Desde los comienzos de Digital Branding Ltd tener una fuerte seguridad a la par que unas soluciones digitales rápidas y potentes ha sido nuestra prioridad.
Sin embargo, con la experiencia que hemos ido adquiriendo estos años nos hemos dado cuenta de que la seguridad de un sistema no reside en su componente más fuerte, si no en el más débil.
En nuestro caso hemos podido ver de primera mano como el interés por esta materia es sobrevisto por los usuarios constantemente. Sin entender los riesgos y las consecuencias de fallos en la seguridad de sus sistemas y de sus bases de datos.
Según un estudio de IBM el 95% de las incidencias en ciberseguridad se deben a errores humanos.
Por ello, os traemos los 7 errores más comunes que van a ayudaros a limitar el factor de error humano de forma drástica.
No proteger los accesos correctamente.
a) Contraseñas no seguras
b) No encriptar los discos duros de los equipos
c) No contar con medidas de seguridad fisicas
d) No proteger nuestros equipos in-itinere
e) Conectarnos a redes no seguras
f) Firewalls, VPNs y otras medidas de protección
Confiar en fuentes no seguras.
Do not segment the information that employees have access to according to their need
Do not audit accesses and systems on a regular basis
Do not update security systems/software
No formar a los empleados
Not knowing the risk of information
1. Not protecting accesses correctly
Proteger correctamente los accesos es algo vital, tener un candado complejo y robusto de nada sirve si la llave capaz de abrirlo está a la mano del ladrón.
Contraseñas no seguras
Una de las claves más relevantes reside en emplear contraseñas no seguras.
Desde Digital Branding recomendamos contratar un servicio de gestión de contraseñas. De esta forma únicamente debemos recordar una contraseña. Esta debe contener 12 caracteres y una combinación de letras, números y símbolos.
De esta forma con un gestor de contraseña podemos definir para todos nuestros accesos contraseñas aleatorias generadas automáticamente con alguna herramienta. Podrían ser de hasta 20 caracteres, distintas entre ellas mismas y no tendríamos la necesidad de recordarlas ya que para eso existe el gestor de contraseñas.
No encriptar los discos duros de los equipos
Podemos considerarlo como el proceso por el cual la información legible se transforma, mediante un algoritmo, en ilegible y se necesita de una “llave” especial para decodificarla. Este mecanismo nos permite aislar nuestra información de extraños y minimizar las consecuencias indeseadas que ellos pueden generar.
No proteger nuestros equipos in-itinere
Aunque pueda ser sobrevisto con facilidad, el hurto físico de dispositivos es más frecuente de lo que pensamos, con dispositivos cada vez más ligeros, portátiles y con un mercado negro con una demanda extraordinaria, debemos cuidar este aspecto.
Vigilar nuestros dispositivos en zonas públicas es crucial, al igual que cuidar de la seguridad física de nuestras instalaciones. Tener el disco encriptado puede sernos de gran utilidad, ya que en caso de robar el disco duro acceder a la información se complica enormemente.
Conectarnos a redes no seguras
En muchas ocasiones la estructura de redes que encontramos de nuestros clientes no es la indicada. Hay que tener en cuenta que las distintas redes que tengamos en nuestra empresa no deben tener la capacidad de comunicarse entre sí, deben estar aisladas.
Además, es importante revisar las redes externas a las que nos conectamos ya que una red con una seguridad que no iguale los requisitos mínimos según los estándares actuales puede facilitar que con un simple ordenador se pueda monitorear nuestra actividad, suplantar las credenciales del servidor y acceder a los datos de nuestro ordenador.
Firewalls. VPNs y otras medidas de protección.
Un firewall es un dispositivo de seguridad de la red que monitoriza el tráfico entrante y saliente y decide si debe permitir o bloquear un tráfico específico en función de un conjunto de restricciones de seguridad ya definidas.
Los firewalls han sido la primera línea de defensa en seguridad de la red durante más de 25 años. Establecen una barrera entre las redes internas seguras, controladas y fiables y las redes externas poco fiables como Internet.
Una VPN (sigla en inglés para red privada virtual) es una tecnología que utiliza Internet para conectarse a una ubicación específica y de esta manera poder acceder a ciertos servicios. Esta conexión a la red puede ocurrir de varias maneras, pero generalmente utiliza el cifrado como mecanismo para proteger la comunicación entre el usuario y el servidor.
2. Confiar en fuentes no seguras
The first thing we must do is verify the source from which we receive the information we are going to open, share, download...At this point we will analyze common techniques of cyberattacks that use masked pages, malicious content and so on.
Abrir ficheros no seguros enviados por email y otras fuentes
El “phishing” es una de las técnicas más comunes de robo de contraseñas desde los últimos años. Confiar en la buena voluntad de los usuarios suele ser la forma más efectiva de robar accesos a las contraseñas.
El phishing es una técnica de ciberdelincuencia que utiliza el fraude, el engaño y el timo para manipular a sus víctimas y hacer que revelen información personal confidencial.
