No hay que esperar a que ocurra una catástrofe para invertir en seguridad. Velar por la protección informática en las empresas es más que una necesidad. Se trata de una obligación. Y no sólo porque un blindaje correcto de las instalaciones sirva para dar un paso más hacia el exterminio del cibercrimen, para evitar que los ordenadores funcionen sin cuelgues o para garantizar que el dinero que se va ganando continúe a salvo en las arcas de la compañía y la información sensible se mantenga fuera del alcance de terceros, salvando escándalos. También es importante proteger las infraestructuras corporativas para que ninguna desafortunada brecha acabe enturbiando la imagen de marca y minando la confianza de los clientes. Al final se trata de un factor de marketing más, que te ayudará a diferenciarte respecto a los competidores que no hayan hecho los deberes.
La situación empeora si añadimos que los enemigos de las corporaciones no sólo atacan desde fuera, sino que cuentan con aliados en la propia oficina, en forma de trabajadores mal formados o incluso desencantados. Hasta una quinta parte de los profesionales del área de la Tecnología de la Información y la Comunicación temen que los empleados se conviertan en una amenaza para los datos que maneja la compañía.
La aparición de tendencias profesionales que pegan cada vez con más fuerza, como Big Data, el cloud computing, la movilidad y demás, también requiere de un esfuerzo extra en seguridad. Al introducirse nuevos métodos de trabajo en las rutinas laborales se desajustan los controles impuestos con anterioridad, ya que pierden en vigencia y eficacia. Tal y como señalan desde Kaspersky Lab, “los problemas a los que se enfrentan las empresas no son sólo tecnológicos, también tienen su raíz en las políticas y procedimientos implementados por ellas” por lo que la ciberdelincuencia “sólo podrá ser mitigada mediante la formación y capacitación adecuada, consiguiendo así un conocimiento transversal de la problemática en todos los niveles de negocio, aprendiendo las tácticas que los atacantes utilizan para obtener la información que desean”.
No en vano, “en el ámbito laboral gestionamos más contraseñas de las que pensamos, para el correo, la intranet corporativa, el acceso al sistema, a las bases de datos, la wiki o otras numerosas herramientas”, recuerdan desde esta firma de seguridad. “Y cuantas más contraseñas, mayor riesgo y mayor necesidad de asegurarse que son altamente seguras”.
Quienes luchan contra los ciberataques lo tienen muy claro. “Perder el equipo no es el problema”, dice Kaspersky, el peligro se desencadena cuando el empleado que había hecho uso de él, y que después extravía dicho equipo o a quien se lo roban, no ha utilizado tecnología de cifrado para blindar la información almacenada. La recomendación de cifrar sirve tanto para pequeños dispositivos de memoria, como los típicos lápices USB que se trasladan de un lado a otro, como para los propios ordenadores portátiles, tablets PC o teléfonos que se suelen llevar encima cuando se viaja. En este último caso, además, es imprescindible cerrar las sesiones de forma manual, usar siempre contraseñas que bloqueen las cuentas y evitar dejar a la vista información comprometida.
También es aconsejable recurrir a la ayuda de la verificación en dos pasos, como añaden desde Vector, cuando los servicios online utilizados lo permiten. Se trata de ir cerrando puertas y no ponérselo fácil a los ciberdelincuentes. Es más complicado que éstos tengan acceso físico al segundo dispositivo asociado, al que se envía el código adicional de identificación, que a uno solo de ellos.
¿Cómo llegar a la construcción de passwords imposibles de adivinar por los atacantes? Aunque las credenciales de acceso no son eternas o no deberían serlo, tanto es así que los chicos de Vector les ponen una fecha de caducidad de entre 3 y 6 meses, momento en el que todo el mundo debería elegir combinaciones nuevas, ya sea a nivel individual o de aplicaciones corporativas, existen pautas para endurecerlas. Por ejemplo, las contraseñas deben ser largas, yéndose por encima de los 8 caracteres, y mezclar letras, números y símbolos, al igual que mayúsculas y minúsculas. Esto quiere decir que no se pueden usar palabras recogidas en el diccionario, ni tampoco vinculadas a la personalidad y vida de su dueño.
Es importante elegir contraseñas diferentes para cada servicio utilizado. De este modo, si una de ellas cae en las manos equivocadas junto a la dirección de email o el nombre de usuario no producirá un efecto dominó, al coincidir con el resto. Otras garantías serían cifrar las propias contraseñas, usar un hash y no almacenarlas.
Como decíamos antes, la industria está en plena transformación. Si una empresa quiere liderar el cambio, no puede demorarse a la hora de adaptar tendencias como la movilidad dentro de la oficina a través del BYOD, “bring your own device” o “trae tu propio dispositivo”. Pero eso no quiere decir que los administradores de TI tengan que aceptar teléfonos y tabletas alegremente, sin imponer restricciones, sin aplicar medidas de seguridad o sin modernizar las que ya existían. Sobre todo si tenemos en cuenta que, de por sí, la implantación de soluciones antimalware en los dispositivos móviles personales no es demasiado elevada.
“Si estos dispositivos personales se conectan a la intranet de la empresa”, dice Kaspersky, “deben ser debidamente analizados antes de autorizar su acceso a recursos corporativos y, a continuación, ha de realizarse una segmentación de red y puesta al día del software antimalware y el firewall”.
Con la popularización de las redes sociales, sobre todo Facebook y Twitter, pero también otras de carácter más especializado como YouTube e Instagram, que permiten subir vídeos y fotografías, el debate de si admitir su uso o no en la oficina ha pasado por todas las etapas. Frente a la oposición inicial de las empresas fueron surgiendo estudios que desaconsejaban su prohibición y censura, ya que la navegación esporádica por redes sociales reforzaría aspectos positivos como la productividad de la plantilla. ¿Por qué? Porque consultar las redes ayudaría a despejar la mente y liberar tensiones. Ya se sabe que no hay nada peor que un trabajador frustrado y agobiado.
El caso es que las redes sociales son un flanco fácil del cibercrimen por el alto número de seguidores que tienen. Los cacos 2.0 despliegan en ellas técnicas de ingeniería social, manejan “phishing“, usan enlaces a páginas maliciosas, se hacen pasar por personas conocidas e incluso llegan a usurpar cuentas reales. Por eso conviene concienciar al personal sobre los peligros que acechan, incluso ahí dentro. Lo mismo ocurre a la hora de gestionar perfiles profesionales.
En la segunda parte de este artículo, que publicaremos mañana, os contaremos los otros ocho aspectos a cuidar y medidas a implementar por el bien de una empresa más segura, como evitar los programas de descarga P2P o conocer los peligros que rodean al uso de memorias USB.
Este cambio refleja los avances que se producen a nivel de infraestructura TI y el…
El evento espera reunir a 17.000 directivos, que podrán escuchar a medio centenar expertos en…
Como resultado de esta operación, ampliará sus servicios en el "bronze layer" del ciclo de…
Durante el segundo trimestre de su año fiscal 2025 acumuló 1.660 millones de dólares, la…
También incluye un SDK open source para potencia el desarrollo de aplicaciones y agentes, especialmente…
Los ciberdelincuentes recurren a ofertas que no son ciertas, tarjetas regalo y sorteos para robar…
