Cómo proteger a tu empresa de los ciberdelincuentes, paso a paso (II)

En la primera parte de este artículo, que publicamos ayer, os contamos los cuatro primeros aspectos a cuidar y medidas a implementar por el bien de una empresa más segura, con la ayuda de Kaspersky Lab y Vector ITC Group. Se trata de la obligación inexcusable de cifrar los datos que maneja la empresa, ya sea en equipos informáticos como ordenadores o en los propios dispositivos de almacenamiento portátil, de la elección de contraseñas indestructibles, de la implantación de políticas de seguridad móvil y del uso responsable de las redes sociales. Ahora seguimos con la lista, siguiendo los apuntes de ambas compañías especializadas en tecnología y seguridad:

5. Destierra el software P2P para conexiones con terceros:

El sentido común debe regir en todo momento, en conjunción con la instalación de programas antimalware, las instrucciones de los superiores y la puesta en práctica de lo aprendido en cursos de formación, el aprovechamiento de las infraestructuras corporativas. Dado que las redes entre iguales P2P ponen en contacto directo a múltiples ordenadores y el contenido que circula por ellas no es el más aconsejables para las empresas, “la gran mayoría de los contenidos ‘pirata’ que se pueden encontrar a través de redes P2P contiene algún tipo de malware”, como bien recuerda Kaspersky, lo mejor será prescindir de ellas. De hecho, los expertos incitan a capar “‘key generators’, parches y cualquier aplicación sospechosa”.

6. No pierdas de ojo los USB:

Su facilidad de conexión, y también su capacidad y su tamaño manejable, por qué no decirlo, han aupado a las memorias USB hasta los puestos preferentes de la lista de sistemas de almacenamiento más utilizados por usuarios tecnológicos de todo tipo, incluidos los empleados. Pero esa misma manejabilidad también ha convertido al USB en candidato propicio para las pérdidas, los robos e incluso los ataques de malware. Recientemente se descubría que era posible alterar el firmware de los dispositivos que recurren a esta tecnología de conexión, más allá de los pinchos. Y con el paso de los años se han detectado casos de infecciones por el enganche a equipos informáticos de herramientas que contenían malware y que van pasando de mano en mano, sin necesidad de que los sucesivos usuarios se conecten a Internet y toquen donde no deben.

Ante esto se recomienda no compartir los lápices de memoria, no usarlos en sitios públicos, no copiar archivos ejecutables, mantener actualizados el sistema operativo y aplicar los parches de seguridad que proceda.

7. Huye de las redes inalámbricas públicas:

Lejos de habernos quedado anclados en los tiempos en los que era necesario tener un cable para engancharlo al ordenador de sobremesa y dejar que surgiese la magia de la conexión a Internet, ahora las redes inalámbricas están por doquier. Al trabajar desde gadgets móviles conectados los riesgos se acrecientan, ya que no todas las redes Wi-Fi están protegidas, ni mucho menos. De hecho, son vía de acceso idónea para miradas indiscretas, con intención maligna y sin ella. Si quieres evitarte disgustos, pasa directamente de este tipo de tecnología cuando te encuentres fuera de la oficina o de tu propia casa. Y en cualquier caso, no realices nunca operaciones arriesgadas a través del Wi-Fi, como la autorización de pagos.

También se puede optar por el recurso de las redes privadas virtuales “y la autenticación de dos factores del dispositivo en todo lugar público donde se requiera tener una capa extra de seguridad”, añade Kaspersky.

8. Piensa bien qué guardas en la nube:

Las filtraciones este verano de fotografías subidas de tono de varias famosas, que habían sido alojadas en iCloud, han puesto en jaque la fiabilidad de las soluciones de almacenamiento en la nube, una vez más. Es cierto que ésta no es la primera vez que se cuestiona la seguridad del cloud computing. Sus detractores se lo achacan a menudo, como uno de sus principales puntos débiles, especialmente cuando la gestión de la tecnología queda en manos de terceros. Pero puede que este caso haya sido uno de las más sonados. Una de las lecciones más importantes que nos deja es que, a pesar de que no todo cabe en los discos físicos y la nube quiere quedarse para largo, debemos aprender a organizarnos. Hay qué decidir qué va en cada lugar.

