Los errores típicos de ciberseguridad de las startups

Fallas típicas de ciberseguridad de las empresas de reciente creación

En Internet hay más de un millón de consejos sobre cómo mantener a flote una startup. Lo común es que los asesores resalten los problemas en la planeación de negocios, la estrategia de marketing, la atracción de inversión adicional, etc., pero pocas veces se habla sobre el problema de desarrollar un sistema de ciberseguridad sólido. Sin embargo, la falta de un entendimiento claro de las amenazas puede costarle a una startup un negocio potencialmente exitoso. Por esto, decidimos hablar sobre la mayoría de los errores de ciberseguridad más comunes, y lo que es más importante, cómo evitarlos.

El origen del problema

Esta es una historia típica de una startup: tú y tu amigo tienen una idea brillante, la analizan con sus amigos más cercanos, y reúnen a un grupo de entusiastas para conformar a su equipo ideal. Así es como comenzaron las historias de Airbnb, Pinterest, Twitter, Uber y muchos otros proyectos.

Sin embargo, los problemas surgen cuando la startup pasa de ser una idea inicial a desarrollar flujos de trabajo reales y contratar personal adicional. En este punto, el pequeño grupo de personas afines se extiende y se convierte en un equipo de desconocidos con diferentes puntos de vista y diferentes experiencias de vida. Es este equipo, es posible que los empleados tengan un entendimiento muy diferente sobre la información que se consideraría confidencial y cómo protegerla.

Este es un ejemplo: un empleado decide que sería conveniente escribir la contraseña para un servicio online en un pizarrón; su razonamiento es que quien la necesite puede encontrarla rápida y fácilmente. Otro miembro del personal publica en una red social una selfie en la oficina con la descripción “¿quién escribiría algo confidencial en el pizarrón, donde todo el mundo puede verlo?” Este tipo de malentendido es uno de los motivos por los que las startup nuevas pueden tener problemas de ciberseguridad. El problema puede resolverse solo al desarrollar una cultura de ciberseguridad corporativa.

Al mismo tiempo, las personas que llegan a trabajar a las startups son, con frecuencia, entusiastas y aventureros, quienes rápidamente se enamoran de la idea, y que muchas veces cambian rápidamente de interés y se van. Además, es muy común que las startups dependan de especialistas de TI, quienes tienden a ir de empresa en empresa durante varios años.

La combinación de estos dos hechos puede crear un alta tasa de rotación de personal. En estas condiciones, es posible que fácilmente se multipliquen varios errores, especialmente los relacionados con ciberseguridad. Por lo tanto, es fácil pasar por alto una ciberamenaza que fácilmente podría evitarse.

Errores típicos de ciberseguridad

Imaginemos esto: no te diste cuenta cuando tu pequeña startup se convirtió en una empresa hecha y derecha. ¿Qué errores de ciberseguridad podrías haber cometido hasta ahora?

Derechos de acceso excesivos

Con frecuencia, cuando un empleado de una startup necesita acceso a recursos corporativos o servicios, inmediatamente obtiene derechos de administrador. La persona que comparte estos derechos de acceso usualmente piensa que es más fácil dar acceso a todo de una sola vez, sin entender las necesidades reales de un empleado específico y sus responsabilidades, que tener nuevas solicitudes de acceso cada semana. Pero mientras más derechos de acceso tenga un empleado, la probabilidad de error es más grande. Si quieres minimizar la cantidad de ciberincidentes, cada participante del flujo de trabajo debe tener solo los derechos de acceso que son necesarios para sus tareas.

Rige la falta de sistemas de almacenamiento de información

En general, es malo para cualquier empresa. Pero en una startup, debido a la ya mencionada rotación de personal, es posible que un día ya no puedas encontrar archivos de trabajo importantes. Lo más probable es que estén en algún lado, pero es un misterio saber exactamente dónde. Un becario de desarrollo o marketing sabía dónde estaban, pero se fue de la empresa y no le dijo a nadie.

