La transformación digital conlleva una exposición de las redes y datos empresariales a la Internet pública inédita hasta hoy. Los parámetros y estándares de seguridad están cambiando. No es lo mismo controlar lo que se mueve, cómo y por qué dentro de tu casa, que hacerlo dentro y fuera al mismo tiempo. Es uno de los grandes retos del profundo cambio al que nos enfrentamos. Ésto ya está en marcha, ¿estás dispuesta/o a seguir el ritmo?
Te proponemos una serie de medidas sencillas que cualquier organización, grande o pequeña, puede implementar, sin necesidad de grandes recursos ni conocimientos.
Unas medidas que si consigues introducirlas en la rutina pueden ahorrarte más de un disgusto. Nuevo año, nuevos propósitos y nuevos retos. ¡A por ello!
¿Qué puedes hacer por la seguridad de las redes y datos de tu empresa?
Para que tu organización empiece con buen pie esta transformación y el recién estrenado 2021, queremos señalarte las principales medidas a tener en cuenta en seguridad de redes y de datos corporativos.
- FIN a los descuidos de accesos desde el exterior (a la Intranet). El “teletrabajo forzoso” por el confinamiento ha llevado a muchas pymes, micropymes y autónomos a adoptar medidas rápidas peligrosas. Una de las más comunes, abrir los puertos en el router del operador para que los teletrabajadores accedan desde el exterior (redes domésticas) a la información de la oficina (Intranet).
Terminemos con esta tendencia, y utilicemos un firewall para establecer una red segura desde casa del teletrabajador hasta la empresa. Evitemos descuidos, ya que hay máquinas permanentemente buscando agujeros y probando contraseñas débiles.
- Leer la letra pequeña de los contratos de proveedores de servicios en la nube. Disponer de toda tu información en la nube no es garantía más que de disponibilidad. Te garantizan una buena conexión a Internet y alimentación eléctrica permanente, además de seguridad de acceso físico a las máquinas. Son una buena herramienta, pero hay que leer la letra pequeña.
Debemos preguntar al proveedor del servicio en la nube por aspectos como las copias de seguridad, ¿quién las hace y dónde?. También qué acceso a las aplicaciones existe, ¿hay firewall o se basa en una seguridad de usuario y contraseña?
- Establecer políticas de contraseñas. Una vez han detectado una IP accesible, la medida más efectiva que tienen los ciberdelincuentes a la hora de atacar un sistema de información es empezar a probar usuarios y contraseñas.
Debemos ser conscientes de ello y aplicar fórmulas complejas, tanto para el usuario como para la contraseña. Si utilizas como usuario tu correo electrónico, ya tengo el 50% de tus credenciales, el resto es probar hasta conseguir la segunda clave. Y cambiarlas periódicamente. (Ya lo sé, da pereza, pero la seguridad de redes y datos de tu empresa lo merece, piénsalo así.)
- Implementar el doble factor de autenticación. En todos los accesos recientes a tus sistemas de información puedes comprobar que dependen de dos datos: tu usuario y tu contraseña. ¿Por qué no añadir un factor de autenticación adicional que además caduque con el tiempo?
Este factor adicional es al que llaman “doble factor”. Muy sencillo de implementar en tu firewall para disponer de una VPN segura para tu correo electrónico, ERP, comunicaciones, intercambios de archivos… Este doble factor puede tratarse de un APP, un correo electrónico o un SMS al usuario.
- Crear permisos de gestión del ordenador de la empresa (en local y en remoto)
A estas alturas sabrás que los usuarios de los ordenadores son muy vulnerables porque desconocen las técnicas de hackeo que emplean los “malos”. Por ello, la mejor medida que puedes emplear es: reducir a la mínima expresión las capacidades de manipulación del sistema informático por parte del usuario.
¿Cómo? Aplicando privilegios de acceso diferentes a los usuarios. Uno de esos roles de usuario es el de Administrador Local o Global, dependiendo del tamaño de tu empresa. Éste puede instalar aplicaciones, desactivar el antivirus, crear nuevos usuarios…. Todo pasa por él. De esta forma cualquier software, maligno o no, que se vaya a ejecutar en el ordenador requerirá su autorización.
- Controlar el acceso a las redes inalámbricas. Cuando activas la conexión Wifi en tu empresa, estás activando un nuevo mecanismo de acceso inalámbrico a todos los dispositivos: copias se seguridad, servidores, impresoras, ordenadores, discos duros de red, cabinas…
Si dejas el acceso libre, tienes tu red expuesta al que pase por la calle. Si le pones una clave compartida y la conoce todo el mundo, todo el que pase por la puerta de tu casa tiene acceso a tu red.
No podemos permitir el libre acceso a la red inalámbrica. Por favor, emplear la red wifi con la opción de “red de invitados”. Esta opción permite el acceso del personal interno a Internet, pero evita que accedan a los elementos de la empresa con conexión inalámbrica.
Y para evitar abusos en la “red de invitados” es importante aplicar una serie de políticas de uso. Con ello podemos controlar y restringir el acceso a páginas y aplicaciones online. Algunas de estas aplicaciones pueden tanto ancho de banda que pueden llegar a paralizar tu red Wifi.
Y, por supuesto, protege con usuario y contraseña todos los elementos de la red. Haz inventario de los equipos uno por uno, y comprueba que se requiere un usuario y contraseña para acceder y que éstos no sean triviales.
- Formación continua en seguridad para el personal. Tengamos presente que la primera línea de defensa de la seguridad de las redes y datos de tu empresa es quién las usa, el personal. Por ello, los empleados deben recibir formación e información actualizada y periódica sobre las últimas técnicas que emplean los “malos” para reventar la seguridad de la empresa.
Éste es el principal medio de ataque a organizaciones, desde dentro, a través de los empleados. Para un ciberdelincuente es fácil contactar con el empleado mediante una llamada o un correo electrónico. Todos deben asegurarse de quién es la persona con la que se están comunicando para evitar “caer en una trampa”.
- Atención a los correos electrónicos. A través del correo se están llevando a cabo los principales robos de dinero, haciéndose pasar por un tercero con poder de decisión (phishing). Tened especial cuidado con estos tipos de correos:
– un correo de alguien que no conocéis personalmente,
– correos que impliquen cambio de cuentas corrientes o envíos de dinero,
– correos que pretenden verificar la dirección comprobando vuestros datos,
Muy importante. No utilicéis la información de un correo “sospechoso”. Si llamas por teléfono al que te ha enviado el correo, obviamente te va a decir que es todo correcto. Si respondes al correo que has recibido, te va a decir lo mismo.
Pon en duda cualquier variación de condiciones económicas, y no las apliques si no tienes seguridad o confirmación de la persona que tiene autorización para hacerlo. Uno de los problemas del teletrabajo es que no vemos al autorizado.
Por supuesto, no abras correos de gente que no conoces. Y si la conoces, no abras correos que no esperabas. Y no instales programas que no sabes de dónde vienen.
No pretendemos mandarte “deberes” para 2021, pero sí recomendarte que sigas estas sencillas medidas que reforzarán la seguridad de redes y datos de tu empresa. Una buena manera de empezar el año. Y si tienes cualquier duda o pregunta con la aplicación de alguna de ellas, ya sabes, aquí nos tienes para resolverlas.
Foto de Alexas Fotos en Pexels