23 Jul

Tips de Ciberseguridad

Los avances de Internet parecen no tener fin, y parte de la magia se debe a que nos permite comunicarnos libremente con personas en cualquier parte del mundo. Además, el auge de las redes Wi-Fi ha propiciado la creación de dispositivos capaces de conectarse a Internet y transmitir o transferir datos dentro de una red. Por ello, estamos convencidos de que si concientizamos sobre estas vulnerabilidades y educamos al público sobre cómo protegerse, avanzaremos hacia un Internet más protegido frente a posibles ataques.

Sin más preámbulos, paso a ofrecerles 31 consejos de ciberseguridad concebidos para ayudar a las empresas a protegerse. Lo invitamos a seguirnos en LinkedIn y compartir nuestros consejos.

Cuidado con lo que publica sobre otras personas y sobre usted mismo

Su manera de hablar de otras personas en Internet dice mucho de usted, y también le podría ocasionar problemas legales o incluso hacerle vulnerable frente a robos o ataques de hackers. Puede haber personas vigilando sus comentarios en Internet, de manera que si publica que se va una semana de vacaciones, no sería difícil que alguien encontrase su dirección y fuese a su casa a robar. También debe extremar las precauciones para no violar acuerdos de confidencialidad, contratos laborales y cualquier otro acuerdo que haya suscrito. Asimismo, puede cometer un delito al revelar información personal sobre otros o difamarlos en público sin pruebas..

Determine qué datos recauda su empresa y asegúrese de que los protege

Para proteger sus datos corporativos en Internet, debe realizar una auditoría de todos los datos e identificar qué parte de ellos son de dominio público , qué parte tienen una importancia media y no tendrán un gran impacto en su organización si se divulgasen y,por último, qué datos son personales y los más importantes para su empresa.

Use múltiples métodos de autenticación

La Autenticación consiste en confirmar una identidad comparando las credenciales facilitadas con los datos recogidos en una base de datos existente de identidades autorizadas antes de conceder acceso a un sistema o aplicación en concreto. Por ejemplo, usted se autentica al introducir su nombre de usuario y su contraseña para acceder a su cuenta de correo electrónico. Sin embargo, en lugar de confiar en el uso de contraseñas exclusivamente , recomendamos el uso de múltiples factores de autenticación. Algunos factores de autenticación son algo que usted conoce , algo que usted posee y algo que usted es .

Habilite el protocolo HTTPs en su sitio web

Los sitios web HTTPs cuentan con un certificado SSL/TLS instalado en el servidor. Este certificado cifra los datos transmitidos desde el navegador hasta el servidor –ya se trate de información personal o financiera transmitida a través del sitio o del contenido del propio sitio web– y los protege frente a intrusos . « Los certificados SSL también permiten vincular su identidad de marca con su presencia web, lo que ayuda a los visitantes a determinar que su sitio efectivamente está controlado por su empresa y no por impostores ». Esta información puede incluir datos personales y contraseñas de miles, o incluso millones, de individuos.

En otras circunstancias, el hacker podría usar la «fuerza bruta» para descubrir su contraseña. También le recomendamos el uso de algún tipo de herramienta de gestión de contraseñas para garantizar que no olvida sus contraseñas.

Mantenga actualizado todo su software

Una vulnerabilidad podría ser algo tan fácil como encontrar un punto de acceso a su red de Windows. Las empresas de desarrollo de software ponen todo su empeño en crear parches y actualizaciones que resuelven estas vulnerabilidades, por lo que es importante que actualice su software en cuanto se publique una versión nueva.

Realice una copia de seguridad de todos sus datos

Debe realizar copias de seguridad regulares de sus datos y guardarlas en lugares distintos para evitar que los hackers puedan acceder a ambas ubicaciones.

Habilite un firewall para proteger su conexión a Internet

Los firewalls están diseñados para evitar accesos no autorizados a las redes privadas.Puede crear un conjunto de reglas en su firewall para determinar qué accesos están autorizados y cuáles deben ser bloqueados.

