Jueves, 20 septiembre 2018

5.200 ciberataques y 7.890 millones de bases de datos amenazadas: cómo proteger a tu empresa

Todas las empresas buscan proteger su información confidencial. En tiempos febriles de globalización, big data y revolución digital, internet es un fenómeno que ha cambiado (y mejorado) increíblemente nuestras vidas. Pero también puede representar un inmenso riesgo: los hackers perfeccionan sus técnicas y nadie queda exento de eventuales peligros.

Más allá de las acciones cada vez más sofisticadas de los piratas informáticos, con frecuencia se producen errores ‘internos’ que pueden ‘abrir la puerta’ a los ciberdelincuentes. Se cometen dentro de las propias compañías, de manera involuntaria, en la mayoría de los casos.

Por ello, los empleados -en infinidad de ocasiones-, representan el eslabón más débil de la cadena de la seguridad. Las causas pueden ser muchas: desconocimiento, indiferencia, desinterés, negligencia… Sea cual fuere, el factor (error) humano suele tener gran responsabilidad cada vez que se roban datos sensibles en una empresa.

Ésta es una tendencia mundial. Solo alcanza con observar lo que ocurre en el ‘todopoderoso’ EEUU, meca de la vigilancia informática del planeta… y también de los hackers. Según el Risk Based Security’s Data Breach QuickView Report, en ese país hubo 5.207 ciberataques el pasado año. Asimismo, 7.890 millones de registros o bases de datos se vieron amenazadas.

Una empresa cuyos empleados apenas tengan conocimientos ni conciencia de ciberseguridad es una empresa con mayor riesgo de ser atacada

En un informe, menciona que las empresas necesitan que la seguridad informática forme parte de su estrategia integral. “Una empresa cuyos empleados apenas tengan conocimientos ni conciencia de ciberseguridad es una empresa con mayor riesgo de ser atacada”, advierte.

El desconocimiento aumenta esos riesgos de manera exponencial. De este modo, los empleados pueden transformarse en potenciales ‘enemigos’ de la seguridad informática de sus empresas en muchas acciones cotidianas. Si no se aplica un protocolo serio de prevención y se les instruye, las consecuencias pueden ser enormes. Panda Security, una empresa especializada en la creación de soluciones de seguridad informática, recomienda estos pasos:

Conciencia a la plantilla

Es esencial para la ‘salud’ de la empresa. Las áreas de RRHH deben impulsar programas de formación (y concienciación) con un objetivo: dotar a los trabajadores de las herramientas necesarias para que no cometan errores. Hacerles saber que ellos suelen ser el primer filtro por el que se cuelan los ciberdelincuentes ya resulta esencial.

Adapta el plan al nivel y función de cada empleado

La labor de aleccionamiento sobre los riesgos de estar desprotegidos, si no se toman los recaudos necesarios, debe ser periódica y constante.  No se trata de charlas esporádicas o reuniones aisladas para tratar el tema. Se requiere de material y formación específica, adaptadas al nivel y funciones de cada empleado, para cumplir el objetivo.

Divulga las buenas prácticas (y alerta sobre las malas)

Permanecer atentos ante posibles emails ‘dudosos’ (si desconocemos quién lo envía), no fiarse de cualquier emisor de correos, no abrir enlaces dudosos en los Dropbox, desconfiar de documentos adjuntos que no pedimos y nos llegan ‘por arte de magia’ a nuestro buzón digital, hacer caso a las advertencias de antivirus si detectan riesgo… son todas buenas prácticas que deben ser divulgadas a los empleados por especialistas.

Confecciona un decálogo de acciones imprescindibles

Tiene directa relación con el punto anterior. Pero hoy en día es muy importante dejar bien claro, en un tablón de anuncios de la empresa o en un correo a cada empleado, este decálogo de acciones imprescindibles:

1)  Confirmar la identidad de toda persona externa que solicite información.

2) Dejar las contraseñas siempre a buen recaudo.

3) No guardar toda la información sensible en un disco duro.

4) Hacer copias de seguridad en distintos dispositivos.

5) No realizar almacenamiento excesivo de datos en las ‘nubes’.

6) No utilizar cuentas de correo corporativas para uso personal.

7) No instalar programas de fuentes desconocidas.

8) Tener sumo cuidado con la utilización de redes sociales.

9) Instalar los mejores antivirus.

10) Equilibrar entre seguridad y complejidad (no hay que abusar de métodos preventivos que requieran un sinfín de pasos logísticos, que den margen a errores).

Aplicar las últimas técnicas para la detección y prevención de riesgos y amenazas (análisis de vulnerabilidades y reingeniería de malware, entre otros) hoy resulta esencial

Todas estas cuestiones suelen ser tratadas en profundidad por los posgrados en Ciberseguridad, que cada vez se consolidan más. Por ejemplo, uno de los ejes del  Máster en Ciberseguridad Informática online de UNIR es aplicar las últimas técnicas para la detección y prevención de riesgos y amenazas (análisis de vulnerabilidades, protocolos de seguridad para amenazas activas persistentes, análisis y reingeniería de malware, entre otros.

  • Establece una cadena de comunicación

La intuición y la improvisación de los empleados jamás deben ser aspectos decisivos para la prevención en seguridad informática. Si un trabajador detecta posibles riesgos tras cometer alguna acción desacertada, o cree que su compañero de al lado ha actuado de manera inoportuna, requiere saber cuáles son las fases precisas y a quién comunicar los fallos o descuidos de manera eficaz. Por eso, si eres directivo, establece una cadena ágil para que los trabajadores sepan cómo resolver sus dudas o notificar las acciones al respecto.

  • Diseña un protocolo urgente de actuación

Si existen indicios concretos de que se ha vulnerado la seguridad informática de la empresa, porque hubo errores humanos internos u otras causas, es hora de seguir un protocolo de manera urgente, que actúe como ‘corta fuegos’. Claro que, para eso, necesitas crearlo antes. Rodéate de expertos para que te informen sobre ello. No hace falta contratar de manera permanente a especialistas en ciberseguridad. Puede ser un servicio externalizado. Eso sí: es fundamental que el proveedor goce de prestigio en el sector, para que duermas tranquilo.