Al fin y al cabo, como señalan los propios investigadores de seguridad, “guardar archivos en Dropbox o cualquier otro proveedor de la nube podría llegar a suponer una violación de datos en un futuro próximo, debido a que estos servicios no tienen una política clara de gestión de la privacidad de la información almacenada”.

9. Aprende la lección, y repásala de vez en cuando:

Haber implementado todas estas medidas de seguridad que os hemos ido enumerando no quiere decir que tengas que relajarte. Sólo estarás seguro si te tomas en serio la puesta en práctica de las técnicas de protección que has ido aprendiendo y renuevas tu manual del buen empleado con el paso del tiempo, a medida que surjan nuevas tendencias laborales y a medida también que los ciberdelincuentes inventen nuevas formas de ataque. Para ello, nada mejor que mantenerte informado. Además de ponerte en manos del departamento de seguridad de tu compañía y someter el sistema a auditorías, sigue los boletines de las empresas que desarrollan software de protección, lee sus blogs y mantente atento a los medios. Y, si tienes dudas, pregunta.

Los integrantes de Vectoraniman, en este sentido, a instaurar sesiones informativas periódicas para mantener a la plantilla al día e incluso para guiarla sobre los pasos a seguir “para gestionar sus contraseñas en su trabajo diario”.

10. No te compliques:

Las empresas deberían darle un poco de cancha a sus empleados, de vez en cuando. Los directivos ya tienen bastante con inculcarles el buen hacer en materia de seguridad, y ellos con aplicar todo lo que se les pide. Así que otorgar una pequeña dosis de libertad en cuanto es posible, y cuando no implica poner en peligro al resto de la corporación, tampoco viene mal. Desde Vector, precisamente, proponen dejar que sean ellos los que redacten “su propia pregunta personalizada en un sistema de preguntas recordatorio para reseteo de contraseñas”. Por un lado, podría resultarles más fácil recordar la respuesta llegado el caso y, por el otro, repercutirá en más protección. Al pasar de las preguntas predefinidas, los ciberdelincuentes tendrían menos material con el que trabajar.

Otra idea es “no contestar con lógica y previsibilidad” y responder con datos que no se puedan encontrar sobre ti en la Red.

11. Investiga antes de aplicar cambios:

Las rutinas no son inamovibles, pero asegúrate de que todo paso que des hacia delante en tu negocio sea para mejor. Si no, deberías quedarte tal y como estás. Esto atañe con especial relevancia a la adopción de servicios web. Para autorizar su uso, los expertos aconsejan revisar primero si dicho servicio usa la tecnología de cifrado HTTPS y si soporta verificación en dos pasos, además de tantear el nivel de dificultad que exigen para la contraseña de acceso y todo lo relacionado con ella. Esto es, si la cuenta se bloquea por haber hecho demasiados intentos de acceso erróneos, si hay un cuestionario de identificación, si en los emails de recuperación se entrega la propia contraseña o un enlace a una página para restaurarla y si se puede cambiar la dirección para este tipo de comunicaciones. Si eres capaz de huir de páginas fácilmente hackeables y cuentas “usurpables”, mejor que mejor.

12. Actualiza, actualiza y actualiza:

Aunque a estas alturas hablemos de actualizar, bien podríamos haberlo dicho al principio o en todos y cada uno de los apartados restantes. Operar en la oficina sólo con equipos informáticos que estén a la última, esto es, que corran la versión más reciente del sistema operativo que lo gobierna y que hayan atajado cualquier vulnerabilidad potencial en navegadores y demás productos con la aplicación de los diferentes parches que van lanzando a modo de boletines urgentes los fabricantes de software, es un deber constante. Es algo que debe estar interiorizado y que debería funcionar como punto de partida para el resto de trucos. Si las actualizaciones repetidas suponen un gasto excesivo, se puede plantear el reemplazo de ciertos programas por soluciones “open source” equivalentes.