Contraseñas olvidadas

Otro problema común son las contraseñas olvidadas para las redes sociales corporativas u otros servicios con muy poco uso. Tal vez un nuevo miembro del personal abre una cuenta en Facebook o LinkedIn para ayudar a promover la empresa, pero no comparte los detalles de esta con otros miembros del personal; después cambia de puesto, entonces adiós a las credenciales de inicio de sesión y con poca probabilidad de recuperarlas.

Contraseñas compartidas

Algunas personas podrían pensar que con una tasa de rotación de personal alta serían una buena idea utilizar cuentas compartidas. Pero mientras más personas conozcan una contraseña, es mucho más probable que se filtre debido a phishing, negligencia o malas intenciones. Además, esto complica mucho más la investigación de un incidente, cuando llegan a suceder. Vamos a suponer que alguien obtuvo acceso a una cuenta; los expertos sospechan que la contraseña fue interceptada por malware y quieren revisar la computadora de un empleado que tuvo acceso. ¡Solo para enterarse que todos tuvieron acceso!

Contraseñas en servicios de nube

Otro error relacionado con contraseñas es almacenarlas en algún archivo en Google Docs, lo que usualmente significa que está configurado para ser accesible para cualquiera que tenga el enlace. La ventaja obvia es que para transferir la información necesaria a todos los empleados, es muy conveniente y suficiente poner todas las contraseñas necesarias en un documento y enviar un enlace. Sin embargo, estos documentos de Google pueden ser indexados por los motores de búsqueda. En otras palabras, el archivo con todas tus contraseñas podría caer en las manos equivocadas.

Falta de autenticación de dos factores

Algunos de los problemas asociados con las contraseñas serían menos peligrosos si las startups no se olvidarán de la autenticación de dos factores en sus cuentas de trabajo, ya que esto te permite proteger datos importantes de varios métodos de robo, como por ejemplo del phishing. En primer lugar, la protección de dos pasos debe estar presente en todos los servicios financieros, como en Upwork.

Consejos para evitar ciberamenazas universales

Para evitar los errores ‘típicos’ que muchas pequeñas empresas y startups cometen, intenta seguir estos pasos:

  • En cuanto a otorgar acceso a recursos o servicios, debes seguir el principio del menor privilegio. Es decir, un empleado debe tener los derechos de acceso mínimos; los suficientes solo para llevar a cabo sus tareas.
  • Debes saber exactamente dónde se almacena la información importante de tu startup y quién tiene acceso a esta. Para este fin, crea directrices al contratar empleados nuevos, y define claramente qué cuentas son necesarias para cada empleado y cuáles deberían estar restringidas solo a ciertos puestos.
  • Una cultura de ciberseguridad madura ayuda a evitar muchas ciberamenazas. Puedes, por ejemplo, iniciar creando un manual de ciberseguridad para empleados para que todos estén en la misma página. Aquí tenemos un buen ejemplo para empleados nuevos.
  • Todas las contraseñas deben almacenarse en un administrador de contraseñas seguro. Ayudará a que los empleados no las olviden o las pierdan, y también minimizará la posibilidad de que alguien ajeno tenga acceso a tus cuentas. También utiliza mecanismos de autenticación de dos factores siempre que sea posible.
  • Indica a tus empleados que bloqueen su computadora cuando se alejen de sus escritorios. Deben tener en mente que todo tipo de personas externas podría entrar a la oficina, incluidos mensajeros, clientes, subcontratistas o solicitantes de empleo.
  • Considera instalar software antivirus para proteger los dispositivos de virus, troyanos y otros programas maliciosos.

Se puede evitar una gran cantidad de amenazas con Kaspersky Small Office Security. Esta solución no solo protege los dispositivos de tus empleados de ransomware y otras ciberamenazas comunes, sino que también incluye un administrador de contraseñas.

Consejos