Blog de GlobalSign

09 nov 2016

31 Consejos de Ciberseguridad para Empresas

En este articulo vamos a compartir algunos consejos para garantizar la ciberseguridad de las empresas y esperamos entre todos ser capaces de concientizar sobre la importancia de crear un Internet más seguro y protegido. A continuación le ofrecemos 31 consejos de ciberseguridad. Estos consejos también se publicarán en nuestra pagina de LinkedIn, por lo que le animamos a seguirnos para mantenerse informado.

Los avances de Internet parecen no tener fin, y parte de la magia se debe a que nos permite comunicarnos libremente con personas en cualquier parte del mundo. Además, el auge de las redes Wi-Fi ha propiciado la creación de dispositivos capaces de conectarse a Internet y transmitir o transferir datos dentro de una red. Este grado de conectividad es algo muy positivo, aunque también implica problemas inherentes: cada individuo conectado a Internet en el Planeta dispone de redes y datos propios que son susceptibles de robo por parte de hackers.

Por ello, estamos convencidos de que si concientizamos sobre estas vulnerabilidades y educamos al público sobre cómo protegerse, avanzaremos hacia un Internet más protegido frente a posibles ataques.

Sin más preámbulos, paso a ofrecerles 31 consejos de ciberseguridad concebidos para ayudar a las empresas a protegerse. Lo invitamos a seguirnos en LinkedIn y compartir nuestros consejos.

Medidas básicas para garantizar la seguridad y la protección en Internet

1. Cuidado con lo que publica sobre otras personas y sobre usted mismo

Su manera de hablar de otras personas en Internet dice mucho de usted, y también le podría ocasionar problemas legales o incluso hacerle vulnerable frente a robos o ataques de hackers. Puede haber personas vigilando sus comentarios en Internet, de manera que si publica que se va una semana de vacaciones, no sería difícil que alguien encontrase su dirección y fuese a su casa a robar. También debe extremar las precauciones para no violar acuerdos de confidencialidad, contratos laborales y cualquier otro acuerdo que haya suscrito. Asimismo, puede cometer un delito al revelar información personal sobre otros o difamarlos en público sin pruebas.

2. Determine qué datos recauda su empresa y asegúrese de que los protege

Para proteger sus datos corporativos en Internet, debe realizar una auditoría de todos los datos e identificar qué parte de ellos son de dominio público (y, por tanto, no deben permanecer protegidos), qué parte tienen una importancia media y no tendrán un gran impacto en su organización si se divulgasen (deberán estar protegidos con algún tipo de medida de seguridad) y, por último, qué datos son personales y los más importantes para su empresa. Esta última categoría de datos afectará en gran medida a su compañía en caso de pérdida o sustracción, por lo que deberá protegerlos adecuadamente de los miembros de su empresa con las medidas de seguridad más estrictas y los derechos de acceso más restrictivos.

3. Use múltiples métodos de autenticación

La Autenticación consiste en confirmar una identidad (de un usuario, máquina o dispositivo) comparando las credenciales facilitadas con los datos recogidos en una base de datos existente de identidades autorizadas antes de conceder acceso a un sistema o aplicación en concreto. Por ejemplo, usted se autentica al introducir su nombre de usuario y su contraseña para acceder a su cuenta de correo electrónico. Sin embargo, en lugar de confiar en el uso de contraseñas exclusivamente (un método cada vez menos seguro), recomendamos el uso de múltiples factores de autenticación. Algunos factores de autenticación son algo que usted conoce (por ejemplo, un nombre de usuario/contraseña o la respuesta a una pregunta de seguridad), algo que usted posee (por ejemplo, un certificado digital o una tarjeta inteligente) y algo que usted es (por ejemplo, su huella dactilar o el reconocimiento facial).

4. Habilite el protocolo HTTPs en su sitio web

Los sitios web HTTPs cuentan con un certificado SSL/TLS instalado en el servidor. Este certificado cifra los datos transmitidos desde el navegador hasta el servidor –ya se trate de información personal o financiera transmitida a través del sitio o del contenido del propio sitio web– y los protege frente a intrusos (por ejemplo, terceros malintencionados, servicios de vigilancia gubernamentales, etc.). Los certificados SSL también permiten vincular su identidad de marca con su presencia web, lo que ayuda a los visitantes a determinar que su sitio efectivamente está controlado por su empresa y no por impostores (descartando así que se trate de un sitio de phishing). Los certificados SSL EV evidencian esta autenticidad al activar la barra de direcciones verde y mostrar de forma prominente el nombre de su empresa.

