Cómo proteger a tu empresa de los ciberdelincuentes, paso a paso (I)
Lo sepas o no, los ciberdelincuentes están ahí y consideran a las empresas un objetivo primordial a partir del cual inflar sus bolsillos de dinero. Expertos en el tema como Kaspersky Lab y Vector ITC Group nos cuentan cómo plantarles cara.
No hay que esperar a que ocurra una catástrofe para invertir en seguridad. Velar por la protección informática en las empresas es más que una necesidad. Se trata de una obligación. Y no sólo porque un blindaje correcto de las instalaciones sirva para dar un paso más hacia el exterminio del cibercrimen, para evitar que los ordenadores funcionen sin cuelgues o para garantizar que el dinero que se va ganando continúe a salvo en las arcas de la compañía y la información sensible se mantenga fuera del alcance de terceros, salvando escándalos. También es importante proteger las infraestructuras corporativas para que ninguna desafortunada brecha acabe enturbiando la imagen de marca y minando la confianza de los clientes. Al final se trata de un factor de marketing más, que te ayudará a diferenciarte respecto a los competidores que no hayan hecho los deberes.
Y no sería raro brillar con luz propia. Precisamente uno de los males a atacar es la falta de concienciación sobre el tema. Son muchas las empresas que descuidan su seguridad. Aunque en todas partes sobrevuela la cuestión de los riesgos, se calcula que las compañías, por norma general, no destinan más del 2% de su presupuesto total a medidas de protección que después les puedan ahorrar quebraderos de cabeza.
La situación empeora si añadimos que los enemigos de las corporaciones no sólo atacan desde fuera, sino que cuentan con aliados en la propia oficina, en forma de trabajadores mal formados o incluso desencantados. Hasta una quinta parte de los profesionales del área de la Tecnología de la Información y la Comunicación temen que los empleados se conviertan en una amenaza para los datos que maneja la compañía.
La aparición de tendencias profesionales que pegan cada vez con más fuerza, como Big Data, el cloud computing, la movilidad y demás, también requiere de un esfuerzo extra en seguridad. Al introducirse nuevos métodos de trabajo en las rutinas laborales se desajustan los controles impuestos con anterioridad, ya que pierden en vigencia y eficacia. Tal y como señalan desde Kaspersky Lab, “los problemas a los que se enfrentan las empresas no son sólo tecnológicos, también tienen su raíz en las políticas y procedimientos implementados por ellas” por lo que la ciberdelincuencia “sólo podrá ser mitigada mediante la formación y capacitación adecuada, consiguiendo así un conocimiento transversal de la problemática en todos los niveles de negocio, aprendiendo las tácticas que los atacantes utilizan para obtener la información que desean”.
Los expertos de Kaspersky son incluso más directos y detectan unos cuantos frentes a tener en cuenta. Serían la necesidad de cifrar los datos, la aceptación del fenómeno BYOD, la utilización de las redes sociales en la oficina, las plataformas P2P para compartir contenido, el almacenamiento de información en dispositivos USB, la conexión a redes inalámbricas, el enganche de las compañías a la nube, el cumplimiento de las medidas de seguridad internas y la propia gestión de software. Veámoslo uno a uno, en combinación con las propias recomendaciones de otro especialista, Vector ITC Group, que incide en el refuerzo de las contraseñas.
No en vano, “en el ámbito laboral gestionamos más contraseñas de las que pensamos, para el correo, la intranet corporativa, el acceso al sistema, a las bases de datos, la wiki o otras numerosas herramientas”, recuerdan desde esta firma de seguridad. “Y cuantas más contraseñas, mayor riesgo y mayor necesidad de asegurarse que son altamente seguras”.
1. Cifra siempre tus datos:
Quienes luchan contra los ciberataques lo tienen muy claro. “Perder el equipo no es el problema”, dice Kaspersky, el peligro se desencadena cuando el empleado que había hecho uso de él, y que después extravía dicho equipo o a quien se lo roban, no ha utilizado tecnología de cifrado para blindar la información almacenada. La recomendación de cifrar sirve tanto para pequeños dispositivos de memoria, como los típicos lápices USB que se trasladan de un lado a otro, como para los propios ordenadores portátiles, tablets PC o teléfonos que se suelen llevar encima cuando se viaja. En este último caso, además, es imprescindible cerrar las sesiones de forma manual, usar siempre contraseñas que bloqueen las cuentas y evitar dejar a la vista información comprometida.
