Las empresas son muy vulnerables a ataques informáticos, y muchos de los problemas que tienen se deben a la falta de previsión en temas de seguridad y a errores humanos. Esto es particularmente cierto para las compañías pequeñas y algunas medianas, que a veces no tienen personal de tecnología.
Le contamos cuáles son los principales errores que debería evitar.
1. No reconocer que hay riesgos
Las empresas grandes no son el único blanco de los hackers o los delincuentes. Las pequeñas son muy atractivas porque tienen más ‘activos digitales’ que un usuario individual, pero menos seguridad que una compañía grande, según la firma Eset. El problema es que las firmas pequeñas suelen subestimar su nivel de riesgo.
Daren Boozer, un experto en seguridad de la empresa NCC Data, le dijo al sitio web Digital Guardian.com que muchas compañías pequeñas tienen la percepción de que no corren riesgos y eso las lleva a ser apáticas en el tema de seguridad. Esto también sucede con empresas grandes, dice Boozer, pero en las pequeñas es más grave porque ellas no tienen un equipo de gente que pueda reaccionar ante un ataque y a veces no cuentan con defensas tecnológicas.
“Nunca piense que su empresa es aburrida para los cibercriminales. Si usted tiene acceso a las redes de compañías más grandes, si su industria está en crecimiento y recibe atención de los medios, si tiene acceso a información personal o financiera de los clientes, usted está en riesgo”, dice Boozer.
Tenga en cuenta que en ocasiones se hackea una empresa pequeña para llegar a una más grande. Los delincuentes y los hackers saben que, aunque algunas compañías medianas y grandes tienen buenas políticas de seguridad y empleados que las aplican, a veces trabajan con firmas más pequeñas o proveedores que no son tan cuidadosos con la seguridad informática y que tienen acceso a sus redes. Según The Wall Street Journal, dos tercios de las brechas de seguridad en las empresas suelen producirse a través de un tercero al que se atacó primero, y por medio del cual se penetró en la red de una compañía más grande.
2. No dedicar suficientes recursos
Las herramientas de seguridad informática pueden ser costosas. Y como no producen ingresos, muchas empresas las ven simplemente como un costo. Por eso no asignan una cantidad adecuada de recursos para este tema (capacitación, compra de tecnología, etc.). Este error es muy común entre las firmas pequeñas o en compañías jóvenes, que piensan que la escasez de recursos es una razón para no invertir en esa área. Solo cuando una empresa ha sufrido un incidente suele entender la importancia de invertir en seguridad informática.
En una era en la que la información y los ‘activos digitales’ de una empresa son muy importantes, y en la que hay amenazas constantes por Internet, este es un ahorro que su pyme no puede hacer. Un incidente de seguridad puede tener un impacto enorme en una compañía.
3. No mantener actualizado el software
La mayoría de los ataques que se realizan a través de malware contra las empresas se pueden prevenir simplemente si las compañías mantienen actualizados sus sistemas operativos y sus aplicaciones. La razón es que muchos ataques masivos suelen aprovechar vulnerabilidades conocidas en el software (como los sistemas operativos) para penetrar en los sistemas de las compañías.
A veces por ahorrar costos, por ejemplo, algunas compañías se quedan con versiones demasiado antiguas de Windows, que no son seguras y ya no tienen actualizaciones ni parches de seguridad. E incluso si tiene versiones recientes de sus programas, su empresa debe estar pendiente de mantenerlos actualizados con los parches que publican en Internet los fabricantes (un ‘parche’ es una pieza de software que corrige una vulnerabilidad, una falla o que mejora una aplicación o un sistema operativo; los fabricantes de software los publican constantemente y su descarga es gratuita).
Roger Grimes, autor de varios libros sobre seguridad, dice en una columna de la publicación InfoWorld que, aunque el manejo de los parches en las empresas es complejo, no todas las vulnerabilidades críticas son iguales. Él opina que las compañías deberían enfocarse en aquellos programas cuyas vulnerabilidades suelen ser más explotadas por los hackers. “Hay 6 mil vulnerabilidades nuevas cada año, pero quizás un centenar de ellas son ampliamente explotadas. Además, casi todos los riesgos corren por cuenta de un puñado de sistemas operativos y aplicaciones como Java, Adobe Acrobat, Flash e Internet Explorer”, dice.
Lo más difícil es educar a los usuarios contra la ingeniería social. Solo se necesita un idiota para infectar toda una compañía.
Los parches suelen funcionar sin problemas en los PC de usuarios individuales. Pero, ¿por qué las compañías a veces no los instalan? Un problema es que en ocasiones las empresas tienen redes complejas –que se apoyan en varios fabricantes– y cambiar una pieza del rompecabezas puede producir fallas en otras partes. También podría pasar que un parche sea incompatible con alguna de las aplicaciones que la empresa ha personalizado para su operación, y eso podría generar una interrupción en sus servicios. Muchas compañías prefieren evitar ese riesgo no instalando los parches, lo cual las vuelve muy vulnerables porque los hackers suelen crear malware que aprovecha las vulnerabilidades conocidas de las aplicaciones y los sistemas operativos.
