El Laboratorio de Investigación de ESET Latinoamérica elaboró una lista -sin ningún orden en particular- con los hábitos más importantes que deberían incorporar los usuarios para hacer un uso más seguro de la tecnología durante este año. Camilo Gutiérrez, jefe del laboratorio de la compañía de seguridad eslovaca, explicó cuáles son las once mejores prácticas de seguridad empresarial.
Por Ignacio Palumbo | @ignacio_palumbo
La seguridad empresarial debe jugar un rol “prioritario” dentro de las preocupaciones de una empresa, afirmó Gutiérrez.
Esto es debido a que cualquier incidente no solo afecta “a un sistema en particular”, sino que puede perjudicar “al desenvolvimiento diario del negocio”. Para mitigar estos problemas, siempre es recomendable realizar evaluaciones periódicas de la infraestructura en pos de evitar fallas de seguridad que les podrían dar acceso a la información de la compañía a los atacantes. “Para afrontar este cometido, hay que combinar gestión con educación y tecnología”, indicó el experto.
La gestión define la manera de proceder ante incidentes de seguridad, ayuda a evitar los sucesos o minimizar el impacto. A su vez, la educación es necesaria para concientizar a los empleados para que no caigan en engaños ni accedan a sitios web peligrosos. En cuanto a la tecnología, soluciones de seguridad como las que ESET ofrece cuentan con capacidades de detectar esos puntos débiles y alertar al equipo de seguridad del suceso.
“En otras palabras, la preocupación sobre las vulnerabilidades tiene que ser real”, añadió el ejecutivo. El desafío, que “no es fácil pero que se debe afrontar”, reside “en que las empresas identifiquen estos sucesos de una mejor manera, optimizando los tiempos y evitando los incidentes”.
Al final del día, el éxito por parte de las empresas en la gestión de amenazas “estará determinado por la velocidad, la escalabilidad, la interoperabilidad y la visibilidad que se le pueda dar a las amenazas modernas”, señaló.
De esta manera, Gutiérrez detalló una lista de once métodos prácticos para llevar adelante una mejor y más eficiente seguridad.
#1: Acatar las políticas de seguridad
Naturalmente, se empieza por leerlas, comprenderlas y aclarar cualquier duda que pueda surgir. Para saber cómo evitar caer en un engaño, cómo evitar descargar accidentalmente una amenaza o qué se entiende por fuga de información, deberás familiarizarte con las políticas de seguridad de la organización en la que trabajas y cumplirlas. De nada sirve que los encargados de la seguridad diseñen sus procesos ideales si el resto del equipo tiene una conducta irresponsable.
#2: Clasificar la información
Prácticamente todo tu trabajo se basa en datos, pero de seguro no todos tienen la misma importancia o criticidad. Se deberá identificar la información más sensible y hacerle saber al equipo técnico cuál es, para que adecúe la política de backup y no se pierda el acceso a los archivos necesarios -principalmente para la continuidad del negocio- en caso de que se produzca un incidente.
#3: Usar las herramientas de seguridad puestas a disposición
Implementar y mantener actualizados controles como antivirus, firewall o antispam, entre otros y, a su vez, concientizar a toda la organización en el uso de las políticas de emails.
Claro que los encargados de seguridad deben velar por esta correcta utilización a nivel general, pero es fundamental que cada miembro de la organización cumpla con su parte: no ignorar las advertencias del antivirus si dice que tal sitio es sospechoso o un archivo parece malicioso.
#4: Crear contraseñas fuertes
Cada herramienta, portal o servicio que se utiliza en el trabajo requerirá credenciales de acceso, pero es importante que nunca se repita la misma contraseña en más de uno. Si alguien se hiciera con esa clave, accedería a todas las cuentas y servicios; sería como usar la misma llave para todas las cerraduras, y no es para nada recomendable.
Las contraseñas deberán ser robustas, difíciles de adivinar para un extraño, pero fáciles de recordar para el usuario, con más de diez caracteres combinando letras mayúsculas y minúsculas, números, espacios y caracteres especiales. Y en la medida de lo posible, si los servicios lo permiten, activar el doble factor de autenticación como medida adicional al uso de contraseñas.
