A medida que las empresas dependen cada vez más del uso eficaz de la tecnología, puede parecer que la amenaza de convertirse en víctima de un ciberataque es casi inevitable, especialmente con las amenazas de los ciberdelincuentes en aumento. Los ataques contra empresas del Reino Unido se dispararon en un tercio en el primer trimestre de 2020 y Accenture informó de que ha habido un aumento global de los ataques a empresas del 67% en cinco años.

Con el aumento del trabajo a distancia, muchas empresas están experimentando niveles sin precedentes de acceso a sus cuentas desde fuera de la oficina física. Si bien esto es esencial y podría ser un indicador de la forma en que funcionarán los lugares de trabajo en el futuro, ¿podría esta rápida adopción crear brechas en su seguridad?

En este artículo se examinan las medidas que todas las empresas deberían adoptar para garantizar que sus cuentas profesionales permanezcan seguras y protegidas.

Asegurar los puntos finales y BYOD.

Uno de los primeros pasos a considerar es la seguridad del punto final. En el pasado, el trabajo de oficina se hacía en escritorios, todos alojados en un espacio físico. Ahora es común que los dispositivos portátiles y los dispositivos personales se utilicen para trabajar a distancia tanto como en una oficina. Si bien esto ha sido ciertamente beneficioso en términos de bienestar y productividad, ha dado lugar a un enorme aumento en el número de dispositivos que acceden a las cuentas de la empresa.

Si bien es probable que los dispositivos empresariales se instalen con un nivel adecuado de software de seguridad, los dispositivos personales no ofrecen esas garantías. La introducción de una política de "traiga su propio dispositivo" (BYOD) es una excelente manera de establecer las expectativas del nivel de seguridad que debe cumplirse antes de que se pueda acceder a las cuentas y documentos de la empresa en un dispositivo personal. En algunos casos, esto podría incluir el suministro de antivirus y de herramientas para el punto final. Los prerrequisitos de software podrían ser vistos como polémicos, por lo que debe haber transparencia respecto a qué herramientas exactamente se van a instalar y por qué.

Implementar autenticación de dos factores - 2FA.

Una medida sencilla para proteger las cuentas es activar la autenticación de dos factores (2FA) dondequiera que esté disponible. Al iniciar la sesión desde un nuevo dispositivo, el usuario tendrá que proporcionar tanto una contraseña como un código, que a menudo se envía por texto o a través de una aplicación de autenticación. Esto significa que, si se roba una contraseña, la cuenta permanecerá segura.

Una ventaja importante de la 2FA es que muchas cuentas profesionales, como las compras en línea, las aplicaciones bancarias y los medios sociales, ya utilizan esta función. Por lo tanto, el personal ya debería estar cómodo con este proceso.

Usar un administrador de contraseñas.

Tener contraseñas robustas es una base de la ciberseguridad y es especialmente importante para las cuentas profesionales. Esto no es demasiado difícil con las cuentas personales, pero si hay numerosos usuarios, cada uno con su propio login, cada contraseña tiene el potencial de aumentar la superficie de ataque y convertirse en un punto de entrada para un hacker malicioso.

Una contraseña robusta debería utilizar una combinación de mayúsculas y minúsculas, números y otros caracteres y ser única para la cuenta de cada usuario. Sin embargo, como esto podría complicarse rápidamente para el personal que tiene que cambiar entre varias cuentas para completar su trabajo, existe el riesgo de que algunos opten por la comodidad de contraseñas más sencillas.

Para encontrar un equilibrio entre la conveniencia y la seguridad, considere la posibilidad de implantar un administrador de contraseñas. Al hacerlo, las contraseñas de todos se recordarán automáticamente, dejando que los usuarios recuerden sólo una contraseña compleja cada uno. Mejor aún, muchas herramientas de administración de contraseñas también pueden generar nuevas contraseñas y ofrecer acceso administrativo a los superusuarios.

Mantener el software actualizado.

Las notificaciones, mientras se trabaja, pueden ser una gran distracción haciendo que la gente pierda el ritmo y que se detenga la concentración. No es sorprendente entonces que tantos opten por "recuérdame luego" cuando se les dice que hay actualizaciones disponibles.

En la mayoría de los casos, las actualizaciones de software, del sistema operativo o de las herramientas de seguridad son por una buena razón, como la implementación de una protección contra una nueva amenaza o la reparación de los agujeros de seguridad. El uso de dispositivos que no están actualizados podría socavar la seguridad de su empresa, por lo que las actualizaciones y los parches deben implementarse tan pronto como estén disponibles. Muchos servicios ofrecen opciones de actualización automática, que deberían activarse siempre que sea posible para garantizar que todos los dispositivos con acceso a las cuentas de la empresa no se vean expuestos innecesariamente a las vulnerabilidades conocidas.