Un ataque de phishing tiene tres componentes: :
El ataque se realiza mediante comunicaciones electrónicas, como un correo electrónico o una llamada de teléfono.
El atacante se hace pasar por una persona u organización de confianza.
El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito.
En el caso de que debamos por fuera descargar un archivo o programa y no conozcamos su fuente o su naturaleza, es recomendable hacerlo en una máquina virtual.
Conectarse a URLs no seguras e ingresar datos
Al igual que el punto anterior, conocer la dirección a la que vamos a acceder es de vital importancia. Los posibles avisos que pueda dar su navegador sobre una página nunca deben ser ignorados sin conocimiento.
Comprueba el certificado SSL en el candado que encontrarás al principio de la URL
Comprueba si es un anuncio: busca los resultados pagados del motor de búsqueda; los anuncios que aparecen en la parte superior de las páginas de resultados.
Lee la página de inicio: tómate dos minutos para revisar la página web. No caigas en los trucos de los formularios de solicitud antes de leer el texto completo. A veces, incluso avisan de que el sitio no es el oficial.
Comprueba la dirección web: que una web acabe en .org no garantiza que sea oficial. Por ejemplo, en el caso de Reino Unido debería ser gov.uk en lugar de org.uk.
https vs http: aunque no siempre es una garantía, puedes comprobar el "http" que aparece al principio de la dirección del sitio web. Si estás introduciendo información personal, "https" sirve como forma de encriptación para proteger tus datos personales, a diferencia de "http".
3. No auditar los roles en la empresa.
Para facilitar el control de riesgo dentro de una empresa es fundamental restringir el acceso a ciertas informaciones según el rol de cada uno dentro de la empresa.
La información a la que pueda acceder cada miembro debería ser únicamente aquella que sea imprescindible para el desempeño de su función.
4. No auditar los accesos y los sistemas de forma periódica.
Hacer un mantenimiento de accesos que tengamos, de las claves, es también un aspecto importante. Puede resultar tedioso, pero es un pilar clave. Debemos revisar los accesos de los empleados a los datos, como acceden y cada cuánto se cambian las contraseñas.
Además, debemos revisar la fortaleza que tienen estas contraseñas.
Contraseñas de ex empleado
La marcha de un miembro del equipo puede ser algo triste después de años trabajando juntos, con la confianza que estos años traen. Sin embargo, debemos ser estrictos en cuanto al procedimiento a la hora de que un empleado deje de formar parte de nuestra empresa.
Sus cuentas y sus contraseñas deben o bien ser dadas de baja o bien cambiadas. Esto no solo ayudará a prevenir una brecha de información perniciosa, sino además en caso de que su ordenador o sus contraseñas puedan ser comprometidas, seguiremos expuestos a estos peligros.
Periodic pentesting
¿Cuántas veces han tratado de verificar la seguridad de sus accesos?
Si la respuesta es nunca, estará incluido en la mayoría de los miembros que conforman el tejido empresarial en España, auditar y tratar de explotar los accesos a nuestras redes es una pieza clave.
Si no contamos con la experiencia suficiente para realizar este tipo de pruebas podemos contratar a un experto externo que evalúe la seguridad de nuestros sistemas.
5. No actualizar los sistemas/software de seguridad
Las actualizaciones de software a menudo se ven como tediosas, engorrosas y pesadas. Sin embargo, estas, suelen traer mejoras en la materia de seguridad, a medida que la empresa que provee estas actualizaciones detecta fallos de acceso nuevos. Por ello es fundamental tener el software actualizado a la última versión estable.
Los mismo pasa con la obsolescencia de ciertos dispositivos físicos, podemos encontrar fallos de diseño que han ido mejorando a lo largo del tiempo que permitían vulnerabilidades importantes que se han ido subsanando en versiones siguientes.
Es vital tratar de actualizar tanto el hardware como el software, no solo para aumentar la protección de nuestra información, pero para poder experimentar las mejoras de rendimiento que a menudo proveen dichas actualizaciones.
6. No formar a los empleados
De nada sirve ser consciente de los riesgos y conocer cuáles son, si únicamente una parte muy pequeña de la empresa conoce estos riesgos.
Formar, no solo es bueno para la empresa, si no para los empleados. A menudo se considera como un valor extra que la empresa nos provee.
7. No conocer los riesgos de la información que manejamos
La seguridad en rede no es efectiva al 100%. Aunque podemos limitar enormemente los riesgos, en temas de seguridad informática nunca podemos tener la garantía de que nuestro sistema es impenetrable.
Es fundamental desde un punto de visto estratégico el redactar los procedimientos adecuados en caso de que dicha información sea filtrada.
Para ello debemos responder a varias preguntas.
¿Qué información ha sido expuesta?
¿Qué valor y naturaleza tiene esta información?
¿Conocemos el alcance de las repercusiones que tiene dicho filtrado?
¿Qué plan de notificación a los usuarios de acuerdo con las políticas legales tenemos?
¿Cómo podemos evitar que esto vaya a volver a ocurrir?
Los 7 pecados capitales de la seguridad