Plataforma tecnológica

• Custodio de la Información

Responsable de Seguridad de la Información:

• El “Propietario de la Información” es quien genera y mantiene los datos

que utiliza la Empresa a través de un conjunto determinado de sistemas

• El responsable de la Plataforma Tecnológica es el funcionario que se

encuentra a cargo técnicamente de una plataforma definida por un sistema
operativo (con sus diferentes versiones) y un conjunto de software de base
sobre el cual se ejecutan los sistemas y almacenan los datos.

Cualquier usuario que manipule información para la Empresa y que durante

el desarrollo de sus funciones mantenga, utilice o posea en cualquier
soporte magnético o no, información de la Empresa se transformará en
custodio de la confidencialidad, integridad y disponibilidad de dicha
información.

El principal custodio de la información que se centraliza en los sistemas de

la Empresa es el responsable del Área de Sistemas que debe garantizar su
continuidad y disponibilidad. Para aquellos sistemas no centralizados como
ser la plataforma PC es el propio usuario el custodio de la información y
también debe garantizar su continuidad y disponibilidad.

6-BENEFICIOS DE LA SEGURIDAD INFORMATICA PARA UNA

PYME
Las pequeñas y medianas empresas generalmente han sido establecidas
gracias al esfuerzo económico de una familia, un pequeño grupo de socios o un
individuo, para lo cual se ha invertido mucho tiempo y recursos valiosos.

Este patrimonio merece ser resguardado de una manera óptima, ya que los
daños y pérdidas que una pyme puede sufrir por la presencia de una falla de
seguridad informática, pueden llegar a ser irrecuperables, o en tal caso, llevar
demasiado tiempo de reparación.

En este sentido, las medidas de seguridad informática para una PYME

garantizan la oportuna atención de amenazas, ataques cibernéticos y cualquier
tipo de eventualidad que afecte no solo sus activos materiales, sino también
datos e información sensible.

De esta forma, una pyme que implemente las medidas de seguridad

informática adecuadas, contará con un entorno más funcional y acorde a sus
intereses, evitando que una vulneración de su sistema pueda acabar con la
totalidad de su patrimonio.

Por otro lado, el personal de la pyme se encontrará en un ambiente de trabajo

mucho más seguro y menos expuesto a situaciones irregulares, por lo que
podrá cumplir a cabalidad con las funciones que le han sido encomendadas.
Asimismo, los clientes, proveedores y demás actores empresariales que
guarden relación con una pyme, tendrán la seguridad de que la misma cumple
con los mejores protocolos y estándares de seguridad informática.
En definitiva, esto no solo repercute en la imagen y credibilidad de la pyme en
cuestión, sino que también le sirve como un aval para contar con una amplia
capacidad de respuesta, y la posibilidad de solventar crisis o problemas
informáticos con la mayor rapidez posible.

7-CORREOS ELECTRONICOS Y USO DEL INTERNET

Todo el personal de la empresa y los terceros que interactúan de manera
habitual u ocasional que accedan a información sensible y/o a los recursos
informáticos en el desarrollo de sus tareas habituales.

Consideraciones generales para el uso del correo electrónico Tipos de

mensajes Se deben aplicar las medidas de seguridad para todo el servicio
de correo electrónico, que comprende tanto el uso de las cuentas de
usuarios de los sistemas para el envío y recepción de mensajes
electrónicos en:

➢ La red interna para usuarios propios de la compañía, o

➢ Para otros usuarios a través del uso de internet. Uso del servicio Este
servicio debe utilizarse exclusivamente para las tareas propias de la
función desarrollada en la compañía y no debe utilizarse para ningún otro
fin. Cada persona es responsable tanto del contenido del mensaje enviado
como de cualquier otra información adjunta al mismo.

Todos los mensajes pueden ser sujetos a monitoreo y conservación

permanente por parte de la empresa.

El Oficial de Seguridad, el área de Auditoría Interna y el Administrador de

Seguridad (a pedido del Dueño de Datos del sector al que corresponde
cada usuario) pueden acceder al contenido de los mensajes para asegurar
el cumplimiento de las medidas de seguridad.

Cuentas de usuarios Toda cuenta de correo electrónico debe estar

asociada a una única cuenta de usuario, excepto en los casos que
especialmente autoricen los correspondientes Dueños de Datos y sea
aprobado por el Comité de Seguridad. Conservación de los mensajes
Utilización de carpetas Utilización de carpetas personales: toda la
información de acceso exclusivo del usuario y que no debe ser compartida
con otros usuarios.

