*Por Anthony Giandomenico, estratega senior de Seguridad en Fortinet
Cuando está en el trabajo en una oficina corporativa, en una organización de atención médica, en una institución académica o agencia gubernamental, o incluso cuando trabaja en una cafetería, restaurante o desde una oficina en su casa, la seguridad en línea de su empresa es una responsabilidad compartida. Sin embargo, a medida que la informática móvil, especialmente el uso de dispositivos personales, se vuelve más común, el potencial de compromiso de la red aumenta.
Piense en esto: el 20 por ciento de los empleados en todo el mundo hace parte o la totalidad de su trabajo desde su casa. Los empleados demandan cada vez más un acceso empresarial flexible e ininterrumpido, lo que convierte a la movilidad en una prioridad mundial para atraer talento y ofrecer ventajas competitivas. Si bien esta tendencia brinda a los empleados mayor acceso a la red sin vincularlos a un cubículo, también presenta nuevos riesgos de seguridad para la organización.
Como las demandas de movilidad y transformación digital han hecho que las redes empresariales sean más accesibles que nunca, los ataques cibernéticos también son cada vez más frecuentes y sofisticados, aprovechando una superficie de ataque expandida. Como resultado, los empleados pueden involuntariamente causar un daño severo a su empresa debido a la falta de conciencia sobre la ciberseguridad. Un dispositivo comprometido o una conexión remota no confiable pueden dejar su red vulnerable.
Para minimizar el riesgo tanto en el trabajo como en el hogar, especialmente a medida que la conectividad y los recursos digitales se entrelazan, las organizaciones deben promover mejores prácticas de higiene de seguridad que minimicen el riesgo, las brechas de datos y el incumplimiento de regulaciones, al tiempo que permitan la flexibilidad y eficiencia operativa.
Construyendo una cultura de ciber higiene
A medida que utilizamos nuestros propios dispositivos para conectarnos de forma remota a la red corporativa, debemos desempeñar un papel para ayudar a mantener la seguridad de la red. Fortinet presenta algunas estrategias que todos pueden practicar para promover una adecuada ciber higiene.
- Use puntos de acceso seguros y cree una red de trabajo
Cuando se conecte de forma remota a su red corporativa, las mejoras prácticas de ciber higiene recomiendan utilizar un punto de acceso seguro. Una forma de minimizar los riesgos de conectarse a su red de trabajo a través del WiFi público es usar una red privada virtual (VPN, por sus siglas en inglés). Las VPN le permiten extender su red privada a través del WiFi público mediante una conexión encriptada virtual punto a punto que permite y mantiene un acceso seguro a los recursos corporativos. Es por eso que también es imperativo que garantice la integridad de cualquier punto de acceso al que se conecte.
Otra práctica recomendada es crear una red segura para transacciones comerciales en su oficina en el hogar. La mayoría de los enrutadores domésticos permiten la creación de varias redes, como una conexión doméstica y una para invitados. Agregar una red protegida con contraseña para las conexiones de trabajo significa que sus recursos corporativos nunca compartirán la misma conexión que sus sistemas de videojuegos, computadoras portátiles hogareñas o los dispositivos inteligentes de sus hijos.
- Actualice regularmente
La instalación periódica de actualizaciones en dispositivos, aplicaciones y sistemas operativos es un paso integral para lograr una ciberseguridad sólida. Aunque es fácil ignorar las actualizaciones cuando se necesita cumplir un plazo o ayudar a un cliente, la falla en mantener sus dispositivos actualizados puede simplificar drásticamente el proceso para los cibercriminales que buscan corromper su dispositivo. La aplicación periódica de actualizaciones y parches garantiza que el sistema operativo y las aplicaciones que está utilizando estén protegidos contra vulnerabilidades conocidas.
- Gestión de acceso fuerte
Debería usar contraseñas seguras y autenticación de doble factor en todos los dipositivos y cuentas. Las contraseñas deben ser complejas, incorporando números y caracteres especiales. Trate de evitar la reutilización de contraseñas a través de sus cuentas, especialmente en dispositivos y aplicaciones que se utilizan para acceder a información empresarial confidencial. Esto se debe a que si se infringe su cuenta en un sitio y se filtra su información, el relleno de credenciales y los ataques de fuerza bruta pueden usar esta información filtrada para dirigirse a otras cuentas.
Las contraseñas seguras reforzadas con la autenticación de doble factor son aún mejor, garantizando que solo las personas autorizadas puedan acceder a los sistemas críticos para el negocio y a datos confidenciales. Los avances recientes en biometría, como los escáneres de huellas dactilares y el software de reconocimiento facial, proporcionan una autenticación similar de múltiples factores.
- Practique el uso seguro del correo electrónico
El vector de ataque más popular que sigue siendo aprovechado por los ciberdelincuentes hoy en día es el correo electrónico. Debido a su uso unívoco, sigue siendo la forma más fácil de distribuir malware a usuarios desprevenidos. Algunas de las estafas de correo electrónico más populares son el phishing y el spear phishing. Los ataques de phishing incluyen enlaces a sitios web que parecen legítimos como un banco, una empresa o una oficina gubernamental, que luego solicitan a los usuarios que inicien sesión, robando credenciales o infectando el dispositivo con malware. El spear phishing aumenta la eficacia de dichos ataques al suplantar a un empleado o usuario confiable antes de solicitar información de inicio de sesión, datos confidenciales de los empleados, transferencias de dinero o simplemente pedirles que abran un archivo adjunto infectado o hagan clic en un enlace malicioso.
Para combatir tales amenazas, debe estar atento cuando responda correos electrónicos, especialmente aquellos con enlaces y archivos adjuntos. Nunca haga clic en un enlace o archivo adjunto de un remitente desconocido. E incluso si un correo electrónico parece venir de una fuente confiable, asegúrese de mirar de cerca la dirección de correo electrónico o la URL del sitio web a la que lo remiten.
- Instale antimalware
Si bien el software antimalware no puede detener ataques desconocidos, la gran mayoría de ataques y exploits reutilizan ataques que han sido exitosos anteriormente. La instalación de software antimalware/antivirus en todos sus dispositivos y redes brinda protección en caso de una estafa de phishing exitosa o un intento de aprovechar una vulnerabilidad conocida.
- Tenga un plan de respuesta cibernética y compréndalo a fondo
Todas las empresas, independientemente de su tamaño, deben tener una respuesta a incidentes y un plan de recuperación para minimizar el tiempo de inactividad en caso de un ataque. Asegúrese de que usted y todos los otros empleados conozcan este plan para que no haya preguntas sobre los próximos pasos durante un ataque. Esto incluye tener una línea directa visibile para que los empleados sepan a quién contactar si sospechan que ha habido una violación. Tener un plan simplificado combinado con personal concientizado le permitirá a usted y a su empresa detener rápidamente la propagación de un ataque en la red, reducir el tiempo de permanencia, minimizar la filtración de datos y hacer que todos vuelvan a estar en línea más rápido.
La ciberseguridad ya no es responsabilidad exclusiva de los equipos de TI y de seguridad. Dado que los empleados interactúan y confían en la tecnología todos los días, a menudo desde ubicaciones remotas, todos juegan un papel integral en la seguridad de la organización. Para garantizar la seguridad y el cumplimiento, especialmente a medida que las tendencias como la transformación digital y la movilidad continúan expandiéndose, cada empleado individual debe comprender y practicar la ciber higiene.