EMPRENDER, INNOVAR, TRIUNFAR
lunes, 30 de noviembre de 2020
Ciberseguridad
OPINIÓN: "Reglas básicas para la ciberseguridad corporativa en 2020"
Algunas de las buenas prácticas más importantes implican abordar protocolos de seguridad que son críticos para proteger las redes y sitios web de la empresa
06/08/2020

2020 se revela como el año crítico en lo que respecta a la ciberseguridad, ya que una gran cantidad de empresas se han visto obligadas a establecer que sus empleados trabajen desde casa y eso ha expuesto muchos problemas de seguridad. Sin embargo, la realidad es que, incluso sin la presión adicional de la situación de la Covid-19, las empresas encuentran algunas dificultades en cuanto a la ciberseguridad. El incumplimiento de las prácticas de protección de datos puede ocurrir incluso entre las compañías más grandes; de hecho, los medios de comunicación informan constantemente sobre casos de compañías hackeadas o datos privados robados.

Como proveedor de alojamiento web gestionado desde hace más de 16 años, la seguridad web es uno de los pilares clave de los servicios de SiteGround, tanto en términos de garantizar la protección de los sitios web de nuestros clientes como de establecer procedimientos de seguridad internos para nuestro equipo. Como parte de nuestros esfuerzos para asegurar los sitios web alojados en nuestra plataforma, tenemos un equipo de seguridad altamente capacitado y un equipo de administración de sistemas operando las 24 horas del día, cuyo único trabajo es vigilar las amenazas de seguridad web. También desarrollamos nuestras soluciones de seguridad personalizadas internas, como nuestro sistema AI Anti-bot que bloquea entre 500,000 y 2 millones de intentos de fuerza bruta por día, y un firewall de aplicaciones web que actualizamos constantemente para reflejar los últimos desarrollos de seguridad. Internamente, también tenemos  estrictos procedimientos de seguridad que aseguran que nuestro equipo trabaje de acuerdo con los más altos estándares de seguridad. Según nuestra experiencia, a continuación se incluyen algunas de las mejores prácticas de seguridad que puedes comenzar a implementar en tu propia empresa.

Asegura tu empresa desde un punto de vista técnico

Comienza realizando una auditoría de tus activos técnicos, clasifícalos según la prioridad y comienza a trabajar desde arriba, incluso si no logras cubrirlos todos a la vez. Una auditoría también ayudará a obtener una estimación del presupuesto necesario para que no haya sorpresas por el camino.

Algunas de las buenas prácticas más importantes implican abordar protocolos de seguridad que son críticos para proteger las redes y sitios web de la empresa. Comienza migrando todo el tráfico a los protocolos HTTP / 2 y / o QUIC. QUIC se considera una de las soluciones más prometedoras para disminuir la latencia web y al mismo tiempo proporcionar seguridad. En SiteGround sabemos que este es un aspecto crítico de seguridad, por lo que fuimos de las primeras compañías en proporcionar esta tecnología. Además, deberías utilizar la última versión del protocolo de cifrado TLS 1.3 y, si es posible, desactivar las versiones anteriores. Otras cosas que puedes comenzar a implementar para mejorar la seguridad son los encabezados de seguridad HTTP, que proporcionan otra capa de seguridad al ayudar a administrar ataques y vulnerabilidades:

  • El encabezado Content-Security-Policy ayudará a prevenir ataques como Cross Site Scripting (XSS) y también otros ataques como inyecciones
  • El encabezado X-Frame - Options proporcionará protección contra el clickjacking al no permitir que se carguen iframes en su sitio web
  • X-XSS: el encabezado de protección se ha desarrollado para habilitar el filtro de secuencias de comandos entre sitios (XSS) integrado en los navegadores web contemporáneos
  • Estricto - Transporte - El encabezado de seguridad es una característica de seguridad utilizada para restringir los navegadores web para acceder a servidores web únicamente a través de HTTPS

La ciberseguridad es un proceso continuo, por lo que mantenerse actualizado y trabajar constantemente en la seguridad de tu empresa es tu mejor oportunidad para protegerte de los hackers.

Protege la comunicación del equipo

El aumento de la popularidad de las videollamadas es natural, pero incluso antes de la situación excepcional creada a raíz de la pandemia, muchas compañías ya las utilizaban para conectar equipos que trabajan en remoto, programar reuniones con clientes, etc. El primer trimestre de 2020, el popular software de videoconferencia Zoom reportó 200 millones de usuarios diarios, sin mencionar que Google tomó una gran parte del mercado al ofrecer una versión empresarial gratuita de su producto de videollamada Google Meet. Comprensiblemente, esto atrajo la atención de los cibercriminales que estaban más que listos para aprovechar las vulnerabilidades de seguridad encontradas en estas plataformas.