Una de las ventajas de las aplicaciones en la nube es precisamente que se evitan esos inconvenientes, ya que el proveedor del software mantiene su software seguro y actualizado en sus propios servidores.
4. No tener en cuenta los riesgos que generan sus empleados
Roger Grimes dice en la revista InfoWorld que la mayoría de los ataques contra empresas se apoya en dos armas: la ingeniería social y el hackeo de programas que no tienen parches de seguridad. Por eso, “si usted no se concentra en esas dos áreas, está desperdiciando su tiempo”. Pero Grimes agrega que, aunque lograr una implantación perfecta de un parche puede ser difícil, “eso es sencillo comparado con educar a los usuarios contra la ingeniería social. Solo se necesita un idiota para infectar toda una compañía”.
En eso coincide un artículo publicado en el sitio web del fabricante de equipos para redes Cisco: “Pese a todos los firewalls, sistemas de prevención de intrusos y programas antivirus que usted instale en su red, es imposible bloquear todas las amenazas de seguridad contra su pyme. En buena medida, usted debe apoyarse en los empleados para mantener segura su red. Ellos son los que están en la primera línea de fuego, decidiendo cada día si descargan o no ese misterioso archivo que les llegó por correo o si dan clic en esa tentadora ventana emergente”.
Por eso, su empresa no puede caer en el siguiente error: no capacitar a los empleados.
5. No capacitar a los empleados
Pocas compañías se toman el tiempo para educar y entrenar a sus empleados en temas de seguridad. Y no solo en Colombia. Según el Verizon Data Breach Investigations Report, solo la mitad de las empresas de E.U. ofrece a sus empleados entrenamiento sobre seguridad informática.
Es clave que capacite a sus empleados. Debe entrenarlos, a través de charlas y cursos, para que aprendan, por ejemplo, cómo reconocer un correo electrónico usado para phishing, qué tipo de información no se debería suministrar por teléfono porque podría tratarse de un ataque de ingeniería social, por qué no se deberían instalar ciertas apps en los smartphones que se usan dentro de la compañía, por qué no se deben usar las mismas contraseñas en diversos servicios web, qué peligros se corren si se almacena información confidencial en portátiles cuyos discos no están encriptados, cómo manejar las alertas que dan los programas antivirus, etc.
La experta en seguridad Ashley Schwartau le dijo a Digital Guardian.com que “muchos de los problemas de seguridad de las compañías se deben a que tienen usuarios ignorantes sobre el tema o a los que simplemente no les importa”. Schwartau afirma que la mayoría de ataques exitosos se produce porque los delincuentes sacan ventaja de empleados que no conocen las políticas de seguridad, y no saben reconocer una actividad sospechosa o qué hacer cuando la identifican. Schwartau dice que “la solución más barata y sencilla es entrenar a los empleados, pero esto no consiste en enviarles un PDF con políticas de seguridad, sino darles un curso sobre esas políticas, y enseñarles prácticas básicas de seguridad”.
Esto es importante además porque muchas amenazas son cada vez más difíciles de identificar. Cualquier usuario de Internet medianamente informado sabe que los delincuentes utilizan como una de sus principales armas el phishing (supuestos correos de empresas, que incluyen enlaces a sitios web falsos en donde se invita al usuario a introducir sus datos). Caer en esa trampa tan conocida no debería tener excusa. Pero Fast Company dice que esos ataques de ingeniería social se han refinado tanto que no necesariamente se puede culpar a las víctimas. “A primera vista, los mensajes no se ven extraños. Hoy se los crea de tal forma que pueden atravesar los filtros antispam. Además, pueden lucir profesionales, bien redactados, pueden usar términos de su negocio e incluso parecer mensajes que usted espera”, le dijo a esa publicación el consultor de seguridad Patrick Thomas.
6. No tener software de seguridad
Lo mínimo que su pyme debería tener es un antivirus de buen nivel o un paquete de software de protección (que incluye muchas más herramientas que el solo antivirus). Y con “buen nivel” nos referimos a los productos que ofrecen fabricantes como Kaspersky, Bitdefender, Eset, Avira y Symantec. Varios laboratorios independientes, como AV Comparatives (www.av-comparatives.org) y AV Test (www.av-test.org), ofrecen reportes periódicos que evalúan la efectividad del software de seguridad, y estas son algunas de las firmas que siempre figuran en los primeros lugares.
Uno de los principales peligros para las empresas hoy en día, el ransomware, puede ser atajado por programas de este estilo, ya que el ransomware es un tipo de malware (software maligno). Y recuerde que los dispositivos móviles basados en Android también necesitan antivirus (no hay antivirus para iOS, pero en ese sistema los peligros relacionados con malware son menores).
También es posible que necesite otro tipo de productos, como firewalls (hay tanto de hardware como de software), que impiden el acceso a su red de computadores; software para automatizar la creación de copias de seguridad; programas para encriptar la información; aplicaciones para administración remota de equipos, etc. Algunos desarrolladores ofrecen soluciones que integran varias de estas herramientas.
