Autor: Randol Chen, Arquitecto de Seguridad, Soluciones Seguras Panamá

Con 20 años de experiencia en el área de ciberseguridad recibimos muchas consultas referentes a recomendaciones, tips o los cuidados a tener en cuenta para mejorar la seguridad sobre todo ahora que estamos viendo ataques e incidencias en nuestra región que antes pensamos solo ocurrirían en países grandes como Estados Unidos o algunos de Europa.

En este marco, podría recomendar diversas soluciones de ciberseguridad para distintos pilares como Red, Usuario o Nube. Sin embargo, considero que el primer paso para mejorar de forma general la seguridad en toda su organización debe ser educar y concienciar a los empleados. Son su eslabón más débil cuando se trata de seguridad, por tanto, son su mayor responsabilidad. Hacer que los empleados piensen en la ciberseguridad como una prioridad máxima es más fácil de decir que de hacer. Utilice los siguientes consejos prácticos; estos ayudarán a capacitar, informar y hacer que sus empleados se preocupen más por el papel que desempeñan en la ciberseguridad de su organización.

Hemos separado las recomendaciones en 4 áreas:

 

Recomendaciones de Concientización

Muestre la importancia en su entorno personal. Gran parte de lo que los empleados aprenden durante la capacitación en seguridad en el trabajo se puede aplicar a la seguridad de sus cuentas personal. Muéstreles el valor de la información en lo que respecta a su seguridad y protección, no solo a los intereses de la empresa.

Deje en claro que nadie está a salvo de un ataque. No se trata de si ocurre, sino de cuándo, y qué tan rápida y eficazmente pueden reaccionar los miembros del equipo para bloquear el ataque o minimizar el daño.

Inicie la formación de concientización durante la incorporación. Nunca es demasiado tarde ni demasiado pronto para aprender buenos hábitos. Tiene mucho sentido integrar la ciberseguridad en el proceso de incorporación, ya que es probable que los nuevos empleados obtengan acceso a las cuentas, creen sus contraseñas y aprendan sobre los procesos de la empresa.

Cree un plan oficial de formación en ciberseguridad. Para seguir el consejo anterior, debe haber un plan de capacitación organizado para los empleados que se actualice según sea necesario y accesible.

Hable sobre la ética de los datos. "Cuando los empleados piensan en los datos de forma ética, como pensar en el ser humano, la persona o la familia que representan los datos, las filtraciones de datos son menos probables y su impacto podría reducirse". - Neal O’Farrell, experto en ciberseguridad y fundador del Identity Theft Council.

Eduque sobre las políticas de privacidad de datos. Enséñeles a los empleados que solo porque algunos datos están disponibles, el uso de esos datos puede estar restringido. Por ejemplo, la mayoría de las empresas mantienen listas de contactos que han optado por no recibir más correos electrónicos de ventas. Las personas que les envían correos electrónicos infringen esta política.

Incorpore expertos profesionales en formación y sensibilización en ciberseguridad. Estos profesionales capacitados pueden involucrar a los empleados y establecer los aspectos básicos y específicos que deben conocer para su trabajo.

Realice simulaciones de "emergencia" de ciberseguridad configuradas por su equipo de seguridad interno o una fuente externa. Estas simulaciones deben adaptarse a roles de trabajo específicos y enfocarse en los ataques que los empleados podrían recibir para que puedan aprender puntos específicos y áreas para mejorar.

Envíe actualizaciones periódicas sobre el protocolo, amenazas, nuevas estafas y virus, actualizaciones de software y otra información importante de ciberseguridad.

Reconozca y recompense a los empleados que denuncien correos electrónicos maliciosos u otros ataques. Con tantas otras cosas en sus mentes, esto ayudará a mantener la seguridad a la vanguardia.

Cree una cultura amigable con la ciberseguridad al nombrar defensores y mantener a los empleados motivados en general para mantener la integridad de sus mejores prácticas de ciberseguridad.

Tips Básicos de Ciberseguridad

Bloquee sus activos. Asegúrese de bloquear su dispositivo cada vez que lo deje desatendido y también asegúrese de que los dispositivos se bloqueen automáticamente cuando estén inactivos y que los servicios estén configurados para agotar el tiempo de espera cuando no se utilicen. Esto también se aplica a las habitaciones o ubicaciones de almacenamiento que contienen información o dispositivos sensibles.