Si recordarlas parece una tarea imposible, se puede usar un gestor de contraseñas, en el que se podrá guardar el listado de manera práctica y segura.
#5 Resguardar la información personal
Es preferible evitar compartir la información con entidades o personas que no están autorizadas o no tienen por qué acceder a la misma. Aunque sea una actividad relacionada al trabajo, es responsabilidad de cada miembro de la organización resguardar su información personal.
#6 Respetar las actualizaciones de seguridad
Siempre que haya una actualización de software se deberá instalarla de inmediato. Si bien esto entra dentro de las tareas del equipo de tecnología informática (TI), cada empleado puede ayudarlos haciéndoles saber cada vez que aparece un cartel de actualización en la PC.
Con los últimos parches aplicados, el sistema y la red entera estará más a salvo de la explotación de vulnerabilidades.
#7 Eliminar de manera adecuada la información
Si se trata de documentos físicos y contienen datos sensibles, hay que destruirlos antes de desecharlos. Si son activos digitales, hay que asegurarse de que no queden remanentes en carpetas olvidadas y usar las herramientas adecuadas. De nuevo, el equipo de TI puede instalar y concientizar en el uso de herramientas de borrado seguro.
#8 Bloquear la sesión
Más allá de bromas que los compañeros de trabajo puedan hacerse si dejan la computadora desbloqueada al levantarte, se debe considerar que esa sesión abierta es una mina de oro para alguien con malas intenciones.
Puede que sea poco probable que un cibercriminal se infiltre en la oficina y se siente en un lugar sin que nadie lo note, pero quizá un vistazo a lo que hay en la pantalla es suficiente para saber qué sistema operativo o navegador se usa y así determinar qué vulnerabilidades podrían explotarse, qué cliente de email se usa para adaptar engaños, o qué tipo de archivos se es más propenso a abrir. Mejor evitar exponer información a terceros no autorizados.
#9 Ser cauto con el correo electrónico
Revisar con cuidado el correo recibido, especialmente cuando es de proveedores externos desconocidos. Evitar acceder a enlaces sospechosos y descargar archivos adjuntos de remitentes dudosos.
Para ello, se deberá observar los detalles y prestar atención a las señales de que se está ante un engaño (dirección real del remitente o URL del link que se invita a acceder, como puntos más importantes).
#10 Hacer uso responsable de los dispositivos móviles
Si se tiene un smartphone corporativo, solo se debería usar con fines laborales y respetando las configuraciones que aplicó el equipo de TI. Al igual hay que ser cuidadoso con la PC o el smartphone personal, sobre todo en lo que respecta a uso compartido de pendrives u otros dispositivos que permitirían compartir tanto información como virus o amenazas entre las maquinas personales y laborales.
#11 Reportar inmediatamente cualquier incidente de seguridad
Si ocurre lo peor y se cree que accidentalmente se descargó una amenaza, o se nota un comportamiento extraño en el equipo, se deberá reportarlo inmediatamente al equipo de TI para que pueda actuar de manera adecuada.
A tener cuidado
Gutiérrez detalló que, de no contar con una seguridad apropiada, los mayores riesgos son “la fuga de información” -ya sea por “canales externos o internos”- y ante “incidentes” contra la infraestructura, la caída en la continuidad del negocio, factor fundamental hoy para cualquier empresa.
Sin embargo, explicó que “no es posible hacer un cálculo monetario o en porcentaje” de lo que este riesgo representa para una empresa. “Varía mucho de sector a sector y de empresa a empresa (…) de la misma manera que para cada empresa el valor de su imagen frente a los clientes o asociados ante una falla o filtración de información también varía demasiado”, apuntó.
De lo que sí se puede estar “completamente seguros”, afirmó el experto, es que cualquier inversión en seguridad, por más elevada que parezca, siempre será “extremadamente menor al valor de la información o procesos que está protegiendo ante una falla”.