7. No estar pendiente de los equipos de sus empleados
Desde hace unos años se volvió común que los empleados lleven a las empresas sus propios equipos móviles. Esa tendencia se conoce como Bring Your Own Device (BYOD), y beneficia a las dos partes. La compañía evita gastar dinero en la adquisición de ese hardware, mientras que los empleados aumentan su productividad, ya que trabajan con dispositivos que saben manejar muy bien y que a veces son más recientes que los de la empresa.
Pero hay un problema: si esto no se maneja bien, puede abrir brechas de seguridad en las empresas. Por ejemplo, estos equipos móviles pueden conectarse a la red corporativa, tener acceso a información crítica y luego conectarse fuera de la compañía a otras redes que son inseguras. Y si un empleado pierde un dispositivo móvil que no está bien protegido, dejará expuesta la información sensible de la empresa que tenga en él. Es más: hay compañías que ni siquiera saben qué equipos se están conectando a la red corporativa porque nunca han hecho un inventario de los dispositivos que sus empleados llevan a la oficina, ni saben si están debidamente protegidos o si el software que usan es legal.
Por eso, su compañía debe definir las políticas de uso de equipos móviles que son propiedad de los empleados. Por ejemplo, debe quedar claro quién tiene acceso a la información, qué información es demasiado sensible como para restringirse el acceso desde esos equipos y qué medidas de seguridad se deben implementar en esos dispositivos (la firma debe asegurarse de que el software de sus empleados está actualizado, que tienen antivirus, les debe exigir el uso de contraseñas, debe determinar si se puede sacar información de la empresa en memorias USB, etc.). También hay compañías que adquieren un software de administración de equipos móviles, que les permite manejar esos equipos de forma remota.
Una vez definidas esas políticas, infórmelas a los empleados y edúquelos sobre la importancia de cumplirlas. Además, les debe enseñar cómo protegerse cuando están fuera de la oficina, y cómo protegerse mientras están en su hogar, ya que muchos de los dispositivos que las personas emplean en los hogares –como portátiles, tablets y smartphones– son los mismos que luego se conectan a la red corporativa.
8. No proteger bien los datos
La información es lo más importante para una compañía moderna. Pero muchas carecen de medidas de protección que garanticen que las bases de datos de sus clientes están a salvo, que solo las personas indicadas tienen acceso a los datos, que la información se guarda encriptada en los equipos, que los empleados no se llevan a sus casas datos corporativos en equipos o unidades de almacenamiento inseguras, etc. Es más, muchas empresas ni siquiera tienen claro cuáles son sus datos más valiosos, en qué equipos están almacenados o qué empleados tienen acceso a ellos.
“En Colombia falta que las empresas tengan en cuenta que las políticas de protección de datos y privacidad no son solo algo que se escribe en un archivo de Word. Ellas deben invertir; utilizar herramientas de seguridad, de encriptación y de consultoría; pensar en ISO 27001; e implementar estándares técnicos y de cultura corporativa”, dice el abogado Germán Realpe.
Algunas soluciones en la nube son una buena opción para proteger los datos, ya que brindan a los empleados acceso a los datos que necesitan para su trabajo, al tiempo que la información se mantiene resguardada en data centers o servidores que incorporan avanzadas tecnologías de protección.
9. No manejar bien los backups
No sacar regularmente copias de seguridad de la información que la compañía necesita para operar siempre ha sido una flagrante estupidez. En cualquier momento se puede producir un incidente que deje a una empresa sin su información más valiosa, como un incendio o una inundación. Pero hoy en día, por cuenta del ransomware, es claro que los backups son una de las medidas de seguridad más importantes (el ransomware es un tipo de ataque en el cual la información de la compañía es encriptada a través de un malware; luego los delincuentes exigen un pago a cambio de permitir el acceso a los datos). Muchas empresas que han pagado a los delincuentes un ‘rescate’ por su información se han llevado la sorpresa de no recibir las llaves de cifrado, y han perdido sus datos para siempre.
Por eso, la recomendación es sacar copias de seguridad regularmente, y además mantenerlas fuera de línea (por ejemplo, en discos externos que no estén conectados a Internet), pues el mismo malware que afecta sus equipos puede acceder también a sus copias de seguridad. También debería tener más de una copia de seguridad, y una de ellas en un lugar diferente a donde están los equipos de su compañía (por ejemplo, en un servidor remoto). Diversas herramientas de software le pueden ayudar a automatizar la creación de copias de seguridad.
10. No tener listo un plan de respuesta
Que la información de una empresa no esté disponible, así sea durante períodos cortos de tiempo, puede inhabilitar las operaciones y producir grandes pérdidas de dinero y problemas con los clientes, como han descubierto las compañías que han sido víctimas de ransomware. Por eso, su compañía debe tener listo un plan de respuesta antes de que se produzca un incidente de seguridad informática.
Ese plan de respuesta debe determinar cuáles son los principales riesgos de seguridad informática que podría enfrentar, cuáles son los pasos para mitigar los daños, qué personal debería ser notificado, quién es el líder del equipo de respuesta, cuáles son las estrategias para recuperar las actividades de su empresa lo más rápido posible y cuáles son las acciones prioritarias, entre otros.
Imágenes: iStock