Establezca una política de uso de dispositivos/celulares propios para sus empleados

Algunas empresas permiten a sus empleados utilizar sus teléfonos personales para realizar transacciones de trabajo. Se trata de una excelente manera de incrementar la productividad y la eficiencia de las empresas, pero también hace que la organización sea más vulnerable a los ataques, ya que los celulares pueden sufrir ataques y utilizarse como puntos de acceso hasta su red corporativa. Una buena política de uso de dispositivos propios contribuirá a concientizar a los empleados sobre el uso de las tecnologías móviles y cómo mitigar el riesgo de sufrir ataques.

Cree una estrategia de respuesta frente a incidentes

Una estrategia de respuesta frente a incidentes permite a su empresa adelantarse a los ataques. Puesto que no es posible garantizar su seguridad al 100%, es aconsejable contar con un plan de acción al que recurrir si sufre un ciberataque. Este plan le permitirá responder rápidamente tras sufrir un ataque. Así, podrá evitar que los atacantes se hagan con datos sensibles y alertar a los medios de comunicación o los clientes en caso de que el alcance del ataque sea mayor del previsto.

También deberá prever quién será el responsable de gestionar dicho plan. Todos los empleados deben recibir capacitación en materia de contraseñas.

Capacite a sus empleados en materia de contraseñas

Animar a los empleados a crear contraseñas sólidas y usar una herramienta de gestión de contraseñas corporativas.

Asegúrese de que los empleados buscan la S del protocolo HTTPs al navegar por Internet

Los empleados utilizarán en algún momento la red informática de su empresa para visitar sitios web o registrarse para usar servicios tanto con fines personales como corporativos.Antes de enviar información, deben tratar de localizar el candado y el protocolo HTTPS en la barra de direcciones. Se conocen casos de sitios web de phishing que utilizan certificados SSL con validación de dominio para hacerlos parecer más «reales» y «confiables». Habilite comunicaciones seguras a través de correo electrónico y ofrezca capacitación para mitigar los riesgos de sufrir ataques de phishing El correo electrónico sigue siendo un punto débil para la ciberseguridad, cuyas principales amenazas son la pérdida o revelación de datos y los ataques de phishing.

Le recomendamos que busque una solución de seguridad para su correo electrónico capaz de cifrar los mensajes en tránsito y entregados y verificar su origen. Esto permitirá a los empleados identificar fácilmente los correos electrónicos interceptados y falseados y evitar ser víctimas de ataques de phishing. La facilidad de uso para el usuario final también es un factor importante a tener en cuenta.

Anime a los directivos de su empresa a liderar una cultura de ciberseguridad

Como sucede con todas las estrategias de cambio aplicables a toda la organización, los directivos deben ser los primeros en asumir los cambios. Si los líderes demuestran aceptar estos cambios, el resto de los miembros de la empresa les seguirán.

Establezca pruebas de simulación de ataques de phishing para mantener alerta a su personal

Realice pruebas de simulación de ataques de phishing en su empresa para comprobar el grado de alerta de sus empleados. Estas pruebas deben realizarse antes y después de la capacitación con el objetivo de medir los avances de los empleados.

Forme un equipo de respuesta frente a incidentes

Además de designar a un individuo como responsable de la aplicación del plan de respuesta frente a incidentes, necesitará un equipo que ayude al responsable en su tarea.Por ejemplo, puede recurrir a un individuo del departamento de comunicación para la publicación de notificaciones y a una persona de ventas para hablar con los clientes. En función del tamaño de su organización y del alcance del posible ataque, deberá garantizar la implicación de los individuos adecuados en el proceso de respuesta frente a incidentes.

Cree directrices de respuesta rápida

Asegúrese de estar preparado para responder de forma rápida y eficiente frente a un ciberataque. Transmita este plan al resto de su organización y designe a un encargado de garantizar que el plan se ejecuta.

Redacte un plan de comunicación externa

GDPR exige informar a la autoridad supervisora pertinente tan pronto como se tenga conocimiento de una intrusión en sus sistemas. Asimismo, planifique comunicar el incidente a todos los que podrían verse afectados por esta intrusión, incluidos sus clientes, contratistas y empleados.

Transmita la respuesta frente al incidente a los empleados

Anunciar a los empleados el plan de respuesta e informarles de los posibles tipos de incidentes y soluciones les ayudará a recordar que ellos también son responsables de mantener la confidencialidad y minimizar el riesgo de fugas de información a fuentes externas.