Debe definirse un límite de espacio máximo y cualquier excepción debe ser

autorizada por el Dueño de Datos / Delegado. Utilización de carpetas
compartidas: toda la información que debe ser accedida por más de un
usuario, y cuya autorización de acceso debe ser efectuada por el Dueño de
Datos / Delegado correspondiente.

Toda la información debe conservarse en los equipos centralizados y no en

las estaciones de trabajo de los usuarios. Autenticidad del remitente Deben
implementarse los mecanismos técnicos que limiten la posibilidad de enviar
mensajes utilizando cuentas de otros usuarios. Se pueden enviar mensajes
usando la cuenta propia pero a nombre de otro usuario siempre y cuando el
correspondiente Dueño de Datos / Delegado lo haya autorizado
expresamente.

El acceso y uso de Internet deberá ser sólo autorizado con propósito de

investigaciones relevantes para la Empresa, grupo de noticias, y algún otro
tipo de intercambio de información que mejore las habilidades profesionales
o provea información crítica para el Negocio.

Notificación de errores Todo sistema debe tener implementadas las

facilidades automáticas que permitan al usuario que envía un mensaje ser
notificado cuando no sea recibido correctamente por el destinatario,
describiendo detalladamente el motivo del error.

Antivirus Deben utilizarse programas que monitoreen el accionar de los

virus informáticos tanto para los mensajes como para todos los archivos
adjuntos previamente a su ejecución.

Información recibida Todo usuario es responsable por la destrucción de

todo mensaje cuyo origen es desconocido, y asume la responsabilidad por
las consecuencias que puede ocasionar la ejecución de cualquier archivo
adjunto. En estos casos, no se deben contestar dichos mensajes y debe ser
enviada una copia al Oficial de Seguridad para que efectúe las tareas de
seguimiento e investigación necesarias.

Para el uso de información sensible, tanto sea para su envío como para su
conservación, debe implementarse la facilidad de encripción de datos, en la
medida que lo permitan los sistemas utilizados. Información enviada a
través de internet
Todo mensaje enviado debe contener una descripción que notifique a la
persona que lo recibe de que debe someter la información recibida a la
privacidad y confidencialidad correspondiente.

Todo mensaje que contenga información de acceso autorizado y/o

sensible, debe trasmitirse en forma encriptada.

8-Consideraciones adicionales para el acceso a información

de internet

Uso del servicio Este servicio debe utilizarse exclusivamente para las tareas
propias de la función desarrollada en la compañía y no debe utilizarse para
ningún otro fin. Cada persona es responsable tanto de los sitios y a la
información a la que se accede con su cuenta de usuario como de toda
información que se copia para su conservación en los equipos de la
compañía.

• Las comunicaciones realizadas a través de Internet originadas desde el

personal de la Empresa, no deberán contener lenguaje de tipo agresivo o
difamatorio y no deberán afectar o interrumpir las operaciones realizadas
por terceros u otros empleados de la Empresa. Esta Norma es
particularmente aplicable cuando se envíen correos electrónicos a través de
Internet, vía el Gateway de correo de la Empresa, dado que este tipo de
comunicaciones es enviado con identificación de la Empresa.

• No se deberá descargar información de Internet considerada ofensiva.

• Sólo personal de la Gerencia Central de Sistemas debe poder descargar

actualizaciones o parches de software, de los sitios de los proveedores de
la Empresa, asegurándose que dicho material está libre de virus, para su
correspondiente distribución.

• No se deberá distribuir información o material confidencial o sensitivo de la

Empresa, a través de Internet.

• La utilización de las herramientas de mensajería e Internet debe ser de

índole estrictamente laboral.
 • Toda información sensible disponible en redes internas conectadas a
Internet, debe estar debidamente protegida por un sistema externo de
detección de acceso, de manera tal que sólo los usuarios autorizados
tengan acceso a la misma.

• El acceso hacia/desde Internet deberá realizarse sólo a través de un

sistema intermediario configurado como un firewall externo. No se debe
permitir ningún otro método de acceso a Internet (como por ejemplo,
mediante conexiones Dial-Up si el usuario se encuentra conectado a una
red interna).

