7 cosas importantes que no pueden faltar en la política de seguridad de tu empresa

Vivimos en tiempos de riesgo. Los incidentes de seguridad relacionados con los datos son más comunes que nunca y las empresas digitales suelen llevarse la peor parte.

Las organizaciones están constantemente en riesgo y pueden verse comprometidas en poco tiempo por ciberataques, ingeniería social y espionaje corporativo. Pero, en realidad, la forma más común en que las empresas son socavadas e infiltradas es a través de las acciones de miembros individuales dentro de la propia organización.

Teniendo esto en cuenta, es crucial que las empresas cuenten con políticas de seguridad sólidas y directrices firmes. La política de ciberseguridad de una empresa debe ser detallada y exhaustiva. Debe imponer pasos y procedimientos claros, y no sólo aspectos básicos como:

-Apagar el puesto de trabajo antes de dejar el dispositivo desatendido

-No dejar documentos sensibles en el escritorio

-No compartir el acceso al dispositivo con nadie

Tampoco debería decir lo siguiente: "no haga capturas de pantalla debido a la política de seguridad" o "la política de seguridad impide el uso de cámaras". Debería explicar el por qué, no sólo el qué.

En este artículo, describiremos algunos de los elementos más importantes que debería incluir la política de seguridad en Internet de tu empresa, cómo aplicar los cambios y por qué es una buena idea utilizar estas estrategias.

1. Política de contraseñas

Para cada servicio que los empleados utilicen dentro de la empresa (o los servicios personales,), cada empleado debe utilizar una contraseña única que NUNCA haya sido utilizada antes. Los siguientes servicios pueden ayudar a tus empleados a crear, asegurar y organizar sus contraseñas:

HaveIbeenPwned: Al suscribirse a HaveIBeenPwned, los empleados recibirán una notificación si una de sus cuentas ha sido comprometida en una violación de datos de la empresa.

Gestores de contraseñas: Un gestor de contraseñas puede ayudar a los empleados a asegurar y acceder fácilmente a múltiples contraseñas fuertes (difíciles de recordar).

Uso de 2FA: Además de utilizar contraseñas fuertes, el 2FA o la autenticación de dos factores debería (debe) estar activada en todos los servicios que admitan esta función.

2. Política de software

Todo el software utilizado por los empleados debe estar 100% actualizado. Esto incluye no sólo el sistema operativo, sino todo software que se instala en los dispositivos de los empleados. El software que no se utilice debe desinstalarse y las actualizaciones de seguridad deben instalarse siempre con prontitud.

Algunos programas informáticos tienen más posibilidades de ser atacados a distancia. Por eso es especialmente importante que la actualización del software que se indica a continuación sea una prioridad:

-Sistema operativo (de escritorio y móvil)

-Visor de PDF

-Microsoft Office

-Java

-Navegadores

3. Acceso

Algunos empleados tienen acceso a varias cuentas y servicios privilegiados utilizados por la empresa. Es posible que no todos estos empleados necesiten realmente el acceso. Las cuentas sensibles deben compartirse con el menor número de personas posible dentro de la empresa.

Además de limitar el acceso, el supervisor o gerente debe mantener listas de acceso actualizadas para saber siempre quién tiene acceso a qué cuenta en cualquier momento.

Además, el responsable correspondiente debe aprobar el acceso a todas las cuentas de servicios utilizadas por los empleados. Cuando un empleado que tenía acceso a algunos servicios deja la empresa, el gestor está obligado a cambiar las contraseñas e informar a todas las partes interesadas.

Además, las contraseñas de las cuentas y servicios de la empresa deben cambiarse regularmente para evitar cualquier incidente.

4. Recomendaciones de navegación

Para evitar que los dispositivos se vean comprometidos durante la navegación privada, el navegador que deben utilizar los empleados es Brave. Sin embargo, debes asegurarte de que todos los plugins están actualizados, en particular Flash y Adobe, que con frecuencia presentan vulnerabilidades.

¿Cómo mantener una seguridad sólida en el navegador? Utiliza las 2 siguientes extensiones: HTTPSEveryWhere y uBlock Origin.

-HTTPSEverywhere intenta cerrar la brecha entre el HTTPS mal configurado y los navegadores. El navegador Brave se actualiza automáticamente a HTTPSEverywhere.

-uBlock Origin no es una extensión de seguridad específicamente, pero ayuda a bloquear el contenido no deseado. Además, ha habido incidentes en los que se han utilizado anuncios para distribuir malware.

Además asegúrate de que el navegador de tu empresa elegido tiene desactivado WebRTC/Flash/Java para disminuir la superficie de ataque. Que es una forma elegante de decir que hay menos vías para que los virus accedan al navegador.

5. Seguridad del correo electrónico

Asegúrese de que tu política de seguridad en Internet incluya una sección especial sobre la seguridad del correo electrónico. Uno de los puntos que debe incluir esta parte es que los empleados nunca deben abrir archivos adjuntos de fuentes no confiables, especialmente si son .zip o .exe.