Aprenda de errores pasados

Esta revisión le brinda una oportunidad para analizar su plan de respuesta frente a incidentes y decidir si son necesarias modificaciones a la luz de los errores cometidos con anterioridad. Asimismo, deberá transmitir a su departamento de informática los cambios necesarios en las operaciones o comunicaciones para garantizar la subsanación de las vulnerabilidades.

Asuma en todo momento que existe una vulnerabilidad – Nunca se está completamente protegido

Siempre puede haber una vulnerabilidad, un posible fallo en la red o un nuevo miembro de su equipo de empleados que constituya un punto débil.

Asegúrese de que su infraestructura de informática está cubierta frente a ciberataques

Las pólizas de seguro estándar no suelen cubrir la pérdida de datos, razón que ha propiciado la aparición de los ciberseguros. Asegúrese de que su seguro cubre también el tiempo fuera de servicio que pudiera experimentar su empresa.

Dote a cada «cosa» de una identidad

Al contar con una identidad de dispositivo exclusiva y sólida, las «cosas» son capaces de autenticarse antes de acceder a Internet para ofrecer comunicaciones seguras y cifradas con otros dispositivos, servicios y usuarios.

Asegúrese de que solo es posible acceder a los sistemas tras un proceso de autenticación SEGURO

De la misma manera que garantiza que sus datos más importantes solo son accesibles a través de una autenticación segura , deberá garantizar que la infraestructura crítica de su empresa únicamente es accesible a través de una autenticación igualmente sólida.

Contrate a un hacker

Existen multitud de hackers en todo el mundo que no desean probar sus datos de forma ilegal y venderlos a través de Internet. Por el contrario, su misión es la de ayudar a los demás. Se les conoce como hackers de «sombrero blanco» y todas las organizaciones deberían contar con uno para luchar contra los hackers de «sombrero negro».

Comience ya a gestionar su flujo de datos

Para poder gestionar correctamente la información y evitar robos, deberá conocer qué datos están en circulación en su organización y cómo se transmiten desde la fuente hasta el punto o usuario finales.

Saque el máximo provecho a la nube

La nube es una herramienta muy útil, especialmente para las empresas de pequeño y mediano tamaño que desean externalizar la protección de sus datos a una empresa más grande. Sin embargo, es importante garantizar que conoce todos los detalles antes de colaborar con un proveedor de servicios en la nube. Infórmese de dónde están sus centros de datos y en qué otras ubicaciones pueden almacenar y acceder a su información.

Asegúrese de que su red está segmentada de forma que desde un sistema no sea posible acceder a otro

Evite que la totalidad de su red informática sea accesible desde un mismo punto, incluso en los casos en los que este punto esté protegido mediante un proceso de autenticación seguro. Al separar sus redes, los hackers no podrán controlar la totalidad de sus sistemas si logran acceder a una red. Deberá dividir sus sistemas según su importancia y en función del grado de relevancia que la red tenga para su empresa. En este sentido, es recomendable dotar a las redes más críticas de la mayor seguridad.

Manténgase al día sobre las últimas normativas que rigen su sector

La mayoría de sectores cuenta con un conjunto de estándares y buenas prácticas definidos que deberá cumplir para dotar a su empresa de una protección digital básica. El sector de la energía cuenta con el Marco de trabajo de ciberseguridad del NIST, el sector de la automoción se rige por el Marco de trabajo de buenas prácticas para la ciberseguridad del sector automovilístico, mientras que el sector de las tarjetas de pago recurre al Estándar de seguridad de datos para la industria de tarjetas de pago . Es muy importante mantenerse al día en relación con las nuevas normativas para evitar cualquier posible sanción.

Continúe investigando las nuevas tecnologías y analizando nuevos proveedores

Por último, le aconsejamos que trate de permanecer informado con respecto a las últimas buenas prácticas de seguridad, operadores, proveedores y tecnologías.Prepárese para actualizar su software, utilizar nuevas herramientas y tecnologías y mantener su infraestructura protegida en Internet. Esperamos que estos 31 consejos de ciberseguridad para su empresa le hayan hecho pensar en la importancia de garantizar la seguridad de su organización. Recuerde que las amenazas pueden surgir en el seno de su propia organización y, de hecho, con frecuencia su origen no será externo.

Share this