Consejos Seguridad Informática

Consejos básicos de Seguridad Informática que toda empresa debería aplicar

Para las empresas, sin importar su tamaño, es vital proteger su información confidencial. En dependencia de los recursos encontramos diferentes medidas que una empresa puede implementar, pero lo más importante a tomar en cuenta es que en la práctica gran parte de la responsabilidad la tienen sus empleados. El eslabón más débil de la cadena de la seguridad de la información es siempre el humano.

Por esta razón es de suma importancia que los colaboradores de su empresa conozcan prácticas básicas e indispensables que permitan mantener seguros los datos y equipos.

Es fundamental poder transmitir estas prácticas al equipo, aunque algunas parezcan de sentido común.

1. Confirmar la identidad de todo aquel que solicite información

Esto es especialmente útil para roles de recepcionistas, call center, soporte técnico, recursos humanos o cualquier otro que requiera proporcionar datos en determinadas ocasiones.
Muchas veces atacantes pueden aprovechar la ingenuidad o buena fe de las personas para obtener información haciéndose pasar por proveedores, clientes, etc. con alguna excusa que parezca legítima. Por tanto es importante que el equipo conozca de estas tácticas y se aseguren de confirmar que la persona es quien dice ser, antes de proporcionar información alguna.

2. Ojo con las contraseñas

Si hay que tener cuidado con las contraseñas de nuestras cuentas personales, mucho más con las que dan acceso a información corporativa.
Lo primero es seguir las recomendaciones para crear una “buena contraseña”: no usar la misma en varios sitios o servicios web (sobre todo si uno es personal y otro de empresa), evitar que contenga detalles muy evidentes de la persona (ej. fechas de cumpleaños, nombres de mascotas, equipos de deportes favoritos, etc.), procurar que incluya números, símbolos, aparte de letras, y combinar mayúsculas y minúsculas.

Algo muy común que debemos evitar es que las personas anoten contraseñas en un “post-it” o cualquier papel de notas en su escritorio.
Por último jamás revele su contraseña a alguien por teléfono o correo electrónico, aunque sea empleado de la empresa.

3. Sobre el Correo Electrónico

Una de las principales herramientas que utilizan los hackers o cibercriminales para obtener información de una organización es el Correo Electrónico, y lo seguirá siendo durante un buen tiempo. En este caso la principal recomendación es no utilizar las cuentas de correo corporativas para fines personales ni utilizarla para registrarse en sitios públicos como foros o sitios web donde todo el mundo puede acceder, ya que esto conllevará a acabar en listas de spam recibiendo correos molestos y muchos peligrosos.  

Otra recomendación importante es nunca responder correo que provenga de un remitente desconocido o sospechoso (esto se puede comprobar analizando la dirección de correo electrónico del remitente), ni mucho menos abrir o descargar archivos adjuntos, que lo más probable es que escondan Malware o Virus que afectarán su equipo y algunos toda la red de la empresa.

4. Las Redes Sociales

Las redes sociales se han convertido en el riesgo más reciente, por lo tanto de los más desconocidos y no tan valorados. En muchos casos bastará con bloquear acceso a estas redes, pero muchas empresas hacen uso de las mismas con fines publicitarios, de manejo de marca, etc. aparte del uso personal que pueda hacer cada colaborador desde su celular. En este caso se debe buscar una estrategia que funcione en cada empresa, buscando siempre mejorar la productividad y evitar actividades como publicar fotografías o videos de información o lugares críticos de la organización.

5. Antivirus y más

Al conectar a internet cualquier equipo, sea móvil o de escritorio, comienza a estar expuesto a diferentes vulnerabilidades, por tanto es importante antes de hacerlo tener instalado al menos un buen antivirus, sobre todo si hablamos del ambiente empresarial. Existen soluciones como “esta”, que pueden proteger la red y la información de la empresa en muchas circunstancias, aún cuando los colaboradores cometen algún error o imprudencia.
Se debe tener muy en cuenta este tipo de soluciones (hay para todos los presupuestos) que permitan concientizar y mejorar la seguridad para las empresas.

6. Programas de fuentes desconocidas

Es habitual en las empresas que restrinjan a sus colaboradores de instalar nuevos programas en sus equipos, sea mediante permisos del sistema operativo o a través de otros mecanismos. Sin embargo puede haber ocasiones que con los permisos suficientes se pueda ejecutar software no confiable. Una recomendación importante es evitar descargar software de sitios sospechosos o que no se conozcan, pero antes de esto lo mejor sería ni siquiera poder navegar en esos sitios. El navegador también es una de las principales puertas de acceso que los hackers o cibercriminales utilizan.

7. Copias de seguridad y la Nube

Es de suma importancia implementar una política de copias de seguridad. Normalmente todo el mundo guarda la información en el disco interno de su equipo y no acostumbra a hacer respaldos periódicos ni a pensar que el equipo puede dañarse o extraviarse, lo que supone la pérdida de información valiosa para la empresa.
En este caso la recomendación es realizar copias de seguridad periódicas en servidores de la empresa o a través de algún servicio en la Nube.

Ojo con respaldos en memorias USB, si estas las lleva la persona en el mismo lugar que su laptop por ejemplo, corre el riesgo de perder tanto los datos originales como el respaldo. Aunque suene bastante obvio es importante no transportar ni guardar en el mismo lugar la USB o disco externo y su equipo de trabajo.

Respecto a los servicios en la Nube debemos tener claro que la principal ventaja es que estos proveedores están más preparados que una empresa pequeña o mediana para hacer frente a diferentes tipos de incidentes, incluidos ciberataques. Sin embargo hay que tomar en cuenta ciertas recomendaciones al utilizarlos como son: una buena contraseña para acceder (ver punto 2), acceder desde equipos protegidos y conexiones seguras, no subir documentos de la empresa a cuentas personales, entre otras.

8. La educación hace la diferencia

La educación como herramienta para enseñarle a un equipo sobre las amenazas actuales y cómo se propagan podría lograr la diferencia entre el usuario que hace clic en una campaña de phishing o visita un sitio comprometido desde un correo de spam y el que no lo hace.

Conclusión:

Todas estas recomendaciones deberían implementarse con equilibrio, entre seguridad y complejidad, de esta manera los colaboradores pueden poner de su parte y seguir los consejos, o por el contrario ser tus peores enemigos. No se pueden poner las cosas demasiado difíciles ya que las personas encontrarán la forma de hacerlas a su manera, que puede ser insegura y poco confiable. 

La idea al final es poder implicar a todos los actores de la empresa en el cumplimiento de normas que garanticen la seguridad informática dentro de la empresa. El conocimiento y el cumplimiento de estas normas asegura y minimiza los riesgos que corren las empresas.