5. Use contraseñas sólidas y no las reutilice. Válido: "34bGUI7&89@))". No válido: "12345 o Eddy1"

Son muchos los hackers que venden los datos sustraídos. Esta información puede incluir datos personales y contraseñas de miles, o incluso millones, de individuos. Si utiliza la misma contraseña para todas sus cuentas, un hacker podrá acceder fácilmente a todos sus sistemas. En otras circunstancias, el hacker podría usar la "fuerza bruta" para descubrir su contraseña. Esto es mucho más complicado si la contraseña es larga, contiene una mayor variedad de caracteres y no se corresponde con una palabra. También le recomendamos el uso de algún tipo de herramienta de gestión de contraseñas para garantizar que no olvida sus contraseñas.

6. Mantenga actualizado todo su software

Los hackers siempre buscan vulnerabilidades en el software que emplea su empresa. Una vulnerabilidad podría ser algo tan fácil como encontrar un punto de acceso a su red de Windows. Las empresas de desarrollo de software ponen todo su empeño en crear parches y actualizaciones que resuelven estas vulnerabilidades, por lo que es importante que actualice su software en cuanto se publique una versión nueva.

7. Realice una copia de seguridad de todos sus datos

Las copias de seguridad de sus datos le permiten recuperar los archivos en caso de pérdida o robo. Debe realizar copias de seguridad regulares de sus datos y guardarlas en lugares distintos para evitar que los hackers puedan acceder a ambas ubicaciones.

8. Habilite un firewall para proteger su conexión a Internet

Los firewalls están diseñados para evitar accesos no autorizados a las redes privadas. Puede crear un conjunto de reglas en su firewall para determinar qué accesos están autorizados y cuáles deben ser bloqueados. Un buen firewall debe ser capaz de supervisar los datos entrantes y salientes.

Creación de una cultura de ciberseguridad en el trabajo

9. Establezca una política de uso de dispositivos/celulares propios para sus empleados

Algunas empresas permiten a sus empleados utilizar sus teléfonos personales para realizar transacciones de trabajo. Se trata de una excelente manera de incrementar la productividad y la eficiencia de las empresas, pero también hace que la organización sea más vulnerable a los ataques, ya que los celulares pueden sufrir ataques y utilizarse como puntos de acceso hasta su red corporativa. Una buena política de uso de dispositivos propios contribuirá a concientizar a los empleados sobre el uso de las tecnologías móviles y cómo mitigar el riesgo de sufrir ataques.

10. Cree una estrategia de respuesta frente a incidentes

Una estrategia de respuesta frente a incidentes permite a su empresa adelantarse a los ataques. Puesto que no es posible garantizar su seguridad al 100%, es aconsejable contar con un plan de acción al que recurrir si sufre un ciberataque. Este plan le permitirá responder rápidamente tras sufrir un ataque. Así, podrá evitar que los atacantes se hagan con datos sensibles y alertar a los medios de comunicación o los clientes en caso de que el alcance del ataque sea  mayor del previsto. También deberá prever quién será el responsable de gestionar dicho plan.

11. Capacite a sus empleados en materia de contraseñas

Todos los empleados deben recibir capacitación en materia de contraseñas. Esta capacitación puede abarcar los siguientes puntos:

  • Garantizar que los empleados no anotan sus contraseñas por escrito (susceptibles de ser robadas).
  • Garantizar que los empleados no revelan sus contraseñas en ningún tipo de comunicación a través de Internet, a menos que la comunicación esté cifrada.
  • Animar a los empleados a crear contraseñas sólidas y usar una herramienta de gestión de contraseñas corporativas.
  • Garantizar que los empleados no reutilizan sus contraseñas en distintas aplicaciones corporativas o en sus cuentas personales y corporativas.

12. Asegúrese de que los empleados buscan la S del protocolo HTTPs al navegar por Internet

Los empleados utilizarán en algún momento la red informática de su empresa para visitar sitios web o registrarse para usar servicios tanto con fines personales como corporativos. Antes de enviar información, deben tratar de localizar el candado y el protocolo HTTPS en la barra de direcciones. Si el sitio web no está protegido, no deberán introducir ningún dato.

Nota: es igualmente importante informar a los empleados sobre los sitios web de phishing (consulte a continuación el consejo 15). Se conocen casos de sitios web de phishing que utilizan certificados SSL con validación de dominio (DV) para hacerlos parecer más "reales" y "confiables".

