Los negocios enfrentan mayores cargas económicas debido al aumento en las filtraciones de datos causados por ataques maliciosos y criminales. En adición a los obvios costos que se incurren para detectar y arreglar los efectos de una filtración, los negocios perdidos es potencialmente la consecuencia más severa. Y los negocios perdidos se traducen en trabajos perdidos. Muchas veces se dice que se requiere un pueblo para defender contra los ciberataques. Los empleados de todas las organizaciones deben darse cuenta que son miembros de ese pueblo, y necesitan hacer lo suyo para proteger a su empleador. Al evitar errores por los empleados que llevan a fallas inadvertidas, se liberan recursos valiosos para combatir a los malos, y puede salvar su trabajo.
Lo mas pronto que se inicia una respuesta a un incidente, mayor es la posibilidad de gestionar el incidente exitosamente y minimizar algún daño…
Los empleados deben adoptar las siguientes prácticas “seguras” para minimizar sus errores y ayudar disminuir la frecuencia de estos eventos criminales:
1. Evitar Reusar Contraseñas
- Ocupar una contraseña distinta para cada sistema a que accede y hacer que sea segura y compleja; por ejemplo, no solo aumentar un valor numérico cuando cambia de sistemas.
- Ocupar un gestor de contraseñas (por ejemplo, LastPass, 1Password, o KeePass) para administrar sus contraseñas y asegurar que ocupe una frase de contraseña compleja para el gestor de contraseñas.
- Específicamente, no ocupar la combinación de su nombre de usuario/contraseña de trabajo para sus sistemas personales.
Ha evolucionado la conciencia de los usuarios acia los peligros de reusar las contraseñas. Por ejemplo, un informe de 2003 indicó que el 65 por ciento de los usuarios ocupaban la misma contraseña para distintas aplicaciones o servicios. Por el año 2013, esa cifra supuestamente cayó a 55 por ciento. Reusar las contraseñas es una de las amenazas más grandes para la seguridad de cuentas si no se ocupa una autenticación de dos factores. Considesé la filtración de datos reciente de Ashley Madison que permitió que más de 11 millones de combinaciones de nombres de usuarios y contraseñas se liberaran en forma descontrolada. La amenaza, en este caso es que esas contraseñas y nombres de usuarios también se usaran para acceder a los emails, bancos o cuentas de esos usuarios en otros sistemas, es obvio porque este tema es imporatante.
El Informe de Filtraciones de Datos de Verizon de 2015, según citado en in blog para la industria de la TI dice “… encontramos que la mayoría de los ataques hacen uso de credenciales robadas…” y “más de 95% de estos incidentes involucraron cosechar creds [sic] de dispositivos de clientes y luego usarlos para ingresar a aplicaciones de web.”
2. Donde sea Posible, Use Autenticación con Múltiples Factores
Puede ser que su empleador requiera esto para sus sistemas corporativos, pero cada vez más es recomenable para sistemas personales. La Verificación de Dos Pasos de Google está disponible para teléfonos/tabletas Android y Apple y provee autenticación por dos factores para las aplicaciones de Google. Por ejemplo, cada vez más los temas de trabajo y personales se entremezclan en mensajes y documentos electrónicos. La autenticación por múltiples factores proporciona otra barrera contra la posibilidad de tener acceso a múltiples sistemas con un nombre de usuario y contraseña.
3. ¡No Hacer Clic en ese Link!
Su banco nunca va a mandarle un email con un link que le pide ingresar su nombre, número de seguro social y contraseña en un formulario lleno de errores de ortografía. Estas solicitudes son tan sospechosas que algunas mencionan provenir de un principe de Nigeria. En 2015, “phishing” (fraude electrónico), “spear phishing” (ataques dirigidos a un grupo concreto de personas), y los ataques por “ransomware” (programas informáticos malintencionados que restringen el acceso a determinadas partes o archivos del sistema infectado y piden un rescate a cambio de quitar esta restricción) ha estado prevalentes a través de todos los tipos de negocios y empresas.
En lugar de seguir las instrucciones que le manden por email de llamar o hacer clic, por lo general se debe ir directamente al sitio web de su banco o llamar a un número que tiene, (que quizás se encuentra en el dorso de una tarjeta de crédito o débito). Se usa el “phishing” y el “spear phishin” para reunir datos o propagar malware.
4. Cambiar sus Contraseñas Regularmente
Incluso con la autenticación por dos factores, las contraseñas siguen siendo la primera línea de defensa. Se debe ocupar su gestor de contraseñas y cambiar sus contraseñas cada 90 días. Algunos gestores de contraseñas automatizan esto para usted, pasando por todos los sitios que tiene guardado y cambiando la actual contraseña compleja a una nueva y guardando esa información para usted en la base de datos del gestor de contraseñas. ¿Por qué importa esto? Vamos a considerar nuevamente la filtración en Ashley Madison—las combinaciones de nombre de usuario y contraseña están disponibles. Las contraseñas están encriptadas pero dado suficiente tiempo y capacidad computacional, estarán descifradas (hasta ahora se han descifrado más de 11 millones, según antes notado). Si se usa una contraseña compleja y la cambias regularmente estaras mas seguro. Idealmente estaras usando una nueva contraseña cuando ocurra una filtración.
