Casi todas las empresas que trabajamos online gestionamos grandes cantidades de información sensible de nuestros clientes. En el caso de una filtración, robo o destrucción por parte de un atacante, esta información puede representar un serio problema.
El promedio de una fuga de datos cuesta en torno a los 3 millones de euros, según un informe de IBM. Y esta tipología de amenazas continúan aumentando cada año que pasa.
Afortunadamente, es posible disminuir el riesgo de sufrir este tipo de ataques si nos preocupamos de mejorar la seguridad informática de nuestra empresa. Además de lo que ya vimos en el artículo anteriormente citado, vamos a repasar algunas estrategias que nos ayudarán a reforzar las defensas cibernéticas de nuestra empresa y a prevenir así los accesos no autorizados y la filtración de datos sensibles en nuestros software y aplicaciones.
Formar a todos los empleados en seguridad informática básica
La mayoría de los atacantes no se abren camino a través de las defensas técnicas de nuestros sistemas. En su lugar, se aprovechan de las debilidades sociales; mediante la denominada ingeniería social los empleados se convierten en el principal agujero de seguridad de cualquier empresa.
Por lo tanto que todos los empleados de cualquier organización dispongan de nociones básicas sobre seguridad informática debe de ser imprescindible. De la misma manera que a cualquier persona que trabaja en una empresa le solemos informar de ciertas características respecto al uso de las instalaciones y recursos, así como sobre determinados procedimientos de trabajo, debemos incluir en dichos procedimientos conceptos básicos de ciberseguridad, haciéndoles comprender que como empleados juegan un papel fundamental en mantener la empresa y los sistemas seguros. Como mínimo, esos conceptos básicos debían cubrir:
- Políticas de acceso a la red y seguridad de la empresa. Credenciales y usos.
- Cómo asegurar los dispositivos personales que se conectan a la red de la empresa. Si es que pueden conectarse.
- Qué son los ataques de phishing, cómo detectar un ataque de phishing y los riesgos que suponen estos ataques.
No es necesario que cada empleado se convierta en un experto en seguridad informática, pero cualquier noción básica es suficiente para proporcionar una importante línea de defensa contra los atacantes.
Asegurar cualquier dispositivo
Históricamente nos hemos preocupado de los dispositivos con los que habitualmente interactuamos: ordenadores, portátiles, móviles, tablets, impresoras, etcétera. Nunca está de más recordar que debemos mantener siempre actualizados sus sistemas y aplicaciones a las últimas versiones oficiales facilitadas por los desarrolladores, evitando así potenciales problemas de seguridad.
No obstante hoy en día, en pleno camino hacia la industria 4.0 los dispositivos englobados dentro del denominado IoT (Internet de las Cosas) están cada vez más presente en nuestra vida y en los entornos empresariales: asistentes de voz, alarmas, estaciones metereológicas (termómetros, higrómetros), detectores de humo, PLC, sistemas físicos de control de accesos o electrodomésticos, por nombrar algunos, ahora se suman a la cantidad de dispositivos que pueden estar conectados a nuestra red.
Debe estar especialmente atentos a todos estos dispositivos para mantener siempre su firmware actualizado y revisar sus capacidades y privilegios de acceso a los recursos de la red.
Si el fabricante de un determinado dispositivo en la oficina deja de operar o deja de realizar las actualizaciones de seguridad para ese dispositivo, debemos evaluar la posibilidad de retirarlo. Sin actualizaciones de seguridad regulares, el dispositivo será mucho más vulnerable a un ataque.
Administrar el acceso a la red
No todos los usuarios, ni dispositivos, necesitan acceso a toda la red. Debemos implementar controles de acceso a la red que limiten la capacidad de los empleados de usar partes de la red, dependiendo del tipo de permisos que tengan. Con controles de acceso a la red más personalizados y específicos, aumentamos la eficacia de nuestro sistema, pues no cualquier usuario o dispositivo, aunque haya sido expuesta su seguridad, podrá obtener un acceso completo al sistema.
Mantener solo lo esencial
Para evitar que los datos caigan en manos de los atacantes es importante mantener solo lo esencial. Esto es aplicable tanto a dispositivos, como a los propios datos en sí mismos. Debemos revisar los datos que tenemos almacenados y cribar aquella información que resulte innecesaria dentro de la estrategia general de datos de nuestra empresa. Esto nos ayudará a asegurarnos que solo estamos almacenando la información necesaria para las necesidades del negocio.
Una auditoría de datos también nos ayudará a saber con precisión quién tiene acceso a qué tipo de información y dónde se almacenan esos datos. Una buena administración de registros de datos nos proporcionará importantes beneficios más allá de la mejora de la seguridad, como la reducción de pérdidas en caso de robos, la simplificación de los procesos de trabajo para los empleados y una mayor facilidad de cumplimiento con las leyes de privacidad.
Cifrar los datos
De todas las filtraciones de datos que se han producido en los últimos años, solo un pequeño porcentaje de las organizaciones afectadas tenían algún tipo de cifrado para proteger los mismos de ojos indiscretos, según diversos informes.
Una fuerte encriptación de los datos de los clientes, como las contraseñas y otra información sensible puede mantener esos datos a salvo en el caso de que se produzca una brecha de seguridad y estos acaben en manos ajenas. Si bien la encriptación no puede evitar la fuga en sí misma, podemos dificultar que los atacantes no puedan utilizar ninguno de los datos robados de manera sencilla ni en el corto plazo.
Contar con los especialistas
Cuanto más grande y compleja sea nuestra red y nuestro sistema, más complejo será asegurar un simple equipo informático. Debemos contar con profesionales en seguridad informática, o trabajadores de TI con fuertes antecedentes de seguridad, que tengan experiencia en la seguridad y defensa de las redes contra los atacantes.
Estos especialistas podrán ayudarnos a mejorar la seguridad y las defensas de nuestra red y de nuestro sistema, orientarnos o trabajando directamente en la administración de la red, la segurización de los dispositivos, así como en las auditorías y el cifrado de los datos. Igualmente podrán encargarse de la formación de los empleados en los conceptos de seguridad informática básica que mencionábamos al principio. Además podrán realizarnos un soporte continuado para así disponer de una capa de seguridad adicional.
Probar la fortaleza de nuestras defensas
Una vez que nuestros empleados estén entrenados en lo básico y que nuestra red y sistemas estén correctamente configurados, debemos probar si esos ajustes tienen el efecto deseado.
Y no nos referimos a pruebas o ataques técnicos, de los que deberían encargarse los profesionales de seguridad, sino de las pruebas o ataques sociales. Una forma fácil de hacerlo es simulando ataques de phishing. Enviando un simple correo electrónico, quizás suplantando la identidad de otro compañero o haciendo que contenga un hipervínculo de dudosa reputación, podremos evaluar si los usuarios de nuestro sistema están alerta y cumplen con las nociones de seguridad básica que deberían haber aprendido.
Estos procedimientos son una estupenda manera de probar la efectividad de la formación de nuestros empleados en materia de seguridad.
Esperamos que estos consejos os resulten de utilidad y sobre todo que además de conocerlos los pongáis en práctica lo antes posible.