En general, los archivos de imagen suelen ser seguros siempre que no sean SVG. Si descargan un documento de Word o PDF y, al abrirlo, les pide que aprueben algo o que le concedan algún permiso, los empleados deben sospechar. Si ven esto, tienen que PARAR inmediatamente y ponerse en contacto con el departamento de IT o el equipo de seguridad.

Además, las empresas tienen que educar a los empleados para que nunca hagan clic en los enlaces de los correos electrónicos que no son de confianza. Suena demasiado obvio, ¿verdad? Pues bien, según el DBIR 2021 de Verizon, alrededor del 25% de todas las violaciones de datos están relacionadas con la suplantación de identidad por correo electrónico y el 85% de las violaciones de datos implican algún tipo de elemento humano.

Si un correo electrónico parece sospechoso (correo electrónico que exige una acción urgente, correo electrónico que solicita datos sensibles, correo electrónico con mala gramática y errores ortográficos, etc.) los empleados deben comprobar las cabeceras para asegurarse de que el correo electrónico procede de donde dice que procede. Si no es así, deben informar de que se trata de una suplantación de identidad y eliminarlo.

6. Seguridad de los documentos

La seguridad de los documentos se refiere al mantenimiento de todos los documentos esenciales almacenados, archivados, con copias de seguridad, procesados, entregados y descartados. Dado que los documentos sensibles se enfrentan a importantes amenazas de seguridad, es esencial desarrollar un plan de copia de seguridad y almacenamiento de documentos.

Utilizar Google Drive, Dropbox u otros servicios inseguros sólo hará que su empresa sea más vulnerable. En su lugar, asegúrate de equipar a tus empleados con las herramientas más seguras en las que difícilmente puedan salir mal las cosas.

Ni que decir tiene que el uso de servicios de almacenamiento encriptado de extremo a extremo como Internxt debería estar en tu lista de prioridades. Otra cosa útil es asegurarse de que tus empleados escanean sus archivos antes de subirlos a la unidad. Pueden hacerlo fácilmente utilizando un escáner de virus de archivos online gratuito.

Además, los empleados no deben abrir nunca archivos de Microsoft Word de fuentes no fiables porque puede ser peligroso. En el caso de los PDF, deben utilizar Acrobat Reader DC en Windows y activar la vista protegida. Se trata de un modo aislado que impide que los PDF maliciosos inicien archivos ejecutables arbitrarios. No olvides mantener Acrobat Reader DC constantemente actualizado.

Otra cosa que hay que tener en cuenta es que, las extensiones de los archivos suelen pasarse por alto, pero si tus empleados utilizan Windows (esto también es aplicable a macOS) deben configurar siempre el Explorador de Windows para que muestre las extensiones de los archivos:

Windows: Panel de control -> Apariencia y personalización -> Opciones de carpeta -> Configuración avanzada

Mac: Finder -> Preferencias -> Mostrar todas las extensiones de los archivos

¿Por qué son importantes las extensiones de los archivos? He aquí un ejemplo: si un archivo se llama Scam_Document.doc.exe, verán el .exe y sabrán que se trata de un archivo ejecutable y no de un documento. Sin tener las extensiones visibles, un empleado podría no detectar el fallo.

7. Seguridad de los dispositivos

La eficacia del software antivirus es muy acertada o no, pero aun así la política de seguridad de tu empresa debería incluir el uso de un software antivirus de confianza (que puede ser gratuito o de pago) en todos los ordenadores.

En segundo lugar, hay que tener en cuenta que los ordenadores pueden ser robados, y de hecho lo son. Por lo tanto, es aconsejable que todos los dispositivos utilizados para acceder a la infraestructura de la empresa tengan algún tipo de cifrado de disco completo activado.

Para Windows, existen VeraCrypt y Bitlocker. Para Linux, está LUKS, y para macOS X Filevault. Esto debería ser obligatorio para los empleados que posean credenciales o documentos sensibles asociados a la empresa. iOS y Android también pueden, y deben, estar cifrados.

Por último, los empleados no deben conectar dispositivos USB que no sean de confianza a los ordenadores. Además, no deben conectar su dispositivo USB a una toma USB que no sea de confianza. De hecho, los empleados nunca deben utilizarlos para transferir datos.

Es hora de crear la política de seguridad de su empresa.

La gestión de la seguridad general en línea de una empresa es una responsabilidad que recae tanto en nosotros como individuos como en la empresa en su conjunto. Sin unos hábitos de seguridad en línea adecuados, es mucho más fácil ser víctima de la ciberdelincuencia, que puede costar fácilmente a tu empresa millones de dólares en daños.

Aunque una buena política de seguridad puede llevar tiempo, inversión y esfuerzo para ponerla en línea. Los beneficios superan con creces los riesgos.

Si crees que tu empresa no puede permitirse herramientas de seguridad digital, te equivocas. En realidad, lo único que tu empresa no puede permitirse es NO ocuparse de la seguridad online.