5. Practicar Wi-Fi Seguro
Si usted ocupa una computador, teléfono celular, o tableta con Wi-fi público, ¿está seguro? Normalmente, quizás. Pero existe tecnología barata para crear puntos de wi-fi falsos que capturan el tráfico de su red, los nombres de usuario y contraseñas. Considerar invertir en un red virtual privada (VPN por sus siglas en ingles), o pedir a su departamento de SI/TI acceso a una red corporativa. Esta herramienta encripta su tráfico de red en la fuente, antes de empujarlo no encriptado a una red público de wi-fi totalmente comprometida. Esta orientación se aplica en cafeterías, estaciones de trenes, centros de compra y en todo otro lugar que tiene Wi-Fi “gratis”. En estos lugares, piense cuidadosamente antes de transmitir un nombre de usuario y contraseña sin protección adicional.
6. Guardar sus Dispositivos Cercanos y Considerar sus Contenidos
Si se pierde un teléfono celular ¿puede borrar sus contenidos? ¿Qué pasa si los datos están comprometidos antes que se puede hacerlo? Siempre hay que saber dónde está su teléfono, tableta, computador, etc. Hay que saber si ha instalado “Find My iPhone” (Ubique Mi iPhone) o una aplicación o servicio similar de ubicación a distancia, y como usarlo. Su empresa puede poder bloquear o borrar su teléfono también, usted tendrá que preguntar. Igualmente, aunque probablemente no necesita tener todos los detalles de contacto de su empresa en su teléfono, considere si realmente necesita copias completas de todos sus datos corporativos. Quizá solamente necesites la información en que actualmente estás trabajando. Considera usar servicios de almacenamiento en la nube o guardar tus datos en los servidores corporativos y accederlo a distancia en lugar de descargarlos localmente.
7. ¡Parchar Nene, Parchar!
Su empresa (ojala) está parchando su computador regularmente. Usted debe hacer lo mismo para su(s) computadar(s) en casa, y también hacer actualizaciones de software para sus teléfonos celulares y tabletas. Vulnerabilidades no reveladas y no corregidas de aplicaciones computaciones constituyen una amenaza siempre presente y pueden requerir parches adicionales fuera de la secuencia del ciclo de emisiones normales de parches. Este tipo de amenaza normalmente está bien publicado a lo largo de la web. Prender las actualizaciones y/o notificaciones automáticas en su computador y otros dispositivos también puede ayudar.
8. ¡Recuerde el Mundo Físico!
¿Va a dejar su computador para ir a buscar una taza de café? Bloqúe la pantalla. Ponga un código de bloqueo en su teléfono celular. No deje los dispositivos no atendidos en lugares públicos – corre el riesgo que sean robado, exponiendo información sensible de la empresa.
¿Estados de cuentas bancarias? ¿Cuentas de tarjetas de crédito? ¿Cuentas de servicios públicos? Si no las guardas, no deberias tirarlas a la basura, debes triturarlos. En su oficina, no debe botar nada a la basura que incluye la información de la empresa, tal como cifras de ventas, información de contactos y planes de mercadeo. La trituración debe ser su opción por defecto. Cosechar información de papeles descartados en forma impropia es una forma de recoger información que se usa para el robo de identidad o para vulnerar sistemas.
9. Notificar Prontamente
Si usted piensa que ha ocurrido una filtración o otra falla, debe hablar con alguien, como su ejecutivo de seguridad informática o CIO, o llamar la línea directa de su banco para reportar fraude. Mas pronto que se inicia la respuesta a un incidente, mayor es la posibilidad de gestionar el incidente exitosamente y minimizar cualquier daño. El Informe de la Investigación de la Filtración de Datos de Verizon antes mencionado también nota que los atacadores que ingresan a un sistema pueden estar allí por hasta 205 días en promedio antes que se detecte su presencia. Se puede bajar ese número por medio de la vigilancia y reportes de cualquiera cosa que parece inusual. Quizás su cuenta de usuario fue bloqueada cuando llego al trabajo hoy. Puede que signifique algo, o no.
Comoquiera hablé con su equipo de seguridad.
A todos nos encanta poder acceso al Internet durante el día de trabajo. Pero según aumentan los ataques y las perdidas, los empleadores pueden verse obligados a limitar dicho acceso en maneras que la mayoría de los empleados van a encontrar inconvenientes. Por lo tanto, los empleados deben tomar en serio la importancia que sus esfuerzos tienen en el “ciber-higiene.”
Este originalmente apareció como una JD Supra Perspective el 15 de septiembre de 2015.