También es aconsejable recurrir a la ayuda de la verificación en dos pasos, como añaden desde Vector, cuando los servicios online utilizados lo permiten. Se trata de ir cerrando puertas y no ponérselo fácil a los ciberdelincuentes. Es más complicado que éstos tengan acceso físico al segundo dispositivo asociado, al que se envía el código adicional de identificación, que a uno solo de ellos.
2. Crea la contraseña más indestructible que puedas:
¿Cómo llegar a la construcción de passwords imposibles de adivinar por los atacantes? Aunque las credenciales de acceso no son eternas o no deberían serlo, tanto es así que los chicos de Vector les ponen una fecha de caducidad de entre 3 y 6 meses, momento en el que todo el mundo debería elegir combinaciones nuevas, ya sea a nivel individual o de aplicaciones corporativas, existen pautas para endurecerlas. Por ejemplo, las contraseñas deben ser largas, yéndose por encima de los 8 caracteres, y mezclar letras, números y símbolos, al igual que mayúsculas y minúsculas. Esto quiere decir que no se pueden usar palabras recogidas en el diccionario, ni tampoco vinculadas a la personalidad y vida de su dueño.
Es importante elegir contraseñas diferentes para cada servicio utilizado. De este modo, si una de ellas cae en las manos equivocadas junto a la dirección de email o el nombre de usuario no producirá un efecto dominó, al coincidir con el resto. Otras garantías serían cifrar las propias contraseñas, usar un hash y no almacenarlas.
3. Abraza el BYOD, pero estableciendo una normativa:
Como decíamos antes, la industria está en plena transformación. Si una empresa quiere liderar el cambio, no puede demorarse a la hora de adaptar tendencias como la movilidad dentro de la oficina a través del BYOD, “bring your own device” o “trae tu propio dispositivo”. Pero eso no quiere decir que los administradores de TI tengan que aceptar teléfonos y tabletas alegremente, sin imponer restricciones, sin aplicar medidas de seguridad o sin modernizar las que ya existían. Sobre todo si tenemos en cuenta que, de por sí, la implantación de soluciones antimalware en los dispositivos móviles personales no es demasiado elevada.
“Si estos dispositivos personales se conectan a la intranet de la empresa”, dice Kaspersky, “deben ser debidamente analizados antes de autorizar su acceso a recursos corporativos y, a continuación, ha de realizarse una segmentación de red y puesta al día del software antimalware y el firewall”.
4. ¿Abraza las redes sociales?, pero con cautela:
Con la popularización de las redes sociales, sobre todo Facebook y Twitter, pero también otras de carácter más especializado como YouTube e Instagram, que permiten subir vídeos y fotografías, el debate de si admitir su uso o no en la oficina ha pasado por todas las etapas. Frente a la oposición inicial de las empresas fueron surgiendo estudios que desaconsejaban su prohibición y censura, ya que la navegación esporádica por redes sociales reforzaría aspectos positivos como la productividad de la plantilla. ¿Por qué? Porque consultar las redes ayudaría a despejar la mente y liberar tensiones. Ya se sabe que no hay nada peor que un trabajador frustrado y agobiado.
El caso es que las redes sociales son un flanco fácil del cibercrimen por el alto número de seguidores que tienen. Los cacos 2.0 despliegan en ellas técnicas de ingeniería social, manejan “phishing“, usan enlaces a páginas maliciosas, se hacen pasar por personas conocidas e incluso llegan a usurpar cuentas reales. Por eso conviene concienciar al personal sobre los peligros que acechan, incluso ahí dentro. Lo mismo ocurre a la hora de gestionar perfiles profesionales.
En la segunda parte de este artículo, que publicaremos mañana, os contaremos los otros ocho aspectos a cuidar y medidas a implementar por el bien de una empresa más segura, como evitar los programas de descarga P2P o conocer los peligros que rodean al uso de memorias USB.