9 consejos para proteger una empresa del hackeoEscrito por Redacción TNI el 22/09/2014 a las 18:26:562425
Los revuelos que ha conocido la web, tras el hackeo sufrido por varias celebrities de Hollywood o, más recientemente, la filtración de millones de contraseñas de Gmail, han dejado en entredicho la seguridad de los sistemas de almacenamiento y vuelto a poner de relieve la importancia de adoptar medidas para proteger los datos personales en la Red. Pero, ¿qué pasa con los ataques dirigidos a grandes compañías en los que los ciberdelicuentes consiguen tener acceso a información privilegiada? ¿Cómo pueden las empresas prevenir estos riesgos? Si la fiabilidad de los proveedores de almacenamiento en la Red es clave para no sufrir ataques, las buenas prácticas por parte de las empresas son igualmente primordiales, como explica Francisco José Mateos de Vector ITC Group: "No preguntes qué puede hacer tu proveedor por tu seguridad; sino qué puedes hacer tú, como empresa, por tu propia seguridad y la de tus empleados”. Y añade: “En el ámbito laboral gestionamos más contraseñas de las que pensamos, para el correo, la intranet corporativa, el acceso al sistema, a las bases de datos, la wiki o otras numerosas herramientas. Y cuantas más contraseñas, mayor riesgo y mayor necesidad de asegurarse que son altamente seguras”. Para minimizar el riesgo de que una empresa sufra ataques y complicar la tarea de los ciberdelincuentes, Vector ITC Group enumera 9 consejos a seguir:
Las compañías deben instaurar ciclos de formación sobre las medidas que deben seguir los empleados para gestionar sus contraseñas en su trabajo diario.
Para ser considerada “fuerte”, una contraseña debe reunir ciertas características:
Para una mayor seguridad, es recomendable que todos los colaboradores de la empresa cambien sus contraseñas cada 3 ó 6 meses.
El segundo factor de autenticación funciona de forma que al introducir un usuario y una contraseña, el servicio al que se está accediendo envía un token a un dispositivo (normalmente el móvil) y pide que se introduzca el código que se ha enviado. De esta manera, se autentica mejor al usuario, ya que un atacante tendría que vulnerar el dispositivo para obtener el token, además de averiguar el usuario y la contraseña.
Esta medida de seguridad se ha convertido en una vía más de ataque a la cuenta objetivo. Consiste en unas preguntas que se deben responder con la respuesta que se introdujo al dar de alta la cuenta para recuperar el control de la misma al olvidar la contraseña. Una buena solución para no sufrir ataques y que la respuesta no sea demasiado fácil de encontrar es no contestar con lógica y previsibilidad. Por ejemplo, si la pregunta es “apellido de soltera de tu madre”, la respuesta debería ser cualquiera menos esa: una palabra clave, una dirección de correo o una contraseña antigua. El objetivo es que un atacante no pueda usar información personal recopilada de Internet para adivinar la respuesta.
Al igual que es primordial cambiar de forma regular las contraseñas personales de los empleados, las de todas las aplicaciones y herramientas utilizadas en la empresa también han de ser actualizadas.
Unas simples observaciones permiten evaluar el grado de fiabilidad de un servicio en Internet:
Todas estas consideraciones están supeditadas a la importancia de la información a proteger, ya que obviamente, no es lo mismo proteger el acceso a la web de nóminas de los empleados que el acceso a una web con contenido estático y meramente informativo. La lista es larga, pero siguiendo esta serie de recomendaciones se puede reducir el riesgo y asegurar las credenciales de los empleados así como de los servicios y aplicaciones que utilizan en la empresa. |