Supervisar los permisos.

Dentro de una organización, es probable que haya algunos cambios regulares de personal a lo largo del tiempo. En algunas ocasiones, los clientes, los contratistas y los trabajadores independientes también pueden requerir acceso a la cuenta. A estos nuevos usuarios se les debe exigir que sigan la misma política de seguridad que cualquier otro miembro de su personal, pero ¿qué sucede cuando se van o ya no necesitan acceso? Puede ser muy fácil olvidarse de revocar el acceso, pero el resultado son múltiples puntos de acceso no monitorizados. Vigilar de cerca quién necesita acceso y eliminarlo tan pronto como ya no sea necesario es una forma sencilla y eficaz de minimizar la superficie de ataque de su empresa y proteger sus cuentas profesionales.

Del mismo modo, el número de personas con acceso a ciertos documentos sensibles suele ser mucho mayor que el de las que lo necesitan. El simple hecho de poder acceder a los archivos o de tener privilegios de administrador debido a la posición en la empresa crea una cadena de puntos de acceso innecesarios. En pocas palabras, menos cuentas de usuario activas significan menos vías para que una estafa de phishing o un ataque de malware tenga éxito. El acceso a las cuentas y los permisos de usuario pertinentes dentro de ellas deben vigilarse de cerca y, cuando sea posible, restringirse sólo a aquellas para las que sea esencial.

Reducir el error humano.

Si bien el error humano puede ser el resultado de un usuario malintencionado, suele ser el resultado de un descuido debido a la falta de formación y experiencia. Por ejemplo, los correos electrónicos de los bancos, otras empresas e incluso los de los compañeros de trabajo a menudo pueden parecer muy genuinos al principio, sólo para ser revelados como una estafa de phishing al examinarlos más de cerca.

Del mismo modo, es posible que muchas personas no se lo piensen dos veces antes de conectarse a los servicios Wi-Fi gratuitos de los aeropuertos, estaciones de tren y otros lugares públicos. De hecho, no sólo son a menudo inseguros, sino que son objetivos comunes para los ciberdelincuentes que buscan interceptar la información sensible que se está transmitiendo. En su lugar, podría proporcionar a los empleados que viajan regularmente con un dongle, una memoria USB portátil que proporciona acceso a Internet. El personal que necesita usar Internet de forma remota con poca frecuencia podría conectarse a la web usando un punto de acceso protegido por contraseña a través de su teléfono inteligente.

No importa cuán expertos en tecnología sean usted o sus empleados, la mayoría de la gente ha tenido al menos una llamada cercana. Si bien el error humano seguirá siendo la principal fuente de filtración de datos, la capacitación actualizada regularmente en materia de seguridad cibernética contribuirá en gran medida a minimizar los riesgos. El paquete de formación más básico debería asegurar que todos los miembros del personal lo sean:

  • Consciente de los riesgos de sus cuentas profesionales.
  • Capaz de identificar actividades sospechosas (como correos electrónicos y sitios web inseguros, y actividad informática inusual).
  • Lo suficiente como para usar herramientas como una VPN en lugares públicos.

Desarrollar una política de seguridad holística.

Para muchas empresas pequeñas, puede parecer que las violaciones de los datos que aparecen en los titulares no es probable que afecten a las operaciones cotidianas y se dejan de lado debido a la limitación de los recursos. Sin embargo, esta es una estrategia peligrosa. Cuando el 60% de las pequeñas y medianas empresas cierran a los seis meses de un ataque, los riesgos son demasiado grandes. La seguridad no sólo debe tratarse con una estrategia de "cuándo, no si", sino que también debe integrarse en las operaciones diarias.

Si bien la seguridad de los puntos finales es clave para garantizar la protección contra las amenazas, la reducción del error humano, la concienciación y la garantía de que se cumplen las mejores prácticas pueden contribuir en gran medida a la protección de las cuentas de la empresa.

En realidad, la mayoría de los piratas informáticos y las violaciones de los datos no se deben a elaborados ataques selectivos, sino a trucos de confianza que extraen información valiosa mediante el phishing y otras técnicas. Una de las formas más eficaces de proteger las cuentas en línea es asegurarse de que el personal esté plenamente capacitado y preparado para identificar actividades sospechosas. La igualdad es importante para asegurar que haya un proceso y una cadena de mando claros para identificar quién necesita ser informado y asegurar que el personal se sienta cómodo planteando sus preocupaciones cuando no esté seguro. Al igual que en un simulacro de incendio, es mejor actuar con rapidez y decisión en lugar de dudar.

La capacitación no debe ser un acontecimiento aislado y las actualizaciones periódicas deben formar parte de la cultura de la empresa, asegurando que se subraye y se comprenda la importancia de la responsabilidad personal.

Más información sobre la creación de una política de seguridad cibernética para las pequeñas empresas.