13. Habilite comunicaciones seguras a través de correo electrónico y ofrezca capacitación para mitigar los riesgos de sufrir ataques de phishing

El correo electrónico sigue siendo un punto débil para la ciberseguridad, cuyas principales amenazas son la pérdida o revelación de datos y los ataques de phishing. Le recomendamos que busque una solución de seguridad para su correo electrónico capaz de cifrar los mensajes en tránsito y entregados y verificar su origen. Esto permitirá a los empleados identificar fácilmente los correos electrónicos interceptados y falseados y evitar ser víctimas de ataques de phishing. La facilidad de uso para el usuario final también es un factor importante a tener en cuenta.

14. Anime a los directivos de su empresa a liderar una cultura de ciberseguridad

Como sucede con todas las estrategias de cambio aplicables a toda la organización, los directivos deben ser los primeros en asumir los cambios. Si los líderes demuestran aceptar estos cambios, el resto de los miembros de la empresa les seguirán.

15. Establezca pruebas de simulación de ataques de phishing para mantener alerta a su personal 

Realice pruebas de simulación de ataques de phishing en su empresa para comprobar el grado de alerta de sus empleados. Estas pruebas deben realizarse antes y después de la capacitación con el objetivo de medir los avances de los empleados.

Combatir la ciberdelincuencia

16. Forme un equipo de respuesta frente a incidentes

Además de designar a un individuo como responsable de la aplicación del plan de respuesta frente a incidentes, necesitará un equipo que ayude al responsable en su tarea. Por ejemplo, puede recurrir a un individuo del departamento de comunicación para la publicación de notificaciones y a una persona de ventas para hablar con los clientes. En función del tamaño de su organización y del alcance del posible ataque, deberá garantizar la implicación de los individuos adecuados en el proceso de respuesta frente a incidentes.

17. Realice un análisis de amenazas internas

Un análisis de amenazas internas le revelará cualquier posible amenaza para su infraestructura de informática procedente del interior de su propia organización. Este punto débil podría ser un empleado o antiguo empleado, un contratista, un proveedor, un proveedor de datos externo o un colaborador.

18. Cree directrices de respuesta rápida

Asegúrese de estar preparado para responder de forma rápida y eficiente frente a un ciberataque. Transmita este plan al resto de su organización y designe a un encargado de garantizar que el plan se ejecuta.

19. Redacte un plan de comunicación externa

GDPR exige informar a la autoridad supervisora pertinente tan pronto como se tenga conocimiento de una intrusión en sus sistemas. La autoridad supervisora debe ser competente en su estado miembro y muy probablemente se trate de una agencia gubernamental. Asimismo, planifique comunicar el incidente a todos los que podrían verse afectados por esta intrusión, incluidos sus clientes, contratistas y empleados.

20. Transmita la respuesta frente al incidente a los empleados

Anunciar a los empleados el plan de respuesta e informarles de los posibles tipos de incidentes y soluciones les ayudará a recordar que ellos también son responsables de mantener la confidencialidad y minimizar el riesgo de fugas de información a fuentes externas.

21. Aprenda de errores pasados

Tras sufrir una intrusión y aplicar una respuesta frente a incidentes, y tan pronto como tenga la certeza de que su empresa ha superado el ataque y puede volver a funcionar con normalidad, deberá llevar a cabo una auditoría. Esta revisión le brinda una oportunidad para analizar su plan de respuesta frente a incidentes y decidir si son necesarias modificaciones a la luz de los errores cometidos con anterioridad. Asimismo, deberá transmitir a su departamento de informática los cambios necesarios en las operaciones o comunicaciones para garantizar la subsanación de las vulnerabilidades.

22. Asuma en todo momento que existe una vulnerabilidad - Nunca se está completamente protegido

Haber invertido tiempo y dinero en una estrategia de ciberseguridad para su empresa no garantiza la protección total de sus sistemas. Siempre puede haber una vulnerabilidad, un posible fallo en la red o un nuevo miembro de su equipo de empleados  que constituya un punto débil. Presuponga siempre que existe un punto de acceso para los hackers.

El futuro de la ciberseguridad y estrategias para garantizar la protección y la privacidad

23. Asegúrese de que su infraestructura de informática está cubierta frente a ciberataques

Las pólizas de seguro estándar no suelen cubrir la pérdida de datos, razón que ha propiciado la aparición de los ciberseguros. Asegúrese de que su seguro cubre también el tiempo fuera de servicio que pudiera experimentar su empresa.