9-ANTIVIRUS

Los antivirus informáticos son piezas de software de aplicación

cuyo objetivo es detectar y eliminar de un sistema computarizado los virus
informáticos. Es decir, se trata de un programa que busca poner remedio a
los daños causados por estas formas invasivas de software, cuya presencia
en el sistema no suele ser detectable sino hasta que se evidencian sus
síntomas, tal y como los virus biológicos.

Durante la década de los 80, con la aparición de las tecnologías de

intercambio de información digital como los disquetes y, más
adelante, Internet, se hizo posible poner en contacto sucesivo a
numerosas computadoras. Esto trajo consigo la aparición de los virus
informáticos, y después, del spyware, malware y otras formas de software
perjudicial que ingresan sin consentimiento del usuario a la máquina y
causan diverso tipo de daños: desconfigurar secuencias clave, borrar
archivos personales, secuestrar información privada, etc.

El remedio, entonces, fue adquirir un antivirus informático, ofrecidos por

diversas empresas de programación comercial para garantizar el
monitoreo, limpieza y protección de los computadores. En caso de carecer
de ellos, el usuario corría riesgos de daños al sistema y de esparcir
además el virus cada vez que copiara un disquete o que enviara un correo
electrónico.
 Actualmente existe una oferta multitudinaria de servicios de
antivirus, indispensables dado que pasamos cada vez más tiempo
conectados a la Internet, recibiendo y enviando información de y a
computadores desconocidos.

Para qué sirven los antivirus informáticos

En la actualidad, los antivirus sirven para más que simplemente escanear y

desinfectar una máquina que ha contraído un virus informático. Por lo
general ofrecen servicios de monitoreo activo, para impedir el acceso total
de un documento infectado al sistema, bloquear páginas web inseguras y
eliminar archivos riesgosos apenas ingresen al computador. A esto suele
llamársele protección activa.

Por otro lado, los antivirus informáticos lidian también con otras piezas de
software no deseado, como el spyware, malware o rootkits, e incluso de
intentos de hackeo. Para ello posee un firewall (software de bloqueo de
conexiones remotas) y una base de datos de definiciones de virus, que es
una suerte de enciclopedia de los virus ya conocidos.

Nunca se dijo quién programaba los virus informáticos, aunque numerosas

teorías acusan a las propias empresas de antivirus de crear el problema y
 luego vender la solución. Lo cierto es que estos virus actuaban a modo de
atentado terrorista: anónimamente y a partir de una lógica propia.

La magnitud de sus daños al sistema o de la molestia causada al usuario

son variables, desde la eliminación de archivos personales al sabotaje de
los procesos indispensables del sistema. Actualmente, debido al auge de
los servicios por Internet, los virus suelen perseguir el secuestro de
información vital aprovechable, como números de tarjeta de crédito
o fotografías íntimas, cuando no permisos administrativos para operar el
computador de manera remota.

Tipos de antivirus informáticos

Puede identificarse varios tipos de antivirus informático, de acuerdo a su

funcionamiento:

 Antivirus de identificación. 

Aquellos que rastrean secuencias activas asociadas a determinados

virus, pero no son muy efectivos a la hora de lidiar con el software
indeseado. Tienen la virtud de ser muy ligeros, algunos se ejecutan
desde la red.

 Antivirus descontaminadores. 

Por lo general instalados en el sistema como cualquier otro software de

aplicación, estos programas pueden activarse a voluntad para revisar el
contenido completo del computador en busca de virus. De haberlos,
entonces, se procede a la desinfección y, de no ser posible, a la
cuarentena o el borrado.

 Antivirus de protección a tiempo real. 

Aquellos que brindan protección constante al sistema, sin necesidad de

llevar a cabo una revisión exhaustiva, sino revisando todos los archivos
 y conexiones entrantes y salientes. Estos antivirus suelen estar
combinados con funciones descontaminadoras.

Las Características de un buen antivirus

  Gran capacidad de detección y de reacción ante un nuevo virus.

  Actualización sistemática.
  Detección mínima de falsos positivos o falsos virus.
  Respeto por el rendimiento o desempeño normal de los equipos.
  Integración perfecta con el programa de correo electrónico.
  Alerta sobre una posible infección por las distintas vías de entrada
(Internet, correo electrónico, red o discos flexibles).
  Gran capacidad de desinfección.
  Presencia de distintos métodos de detección y análisis.
  Chequeo del arranque y posibles cambios en el registro de las
aplicaciones.
  Creación de discos de emergencia o de rescate.
  Disposición de un equipo de soporte técnico capaz de responder en un
tiempo mínimo (ejemplo 48 horas) para orientar al usuario en caso de
infección.

