David Kelleher, analista de Comunicaciones e investigación de GFI Software, nos ofrece unas recomendaciones básicas para garantizar la seguridad de la información empresarial y que resultarán fácilmente aplicables a cualquier pequeña o mediana empresa del mercado.
La información de una compañía supone uno de sus activos más importantes que, como tal, debe estar protegido a través de programas de seguridad, realizando backups periódicos y concienciando a los empleados acerca de las amenazas de Internet y de las formas para evitarlas. Estas son algunas recomendaciones clave para conseguir tal cometido.
1. Asegurarse de que los programas y el sistema operativo de los ordenadores han sido actualizados.
Existe un gran número de vulnerabilidades en sistemas operativos, navegadores y otras aplicaciones que los códigos maliciosos podrían explotar fácilmente. Dichas aplicaciones corren, a veces, en equipos que no han sido actualizados desde hace más de un año.
Si una PYME cuenta con un considerable número de equipos informáticos, disponer de un sistema de monitorización a nivel empresarial y actualizarlo periódicamente puede resultarle económico. En compañías de menor tamaño, por otro lado, los ordenadores deberían configurarse para que acepten las actualizaciones de Microsoft Windows. Asimismo, también deberían establecerse actualizaciones automáticas en aplicaciones como navegadores, soluciones antivirus, reproductores multimedia y productos Adobe. También es importante que los ordenadores estén encendidos y conectados a Internet en los momentos para los que han sido programados los updates.
En general y en organizaciones de cualquier tamaño, además, los usuarios deberían recibir una formación específica para comprender la importancia de estas actualizaciones.
2. Resulta imprescindible que todos los equipos conectados a Internet dispongan de una solución antivirus actualizada y de cortafuegos adecuadamente configurados.
Las PYMEs que cuenten con un parque informático de cierto tamaño, deberían disponer de protección antivirus en las pasarelas de Internet, en los sistemas de correo electrónico, en las redes informáticas y en sus ordenadores. Al igual que hemos comentado antes, un producto antivirus para empresas puede resultar una solución económica que permita una monitorización centralizada, así como la instalación automática de las actualizaciones en los equipos.
3. Formar a los empleados para que reconozcan los ataques phising y otras técnicas de ingeniería social.
Los ataques phising para conseguir contraseñas bancarias han sido los responsables de la pérdida de cientos de millones de euros de las cuentas bancarias de pequeñas y medianas empresas, sólo durante el pasado año.
En esta área, se utilizan los datos personales robados para transferir fondos a intermediarios que, a continuación, los envían a organizaciones criminales en el extranjero. Estos esquemas dependen de la ingeniería social dirigida a los empleados que tienen acceso a los datos bancarios.
En numerosas ocasiones, se han enviado emails con adjuntos que contenían troyanos infecciosos a los empleados específicos responsables de los pagos y de las transferencias monetarias. Los adjuntos normalmente se “disfrazan” de facturas u otros documentos financieros y, una vez abiertos, lo que se consigue son infecciones o key loggers. Una buena medida de protección es meterse en la propia Web corporativa y eliminar los nombres de los responsables financieros, a no ser que exista una razón de peso para que los mismos permanezcan de manera pública. Con esta medida, los “ingenieros sociales” tendrán más dificultades para localizar a sus víctimas.
Dado que la ingeniería social es la base de este tipo de fraude, enseñar a los usuarios a reconocer los ataques phishing y de ingeniería social resulta esencial para la protección de la compañía. Asimismo, establecer un sistema de autenticación en el que se requieran dos personas para realizar una transferencia monetaria también es una buena idea para mejorar las defensas ante este tipo de fraude.