RSS seguridad

Ayer nuestros compañeros de Genbeta nos contaban como el autor del documento de seguridad de referencia en lo que respecta a las políticas de creación de contraseñas y su gestión en las empresas cree estar equivocado. No por obligar a cambiar de clave de acceso cada tres meses y obligar a poner mayúsculas, minúsculas o signos son más seguras. Hay que llegar a un compromiso entre usabilidad y seguridad a la hora de crear una política de contraseñas.

Si se obliga al usuario a introducir todas estas características en su contraseña, evitar que se repitan x caracteres al renovarlas, hace que los empleados acaben por volverse descuidados, que no se acuerden de la clave que pusieron ayer y acaben por apuntarla en una nota adhesiva sobre la pantalla. Al final el efecto que se consigue es el contrario al deseado. En lugar de mejorar la seguridad, se facilita el acceso.

El ramsomware es una tendencia imparable a nivel mundial. Y afecta a todo tipo de empresas, no sólo a las más pequeñas, también a aquellas de mayor tamaño. Por eso la pregunta no es cómo pararlo, sino qué hacer cuando vuelva a pasar y me toque a mi. Vamos a ver entonces nueve medidas para mejorar la seguridad de tu empresa antes de irte de vacaciones.

Porque es en esta época del año en el que muchas empresas bajan el nivel de trabajo donde tenemos tiempo para replantear nuestra política de seguridad. Y sobre todo establecer un plan para dar respuesta a un incidente, detenerlo y ponerle remedio lo antes posible.

La falsa sensación de seguridad de las empresas es uno de los principales problemas a la hora de mejorar la ciberseguridad. Según el último informe ePyme 2016 publicado por la ONTSI no se considera la inversión en ciberseguridad como un elemento clave para el desarrollo de negocio, a pesar de los nuevos ataques de ransomware.

Especialmente afecta a las empresas más pequeñas de menos de diez trabajadores, donde el porcentaje de sistemas internos de seguridad se sitúa en el 47,6% mientras que en las de mayor tamaño está en un 88,1%. De esta forma se establece la brecha entre ambos segmentos en 40,5 puntos porcentuales.

En informática la seguridad absoluta no existe. Esto es algo con lo que todas las empresas tienen que aprender a convivir. Como muchos de vosotros sabéis el viernes un virus de tipo ransomware, WannaCrypt, atacó a muchas empresas, tanto en España como a nivel mundial. Lo llamativo es que muchas de ellas mandaron a sus empleados a casa, lo que hizo que tuviera mucha mayor relevancia mediática que otros ataques similares. Muchas organizaciones se pueden preguntar si Telefónica no puede frenar el ransomware, ¿qué puede hacer una pyme?

Lo más importante es saber cómo actuar ante un problema de este tipo. Apagar los ordenadores y mandar a los empleados a casa puede parecer una medida radical, pero es lo más efectivo. En realidad bastaría con desconectar el ordenador de la red, pero en un momento de crisis es necesario dar directrices claras a los empleados. Todos saben cómo apagar el ordenador, mientras que si lo que se pide es desconectar el cable de red, no todos van a saber a qué cable se refieren.

Los sistemas de seguridad de la empresa son ineficaces o al menos están mal planteados. No significa que no funcionen, que lo hacen bastante bien, simplemente que están pensados desde un punto de vista técnico, para usuarios avanzados, cuando el que realmente está detrás del teclado es simplemente una persona con los conocimientos justos sobre informática y seguridad.

El antivirus o los sistemas de protección en la empresa tienen que ser asequibles para todos los empleados y no únicamente comprensibles por el departamento informático. Si no el resultado dependerá de la decisión final de un usuario que muchas veces ni siquiera lee el mensaje que aparece en pantalla y pulsa siguiente.

El smartphone, el portátil, los ordenadores de la empresa conectados a Internet, poder acceder desde casa a las aplicaciones y datos de la empresa, a cualquier hora siempre que los necesitemos hacen que la empresa esté viviendo siempre conectada. Más allá de sus beneficios hoy vamos a ver los 9 peligros de la hiperconexión de los que tu empresa no es consciente.

Porque la seguridad es aburrida. Es una traba. Una obligación impuesta por no se sabe quien. ¿Al fin y al cabo quién va quererte atacar o robar datos a ti que tienes una pequeña empresa? ¿Dejarías la puerta de tu empresa abierta cuando acaba tu horario de trabajo? Pocos serán los que respondan afirmativamente. Sin embargo es lo que están haciendo de forma inconsciente al despreocuparse de cerrar la puerta digital de su empresa.

Preservar la información de las empresas hoy en día es básico. En las empresas más pequeñas piensan muchas veces que están seguras simplemente por el hecho de ser pequeñas. ¿A quién le van a interesar sus datos? Lo cierto es que muchas no son conscientes de que en realidad no se discrimina, sino que se lanza un malware que aprovecha todas las puertas abiertas que dejamos en la empresa. Para ayudarnos a cerrarlas, el INCIBE ha creado un curso de ciberseguridad para micropymes y autónomos online y gratuito.

Se trata de un curso que se ha iniciado el pasado 27 de enero y tiene una duración estimada de 30 horas para realizar en siete semanas. De esta forma se dedicarán una media de unas cuatro horas a la semana para ir conociendo los riesgos a los que estamos expuestos en las empresas. Pero también como mejorar la seguridad de nuestras empresas.

Uno de los motivos por los que muchos usuarios no están del todo convencidos para llevarse sus datos a la nube es la seguridad. Tener controlado quién accede, pero también cómo se encuentra administrado todo el sistema es importante. Porque se pueden perder datos como ha ocurrido recientemente con aquellos servicios online que utilizan MongoDB como base de datos.

Se trata de un ataque de Ransomware sobre algunas bases de datos aprovechando una vulnerabilidad. En estos casos se pone de manifiesto la necesidad de tener también una copia de seguridad reciente, a ser posible también en local de los datos que almacenamos en la nube. Se trata de no tener todos los huevos en la misma cesta.

Si algo han aprendido muchas empresas a lo largo de 2016 ha sido la importancia de tener una copia de seguridad. Los ataques por ransomware han sido un problema para muchas de ellas y no se espera que en 2017 baje el ritmo. Las empresas pagan para recuperar sus datos, por lo tanto es un negocio redondo. Por eso vamos a ver por qué tu empresa tiene que replantearse su esquema de seguridad en 2017.

Porque no se trata sólo de poder recuperar la información, sino de hacerlo de una forma rápida. Tenemos que realizar pruebas de forma periódica para ver que podemos recuperar datos y trazar un plan de acción para saber como actuar en caso de desastres. En todas las empresas debería existir alguien designado para controlar copias y ayudar a sus compañeros, resolver dudas o guiarlos en una situación de pérdida de datos.

Hoy en día las políticas de seguridad están en el punto de mira de muchas empresas. La empresa hoy en día esta conectada y no basta sólo con un antivirus o un cortafuego. Es necesario implantar una cultura de la seguridad informática en las organizaciones. Y empezar por las contraseñas es un buen paso.

¿Hace cuánto que no cambias tus contraseñas? Responder a esta pregunta debería ser sencillo, pero si no lo recuerdas está claro que es necesario hacerlo. Y no nos referimos solo al accedo de inicio de sesión en el ordenador, sino también a todos estos servicios que utilizamos a través de Internet que también pueden suponer un problema.