10-Los 7 problemas informáticos más comunes en las pymes

La gran mayoría de pequeñas y medianas empresas no disponen de un

informático propio. Y esto es un riesgo. La falta de previsión, protección y
capacidad de reacción puede generar pérdidas de datos alarmantes, llegando a
poner en serio riesgo la continuidad del negocio.

Como los gastos de tener un informático en plantilla resultan elevados, la mejor

solución es el outsourcing informático, es decir, subcontratar a una gestoría con
especialistas para cada tipo de situación. A continuación vamos a resumir
los problemas informáticos más comunes en las pymes para que observes su
variedad y relevancia.

Copias de seguridad inexistentes

Uno de los métodos de prevención más importantes son las copias de

seguridad. No realizarlas, hacerlo de forma insuficiente o no saber cómo
recuperar los datos tras un incidente es algo muy típico y muy peligroso. 

Los antivirus y cortafuegos son indispensables

No tener antivirus y cortafuegos instalados y actualizados es toda

una invitación a ser atacado. Son la defensa básica que te protege frente a
ataques de malwares como los virus o los gusanos, que pueden causar
auténticos estragos en tu red LAN.

Actualización del sistema operativo y control de los programas instalados

Cuando tu sistema operativo te pida ser actualizado, hazlo sin demorarte

demasiado. De lo contrario, estarás poniendo en riesgo tu ordenador. Además,
tanto los programas instalados de Internet como los comprados bajo licencia
deben ser controlados y revisados con frecuencia para ver si tienen algún tipo
de infección.

El polvo es otro enemigo

Tener ordenadores que no expulsen correctamente el polvo obstruye los

ventiladores y las piezas se calientan demasiado. Esto puede provocar que se
averíen y, dependiendo del componente afectado, se podría perder información
valiosa. No solo los agentes externos ponen en peligro los datos de una pyme.

Contraseñas fáciles

Cuando se pide que las contraseñas tengan letras, números, mayúsculas e,

incluso, símbolos, no es por hacerte la vida difícil a ti, sino a los hackers que
quieran acceder a tu red. No las dejes apuntadas en un post it en la pantalla del
ordenador y cámbialas cada cierto tiempo.
Nula revisión de USB

Conectar a un ordenador un dispositivo USB desconocido sin ser analizado

previamente es toda una temeridad. Se trata de una forma más de trasmitir
virus y de robar información.

Página web y correo electrónico inseguros

Son otras dos vías de entrada para ciberdelincuentes que usan técnicas de

todo tipo (phishing, spoofing…). Para combatirlos, las plataformas tienen que
estar protegidas y disponer de filtros de spam. Además, en el caso del e-mail,
hay que advertir a los trabajadores de la pyme que no entren en correos de
origen desconocido ni mucho menos se descarguen sus archivos adjuntos.

En definitiva, la falta de conocimientos y asesoramiento puede comportar una

vulnerabilidad informática en muchas pymes.

11-Cómo combatir la vulnerabilidad de las empresas

En todas las transacciones de las empresas existen elementos de

vulnerabilidad que pueden afectar los resultados esperados de la misma, por lo
que hay posibilidad de que la compañía sea dañada por gente externa y
también por gente interna; para ello, la dirección debe tener los radares
encendidos e identificar operaciones inusuales que pongan en jaque a la
organización.

La vulnerabilidad existe principalmente por la falta de controles internos.

Los controles internos son políticas y procedimientos que diseña e implementa

la dirección de las empresas para el logro de los objetivos.

Al no tener con controles internos bien diseñados, se crea un ambiente de

vulnerabilidad y por lo mismo se elevan los riesgos, definiendo a éste como la
probabilidad de que algo salga mal y no tengamos un control que detecte y
prevenga dicha debilidad.

Informática: Área muy delicada y poco controlada, tomando en cuenta que aquí
es donde recibes, procesas y emites información operativa, fiscal y financiera
de tu empresa que sirve de base para la toma de decisiones.

- ¿Realizas respaldos diarios, semanales o mensuales de toda tu información

contenida en tus servidores?

- ¿Los respaldos los realizas en dispositivos fuera del domicilio de la empresa?

- ¿Cuentas con softwares de antivirus actualizados y firewall robustos?