24. Dote a cada "cosa" (dispositivos, sensores, sistemas, etc.) de una identidad

De forma paralela al desarrollo de sistemas más rápidos, eficientes y productivos, las empresas conectan múltiples dispositivos y sensores entre sí para el intercambio de datos, en lo que se denomina una infraestructura del IoT. Dentro de esta infraestructura, cada “cosa” necesita una identidad. Al contar con una identidad de dispositivo exclusiva y sólida, las "cosas" son capaces de autenticarse antes de acceder a Internet para ofrecer comunicaciones seguras y cifradas con otros dispositivos, servicios y usuarios.

25. Asegúrese de que solo es posible acceder a los sistemas tras un proceso de autenticación SEGURO

De la misma manera que garantiza que sus datos más importantes solo son accesibles a través de una autenticación segura (consulte el consejo 3), deberá garantizar que la infraestructura crítica de su empresa únicamente es accesible a través de una autenticación igualmente sólida. Si trabaja en un banco, deberá pasar por diversos puntos de acceso antes de llegar a la caja fuerte, y lo mismo debe suceder en el ámbito digital El principal aspecto que debe tener en cuenta es el acceso basado en funciones, es decir, la limitación del acceso a los sistemas críticos exclusivamente a determinados usuarios privilegiados.

26. Contrate a un hacker

Existen multitud de hackers en todo el mundo que no desean probar sus datos de forma ilegal y venderlos a través de Internet. Por el contrario, su misión es la de ayudar a los demás. Se les conoce como hackers de "sombrero blanco" y todas las organizaciones deberían contar con uno para luchar contra los hackers de "sombrero negro". Como dicen, el fuego solo se combate con fuego.

27. Comience ya a gestionar su flujo de datos

Conforme evolucionan las tecnologías, nuestros datos se vuelven cada vez más complejos. Para poder gestionar correctamente la información y evitar robos, deberá conocer qué datos están en circulación en su organización y cómo se transmiten desde la fuente hasta el punto o usuario finales.

28. Saque el máximo provecho a la nube

La nube es una herramienta muy útil, especialmente para las empresas de pequeño y mediano tamaño que desean externalizar la protección de sus datos a una empresa más grande. Sin embargo, es importante garantizar que conoce todos los detalles antes de colaborar con un proveedor de servicios en la nube. Infórmese de dónde están sus centros de datos y en qué otras ubicaciones pueden almacenar y acceder a su información.

29. Asegúrese de que su red está segmentada de forma que desde un sistema no sea posible acceder a otro

Evite que la totalidad de su red informática sea accesible desde un mismo punto, incluso en los casos en los que este punto esté protegido mediante un proceso de autenticación seguro. Al separar sus redes, los hackers no podrán controlar la totalidad de sus sistemas si logran acceder a una red. Deberá dividir sus sistemas según su importancia y en función del grado de relevancia que la red tenga para su empresa. En este sentido, es recomendable dotar a las redes más críticas de la mayor seguridad.

30. Manténgase al día sobre las últimas normativas que rigen su sector

La mayoría de sectores cuenta con un conjunto de estándares y buenas prácticas definidos que deberá cumplir para dotar a su empresa de una protección digital básica. El sector de la energía cuenta con el Marco de trabajo de ciberseguridad del NIST, el sector de la automoción se rige por el Marco de trabajo de buenas prácticas para la ciberseguridad del sector automovilístico, mientras que el sector de las tarjetas de pago recurre al Estándar de seguridad de datos para la industria de tarjetas de pago (PCI DSS). Es muy importante mantenerse al día en relación con las nuevas normativas para evitar cualquier posible sanción.

31. Continúe investigando las nuevas tecnologías y analizando nuevos proveedores

Por último, le aconsejamos que trate de permanecer informado con respecto a las últimas buenas prácticas de seguridad, operadores, proveedores y tecnologías. Prepárese para actualizar su software, utilizar nuevas herramientas y tecnologías y mantener su infraestructura protegida en Internet.

Esperamos que estos 31 consejos de ciberseguridad para su empresa le hayan hecho pensar en la importancia de garantizar la seguridad de su organización. Recuerde que las amenazas pueden surgir en el seno de su propia organización y, de hecho, con frecuencia su origen no será externo. Piense siempre que su organización es vulnerable a ataques y prepárese para lo inevitable.

Si desea recibir más información sobre buenas prácticas en materia de ciberseguridad, le animamos a que reproduzca nuestro último seminario a través de Internet "Principales Riesgos de Seguridad Digital"

Share this Post

Subscribe to our Blog