Como se nos advierte desde INTECO (Instituto Nacional de Tecnologías de la Comunicación), la inversión en Seguridad Informática o, mejor dicho, no invertir en ella, supone un gravísimo riesgo. En el momento de tecnificar nuestra empresa, corremos riesgos importantes que pueden llevar a bloquearnos o generar una mala imagen de nosotros con enorme facilidad. Un ejemplo. Nuestro cliente A tuvo un problema con un trabajador. Este trabajador era perfecto conocedor de su sistema de internet y la empresa no tomó las medidas de seguridad tecnológica adecuadas ni en el momento de su contratación, ni durante el desarrollo de su trabajo en la empresa ni en el momento en que tuvo que despedirlo. Como consecuencia de todo ello, el trabajador lanzó un spam masivo desde los servidores y la empresa empezó a aparecer en «blacklist» de spam de forma automática. Además, lanzó un virus desde deep web que se apropió de la contraseña FTP que tenían como empresa comprometiendo la seguridad de la web. Se creó un iframe y a partir de ese momento, el malware se ejecutaba en ordenadores de visitantes poco protegidos. El problema es que el malware era un troyano bastante efectivo. Inmediatamente su página quedó bloqueada por Google y otros buscadores, con el consiguiente desprestigio para la sociedad. Este caso real supuso para la empresa unas pérdidas difíciles de cuantificar, por cuestiones de imagen. El caso es que se podría haber previsto y evitado con algo tan sencillo como crear un perfil de usuario totalmente funcional pero con las limitaciones que una auditoria previa hubieran previsto. Y simplemente cerrando el perfil de usuario en el momento de despedir al trabajador. En lugar de ello, la empresa dio al empleado sus propias contraseñas de administración, con lo que el usuario creó una nueva cuenta que no fue cancelada. Al despedirle se cambiaron las contraseñas de administración, pero la puerta atrás ya estaba creada. Determinar qué persona hizo uso de ella es ciertamente complejo. Por eso nosotros recomendamos una serie de actuaciones de seguridad que son absolutamente cruciales para el buen funcionamiento de la empresa. 1.- Audita tus riesgos. Selecciona quienes serán tus encargados de seguridad dentro o fuera de tu propia empresa. Comprender tus riesgos es fundamental a la hora de combatirlos. 2.- Actualiza tu software. Mantén una politica de actualización del software. Las actualizaciones sirven para eliminar las vulnerabilidades que se van detectando. 3.- Protege tu red. Instala un firewall o configura correctamente el que tengas. 4.- Instala antimalware. Lo que tradicionalmente se llama un antivirus, aunque el concepto de malware es más amplio ya que abarcan otra serie de fallas de seguridad distinta de los virus propiamente dichos. 5.- Gestiona los accesos. Crea usuarios y asegúrate de que los empleados utilicen contraseñas fuertes. Forma en seguridad a tus empleados. Informales de los riesgos que corren si comparten sus accesos con otras personas o si apuntan sus datos de acceso en lugares accesibles. Controla perfectamente el acceso de cada empleado a las carpetas que realmente utilicen. Además, esto te ayudará a cumplir la LOPD. 6.- Controla los dispositivos extraibles. Es la principal fuente de entrada de malware y salida de datos comprometidos. 7.- Monitoriza tu red 8.- Forma a tus empleados en seguridad. Una buena guía sería la Guía de identidad y reputación de INTECO 9.- Controla los dispositivos móviles de tus empleados. Si son corporativos no hay problema, porque son propiedad de la empresa. Si se deja utilizar los privados, habrán de tener aprobación por escrito del responsable de seguridad y el trabajador deberá cumplir una serie de requisitos:
- Que utilicen antimalware
- Que utilicen algún sistema de autenticación
- Que estén cifrados
- Que se puedan rastrear y borrar de forma remota