La forma de cómo combatir la vulnerabilidad es contar con un plan de

recuperación ante desastres, en él podrás incluir actividades relacionadas
con incendios, virus, amenazas, borrado intencionado de información,
errores humanos, fallas de electricidad, derrumbe de oficinas; este plan
en caso de una emergencia, te dará la oportunidad de continuar tus
operaciones fuera de tus instalaciones y con ello seguir trabajando.
Se concluye que la vulnerabilidad existe, por lo que se debe hacer es
disminuir los riesgos a niveles aceptables; la mejor forma de realizarlo es
contar con los elementos de control por excelencia que son los
departamentos de auditoría interna, contraloría, auditoría externa, con ello
se podrá descansar ya que estas áreas ayudan a la supervisión de
controles y a su vez el logro de objetivos.

12-RIESGOS DE SEGURIDAD y CIBERSEGURIDAD.

Ninguna empresa está exenta de riesgos de seguridad como pueden ser
los robos, el fraude, la extorsión o el terrorismo. No caigas en el error de pensar
que, porque tu empresa no sea muy grande, es menos atractiva para
delincuentes.
 
¿Cómo mantener tu empresa protegida?
Es primordial que tu empresa tome las medidas de seguridad pertinentes, sin
importar si es una PYME o una multinacional. 
Medidas como las videocámaras de seguridad, las cerraduras inteligentes o las
cajas fuertes son importantes, y deberías implementarlas sin ninguna duda,
pero pueden no ser suficientes. 

Un plan de seguridad comprensible y minucioso, así como la

exhaustiva formación de los empleados en cuanto a medidas de seguridad, son
lo óptimo para lograr una protección total de tu negocio.

En la era digital actual, muchas empresas son susceptibles a ciber-riesgos

como las estafas online o el hackeo. Muchas veces, este riesgo viene dado por
malas políticas de empresa o desconocimiento del entorno digital. Entre los
errores más comunes que ponen en riesgo a las empresas en el entorno online
encontramos:

 Utilizar contraseñas débiles y no cambiarla para cada uso. Sigue esta guía

para contraseñas seguras para proteger tu empresa y tu información.

 Descargar software o aplicaciones maliciosos.

 Hacer clic en documentos adjuntos o enlaces sospechosos que llegan al

correo electrónico.

Todas estas acciones facilitan el acceso de hackers a información sensible.

¿Cómo minimizar estos riesgos?

Para prevenir este tipo de riesgos la educación y la tecnología son tus mejores
aliados. Instala en todos tus equipos y servidores un software de seguridad de
confianza que asegure la protección de tus datos. Asegúrate también de que
tus empleados reciban formación respecto a las tácticas más habituales de los
hackers así como respecto a los protocolos de seguridad en cuanto a
contraseñas y comportamiento en la web.

CONCLUSION:
Los riesgos están ahí. No hay nada que puedas hacer por eliminarlos al
100% porque muchos de ellos ni siquiera están en tus manos. Sin
embargo, tener un plan de acción frente a estos riesgos y tomar
las medidas adecuadas para prevenirlos te puede salvar de problemas
verdaderamente graves.

BIBLIOGRAFIA

Fuente: https://concepto.de/antivirus-informatico/#ixzz6eNwQWfsB

Fuente: https://definicion.de/pyme/

Fuente: http://acercadeantivirus.blogspot.com/2012/04/estas-
son-las-caracteristicas-que-debe.html

Fuente: https://www.accensit.com/blog/los-7-problemas-
informaticos-mas-comunes-las-pymes/
Fuente: https://www.dineroenimagen.com/blogs/colegio-de-
contadores-publicos-de-mexico-ac/como-combatir-la-
vulnerabilidad-de-las-empresas

Fuente: https://aplimedia.com/riesgos-potenciales-pymes/

Fuente: https://uss.com.ar/corporativo/medidas-de-seguridad-
informatica-pyme/#:~:text=Por%20ejemplo%2C%20los
%20sistemas%20inform%C3%A1ticos,los%20dispositivos%2C
%20software%20y%20hardware.

Fuente:
https://www.enter.co/especiales/empresas-del-futuro/segun-
estudio-empresas-fallan-en-sus-sistemas-de-seguridad-
informatica/
Fuente: infobae.com/america/tecno/2019/11/21/8-especialistas-
en-seguridad-informatica-hablan-sobre-riesgos-y-medidas-de-
prevencion/