El tema de la seguridad de TI ahora es más importante que nunca. Y no sorprende. Al crecer nuestra dependencia de la tecnología, también crecen los incidentes de seguridad. Según un estudio reciente de PricewaterhouseCoopers, el 90% de los consultados de organizaciones grandes reportaron al menos un incidente de seguridad malintencionado en el último año. La cantidad promedio de incidentes por persona consultada, sin embargo, fue de 45.
A pesar del gran esfuerzo de los gerentes de TI, muchos incidentes de seguridad son consecuencia de simples errores que se podrían haber prevenido fácilmente. Para que su empresa no se convierta en una estadística, mire esta lista de los principales errores garrafales de seguridad y asegúrese de no cometerlos.
1. Redes inalámbricas sin protección
Las redes inalámbricas representan la vulnerabilidad de seguridad más común en la mayoría de las empresas. Piense en el volumen y la importancia de la información transmitida por redes inalámbricas en apenas un día: transacciones de puntos de venta con tarjetas de crédito, correos electrónicos donde se detalla información interna de la empresa, trabajadores remotos que acceden a la base de datos de la empresa, mensajes instantáneos… y la lista sigue.
El problema de las redes inalámbricas es que no se pueden proteger de manera física. Con el dispositivo adecuado, cualquiera puede sentarse fuera de un edificio de oficinas y detectar el tráfico inalámbrico de bienes valiosos. O puede directamente ingresar y acceder a sus sistemas.
Qué hacer: Por suerte, existe una solución bastante sencilla y eficaz. Aplique mejores protocolos de cifrado en su red inalámbrica o elija un mejor cifrado inalámbrico, como WPK. Para los portales que deban permanecer abiertos, para acceso a VPN remoto, por ejemplo, asegúrese de aplicar una estrategia de autenticación segura.
2. Contraseñas débiles
Lo sabemos: elegir contraseñas seguras es engorroso. Tenemos tantas contraseñas para tantas cosas y recordar una serie complicada de caracteres es difícil. Entonces, muchos tomamos el atajo de usar la misma durante años o elegir una sencilla para poder recordarla.
El problema es que los piratas informáticos lo saben. Las contraseñas débiles son vulnerables a ataques de diccionario, mediante los cuales los piratas crean listas completas de contraseñas posibles y probables y las prueban en portales de entrada a su red. Ese truco de cambiar la “e” por el número “3” para crear una contraseña más complicada también lo conocen. Y figura en sus diccionarios.
Qué hacer: Desarrolle y aplique una política estricta de contraseñas para todos sus usuarios, incluso los ejecutivos importantes a quienes no se debe molestar. Asegúrese de que toda la empresa actualice con frecuencia las contraseñas.
3. Olvidarse de eliminar identidades de antiguos empleados
La vida es así: los conflictos existen y, a veces, hay empleados que abandonan la empresa en malos términos. Si un empleado está lo suficientemente enojado como para realizar una acción malintencionada, podría acceder a datos confidenciales de la empresa mediante sus credenciales, si no fueron eliminadas. Ni siquiera tienen que escabullirse, en esencia, pueden pasar caminando por la puerta principal.
Qué hacer: Trabaje con su departamento de RR.HH. para definir un protocolo estándar de manejo de la salida de empleados y asegúrese de que las identificaciones desactualizadas se eliminen del sistema lo antes posible. Estos protocolos deberían aplicarse ante la salida de todos los empleados, se hayan ido en buenos o malos términos.
4. Uso irresponsable de unidades USB
Las unidades USB son prácticas, baratas, comunes y pequeñas, lo cual puede representar una vulnerabilidad de seguridad de dos formas.
Un empleado podría copiar información confidencial de la empresa en una unidad USB sin cifrar y luego perderla, lo cual dejaría los datos a disposición de quien encuentre el dispositivo. O bien, una persona malintencionada puede cargar un virus en una unidad USB y dejarla en un lugar donde llame la atención para que algún empleado desprevenido la tome y trate de usarla. Al abrir la unidad en una máquina, podría entrar en acción e infectar el aparato o, peor, la red.
Qué hacer: Eduque a sus empleados sobre el riesgo potencial de seguridad de usar unidades USB. Invierta en unidades USB cifradas para los empleados que manejen información confidencial y necesiten dispositivos portátiles.
5. Discos duros de notebooks sin cifrar
Con nuestra fuerza laboral cada vez más remota y móvil, las notebooks son habituales en el lugar de trabajo. La mayoría de los empleados accede a archivos de la empresa y los almacena mediante una conexión VPN, pero los archivos suelen acabar en discos duros de notebooks. Esto representa muchos lugares potenciales con información confidencial desprotegida.
Ocasionalmente, las notebooks se pierden o son robadas. Es una realidad. Un disco duro sin cifrar y los archivos allí almacenados quedan a disposición de cualquiera que use la notebook.
Qué hacer: Desarrolle una política para toda la empresa que regule la seguridad de sus dispositivos portátiles. Una política completa debe incluir protocolos para reportar y realizar seguimiento de las pérdidas y los robos de notebooks.
Algunos recursos para ayudarlo
A estos errores los llamamos garrafales por un motivo: son fáciles de prevenir. Son cuestiones básicas que representan los mínimos requisitos para el control de la seguridad.
Fuente: HP Tecnologia