Para protegerte contra la pérdida de datos, puedes llevar a cabo las siguientes buenas prácticas:

  • Utiliza contraseñas para tus reuniones y compártelas solo con los participantes de dichas reuniones.
  • Usa salas de espera para entrar a las reuniones si están disponibles en la plataforma que utilizas, ya que esto te permitirá controlar quién entra a tu videollamada.
  • Evita los complementos de terceros (a menudo se usan en navegadores)
  • Evita compartir información no encriptada en videollamadas

En términos generales, las dos primeras reglas deberían permitirte mantener alejados a los intrusos, aunque si puedes limitarte utilizar un servicio de videoconferencia aprobado por la empresa, sería lo ideal.

Realiza formaciones de seguridad para tus empleados

La ciberseguridad es un asunto complejo y es mejor no dar por sentado que tus empleados son plenamente conscientes de las amenazas a la seguridad web. Una buena manera de garantizar que todos estén al día es organizando formaciones en seguridad interna. En general, los dos tipos más comunes de infracciones de seguridad se producen a través de la suplantación de identidad mediante las llamadas prácticas de phishing o spear-phishing, así que echemos un vistazo a qué puntos específicos deben abordarse respecto a ellas.

Phishing y spear-phishing

Generalmente, el phishing y el spear-phishing (o phishing dirigido) se realizan mediante envíos de correo electrónico y mensajes instantáneos (más raramente por SMS). El objetivo del phishing es robar datos, generalmente credenciales de inicio de sesión, números de tarjetas de crédito o datos confidenciales de la empresa. La formación de los empleados debe incluir las siguientes formas de protegerse del phishing:

  • Verificar la dirección de correo electrónico es una de las principales formas de garantizar que el correo electrónico sea legítimo. La URL de la dirección de correo electrónico debe coincidir con el dominio exacto del supuesto remitente (por ejemplo: mail@nombredelaempresa.com y no nombredelaempresa@algomas.com)
  • Comprobando si su dirección de correo electrónico está en el campo "Para". Un campo vacío "Para" es indicativo de envío masivo que es casi un signo seguro de intento de spam / phishing.
  • Si algo en el correo electrónico parece extraño, como el contenido, la paleta de colores, el tono de voz o algo similar, aconseje que se comuniquen con el presunto remitente y que verifiquen si el email es legítimo, especialmente si hay un archivo adjunto.
  • Prestar atención a los enlaces: los enlaces en correos electrónicos de phishing a menudo se utilizan para redirigir a un sitio diferente al indicado en el correo electrónico. Indica a tus empleados que una manera fácil de verificar hacia dónde va el enlace es pasar el ratón sobre el enlace y ver si coincide con el sitio donde se supone que debe ir.
  • Los correos que requieren una acción urgente también deben ser examinados, particularmente si no tienen un destinatario personal dentro.

 Pretexting

Bajo el denominado “pretexting” se engloban todos los intentos de obtener información confidencial de manera ilegítima suplantando la identidad del remitente, generalmente, una persona supuestamente conocida por el destinatario en una posición de poder, como alguien de la administración, un agente de la ley, un miembro de su banco, etc. El foco de esta estafa es intimidar al destinatario y hacer que sea más probable que proporcione información solicitada. La información solicitada suelen ser cosas como números bancarios, números de seguridad social, etc. También podría ser algo relacionado con preguntas de seguridad que generalmente se solicitan para cuentas bancarias o tarjetas de crédito.

La mejor defensa posible contra este tipo de estafa es:

  • No rellenes formularios en sitios web desconocidos o, si se parecen a uno conocido, asegúrate de que este sea el sitio web correcto y no un sitio web fraudulento que copie el original.
  • Tener cuidado con los correos electrónicos entrantes de compañeros, managers y otras figuras de autoridad que parezcan fuera de lo común. Si te llega un correo pidiéndote algo inusual o sospechoso, lo mejor que puedes hacer es llamar al supuesto remitente para confirmarlo o encontrar otra forma de garantizar que la solicitud en cuestión sea legítima.

Completa la formación de tus empleados recordándoles que, incluso si sucede algo, el mejor camino para controlar los daños es una reacción rápida, por lo que deben avisar a un superior o al equipo de seguridad de inmediato.

Conclusión

En SiteGround nos llevó mucho tiempo y esfuerzo llegar a donde estamos ahora, una empresa donde la ciberseguridad es un pilar central, pero lo importante es comenzar por algún lado. Incluso si no tienes a tu disposición grandes recursos, puedes hacer una lista de todos los pasos que planeas seguir y abordarlos gradualmente, pero de manera constante. Recuerda, los datos actuales son uno de los activos más valiosos del mundo, por lo que la seguridad de tu empresa es la piedra angular de una base de negocio bien construida.