Utilice un administrador de contraseñas. Los administradores de contraseñas generan contraseñas complejas únicas para cada sitio y servicio. No utilice la misma contraseña para varios sitios y utilice siempre una combinación única de letras mayúsculas y minúsculas, números y otros caracteres.

Utilice autenticación multifactor para obtener capas adicionales de seguridad y para asegurarse de que las cuentas importantes no sean pirateadas fácilmente si se descifran las contraseñas.

Cifre sus datos, agrega una capa adicional de seguridad en caso de que sus datos se vean comprometidos.

Realice copias de seguridad de los datos con frecuencia. Si el almacenamiento de datos se ve comprometido alguna vez, tendrá la mejor oportunidad de conservar esos datos si tiene una copia de seguridad segura.

Tenga cuidado con los dispositivos externos, como discos duros, memorias y smartphones, ya que pueden infectar su computadora cuando son conectados.

Tips al estar Online

Utilice VPN (redes privadas virtuales). Extienden la protección de su red más allá de su red privada cuando se encuentra en otros sitios. Si alguien puede interceptar sus datos en línea, todo lo que le quedará serán datos cifrados.

Siempre verifique las transacciones financieras con un gerente o director financiero antes de realizar cualquier acción o enviar fondos.

Tenga cuidado al comprar o realizar operaciones bancarias en línea para la empresa; utilice únicamente dispositivos seguros autorizados por la empresa que le pertenezcan y redes / WiFi seguras al realizar estas tareas.

Tenga cuidado con lo que comparte en las redes sociales. Ya sea que tenga una cuenta personal o laboral, los delincuentes pueden obtener información de los datos confidenciales que comparte que pueden ayudarlos a atacarlo.

Tenga conciencia sobre estafas de phishing. Asegúrese de que los empleados estén informados sobre los signos de una estafa de phishing:

Revise los correos electrónicos detenidamente antes de hacer clic o tomar medidas.

Habilite las opciones del servidor de correo para etiquetar explícitamente los correos electrónicos que se originan fuera de la empresa.

Nunca haga clic en enlaces de un remitente desconocido. Primero examine cuidadosamente la URL. Pueden hacerse pasar por alguien de su empresa o una empresa de renombre, usar una URL similar a un sitio conocido, usar logotipos y cuentas de correo electrónico disfrazadas; preste mucha atención a los detalles.

Esté atento a solicitudes extrañas, errores ortográficos y gramaticales, contenido llamativo de “click-bait” y otras cosas que pueden parecer “incorrectas” o “sospechosas”.

Tips para Trabajadores Remotos

Formación especializada para trabajadores remotos es muy importante a medida que aumenta la popularidad del trabajo remoto. Esto también incluye a los empleados en el lugar que ocasionalmente trabajan desde casa o mientras viajan.

Si tiene una política BYOD (traiga su propio dispositivo), asegúrese que el dispositivo tenga una solución de detección de amenazas como Harmony Mobile de Check Point.

Solo trabaje en redes y dispositivos seguros y confiables. El WiFi gratuito o las computadoras públicas pueden ser atractivas, pero estos son boletos fáciles para que un pirata informático obtenga acceso a sus cuentas e información.

Proporcione planes de datos celular con anclaje Wi-Fi. Proporcione a los trabajadores remotos puntos de acceso WiFi portátiles que se pueden utilizar en lugar de permitir conexiones a través de redes WiFi-públicas. Estos puntos de acceso pueden ayudar a regular el acceso y también deben estar protegidos por contraseña e inicio de sesión.

Estrategias clave para Directores, CISO o CEO

  • Priorice adecuadamente los riesgos de seguridad.
  • Logre una comunicación abierta entre los miembros de la junta, C-Suite y el equipo de TI.
  • Realice evaluaciones periódicas de la red y aplicaciones.
  • Establezca políticas de cuentas y contraseñas que vencen.
  • Cuando los empleados abandonen la empresa, asegúrese de revocar su acceso.
  • Deshágase de los datos obsoletos.
  • Actualice el software de manera oportuna.
  • Designe expertos en seguridad que reporten al CISO.
  • Implemente modelo de confianza cero (Zero Trust).
  • Asegúrese de que los datos estén clasificados correctamente.
  • Propague y otorgue permisos y acceso de manera adecuada.
  • Utilice RBAC (control de acceso basado en roles).
  • Consulte a expertos externos a la organización.
  • Manténgase a la vanguardia de la ciberseguridad.