Los delincuentes se aprovechan especialmente de la creciente economía en las redes. El riesgo de convertirse en víctima de un ataque digital es hoy en día más alto que nunca. De hecho, más de la mitad de las empresas españolas no están bien preparadas para hacer frente a ataques de piratas informáticos y ladrones de datos. Los que menos conocimientos presentan son las pequeñas y medianas empresas. Aunque no existe la seguridad total, con solo seguir unas sencillas normas, las pymes pueden reducir los riesgos internos y externos, así como proteger mucho mejor sus datos. De la mano de Javier Ortega, director para el sur de Europa y mercados emergentes de Dropbox os dejamos con algunas recomendaciones para las pymes y pequeñas empresas a la hora de prevenir los ciberataques y proteger la información.
El papel del empleado es clave en cualquier medida de seguridad que se lleve a cabo en una empresa. Incluso las empresas más precavidas y seguras no pueden evitar la pérdida de datos si sus empleados guardan datos confidenciales sin cifrar en una memoria USB o si no cambian sus contraseñas. Las contraseñas no solo sirven para restringir las cuentas de los usuarios.
Las contraseñas seguras deberían cumplir una serie de requisitos de calidad: al menos 12 símbolos que incluyan mayúsculas y minúsculas, números y caracteres especiales. Es mucho más seguro no utilizar palabras conectadas o secuencias numéricas que puedan ser tecleadas en un teclado (porque los piratas informáticos utilizan herramientas que averiguan automáticamente las combinaciones de caracteres o que consultan diccionarios, incluyendo combinaciones habituales de palabras y números añadidos).
Además, es importante utilizar contraseñas diferentes para cada servicio y herramienta. Estas, además, deberían cambiarse de forma regular. Los gestores de contraseñas como keepass, facilitan mucho la gestión de tantas contraseñas. La ventaja es que los usuarios solo tienen que recordar una contraseña y el programa genera para cada cuenta o servicio una nueva contraseña individual que cumple con los requisitos de seguridad necesarios.
Más seguridad para los empleados que trabajan con el móvil
A la hora de utilizar aplicaciones básicas como el correo electrónico y grandes bases de datos para trabajar desde el móvil con varios dispositivos como smartphones o tablets, se recomienda la autenticación en dos pasos. Para iniciar sesión, el usuario necesita (además de la contraseña) un código autogenerado en su propio smartphone o en cualquier otro dispositivo para verificar su registro e identidad. Esta función adicional de seguridad evita que otros accedan a la cuenta de otra persona (incluso si se ha pirateado la contraseña). Al mismo tiempo, este nivel adicional de seguridad protege la cuenta corporativa de un empleado frente a la piratería.
Eliminar accesos cuando los empleados causan baja.
Los empleados van y vienen. Esto es algo habitual en cualquier compañía. Pero las empresas tienen procesos diferentes. Es normal que al marcharse los empleados dejen las claves y los dispositivos terminales antes de abandonar la empresa. Sin embargo, el acceso a los datos internos de la empresa suele gestionarse de forma imprudente. El inicio de sesión y acceso a datos confidenciales debería eliminarse justo después de que alguien se marche. Por lo tanto, resulta muy útil disponer de un resumen detallado de todos los servicios que se utilizan en el día a día de la empresa. De esta forma, todos los accesos relevantes pueden eliminarse fácilmente.
Localizar puntos de seguridad TI vulnerables y tomar las acciones correctas
Ningún software es perfecto. Por lo tanto, los navegadores, sistemas operativos y antivirus se actualizan continuamente. Tales actualizaciones son necesarias porque a menudo evitan posibles vulnerabilidades. Los expertos recomiendan utilizar software especializados para localizar ataques y revisar el sistema constantemente.
Puntualmente, los ciberataques pasan desapercibidos en las grandes empresas. De ser así, no tienen la opción de reaccionar de forma apropiada, desarrollar una estrategia de seguridad mejor. Mientras tanto, los consultores externos o piratas informáticos profesionales, que aconsejan a las empresas en términos de seguridad, están experimentando una alta demanda. A través de los llamados test de penetración, simulan ataques externos en servidores o redes para localizar brechas en el sistema de seguridad existente. Más tarde, sugieren y desarrollan acciones para contrarrestarlas.
7 consejos para luchar contra los piratas informáticos
1. Elige contraseñas de forma correcta: las contraseñas son la puerta de entrada favorita de los piratas informáticos. Solo si los usuarios cumplen con los requisitos de seguridad habituales y si las contraseñas se renuevan periódicamente, pueden protegerse las cuentas de accesos no autorizados.
2. Más seguridad para los empleados que trabajan con el móvil: la vida laboral y los lugares de trabajo se están volviendo cada vez más flexibles y esto supone una oportunidad para los ciberdelincuentes. Además de la contraseña, debería utilizarse la autenticación en dos pasos, especialmente en las aplicaciones móviles.
3. Establece protocolos de actuación en caso de que cambie el estado de un empleado: los empleados y exempleados son el factor de riesgo número 1. Por lo tanto, es importante eliminar todo los accesos a las cuentas y a los datos de la empresa una vez que alguien la abandona.
4. Mantén tus programas actualizados: las aplicaciones y sistemas desactualizados suponen un riesgo considerable. Por eso los productores buscan eliminar esas vulnerabilidades con actualizaciones constantes. Si no las instalas, facilitas el acceso a tu sistema por parte de los piratas informáticos.
5. Controla constantemente tus sistemas y programas: confiar es bueno, pero no cuando se trata de cuestiones de seguridad. La tarea de todo buen director de operaciones digitales de la empresa es llevar un control regular e integral de todos los sistemas y aplicaciones. De esta forma, la empresa puede asegurarse de descubrir los ataques con antelación y así poder solucionar posibles carencias.
6. Informa a tus empleados sobre los riesgos en seguridad: el software malicioso solo penetra en un ordenador cuando el usuario lo ha gestionado mal. Los empleados deberían, por tanto, saber cómo gestionar riesgos específicos asociados con los sistemas y cuentas, y en general deberían estar más sensibilizados para mantener la seguridad informática en su trabajo.
7. Busca ayuda externa: A veces ayuda contar con otra perspectiva. El mercado de profesionales TI está creciendo por esto. Se encargan de investigar los estándares de seguridad y recomiendan acciones para mejorar la protección de los datos de la empresa.
