Cualquier guía de seguridad de la información puede ayudar a reducir al mínimo los errores en esa área; sin embargo, escribir una desde cero es muy desafiante. Por este motivo desarrollamos un plan general; una guía básica a la que puedes añadir puntos específicos de tu empresa, así como sus reglas y reglamentos. En nuestra opinión, este es el estándar: incluye lo necesario y solo le falta personalización. Una vez que la hayas ajustado, no solo la archives: Muéstrala a todos los empleados nuevos y también compártela con el resto del personal.
Acceso a los sistemas y servicios corporativos
- Utiliza contraseñas seguras para todas las cuentas (con una longitud de al menos 12 caracteres), que no incluya palabras del diccionario, pero sí caracteres especiales y números. Los atacantes podrían forzar fácilmente contraseñas simples.
- Genera una contraseña única para cada cuenta. Si reutilizas las contraseñas, la filtración en un servicio podría comprometer los otros.
- Mantén las contraseñas secretas, sin excepción. No las escribas, no las guardes en un archivo y no las compartas con tus colegas. Un visitante cualquiera a la oficina o un colega que fue despedido podría utilizar tu contraseña para dañar a la empresa, por mencionar un peligro obvio, pero las posibilidades de daño son prácticamente ilimitadas.
- Habilita la autenticación de dos factores para cada servicio que lo permita. Utilizar 2FA ayuda a evitar que un atacante acceda al servicio, incluso en caso de la filtración de la contraseña.
Datos personales
- Tritura los documentos para desecharlos en lugar de solo tirarlos. Conservar información de identificación personal en el contenedor de basura garantiza la atención de los reguladores y sus multas costosas.
- Utiliza canales seguros para intercambiar archivos que contienen datos personales (por ejemplo, comparte documentos de Google Docs con colegas específicos y no con la opción “cualquiera usuario que tenga un enlace al archivo”). Google, por ejemplo, indexa los documentos que cualquiera en el Internet puede ver, lo que significa que estos pueden aparecer en los resultados de búsqueda.
- Comparte los datos personales de los clientes estrictamente con los colegas que necesiten la información. Más allá de tener problemas con los reguladores, compartir los datos aumenta el riesgo de filtración de datos.
Ciberamenazas comunes
- Revisa con cuidado los enlaces en los correos electrónicos antes de seguirlos, y recuerda que un nombre de remitente convincente no garantiza su autenticidad. Uno de los muchos trucos que los cibercriminales utilizan para que la gente haga clic en los enlaces de phishing es que personalizan los mensajes de acuerdo con tu negocio o incluso utilizan la cuenta secuestrada de un colega.
- Para los encargados del presupuesto: Nunca transfieras dinero a cuentas desconocidas solo basándote en un correo electrónico o mensaje directo. En su lugar, contacta directamente a la personal que supuestamente autorizó la transferencia para confirmarla.
- No conectes medios de almacenamiento desconocidos a una computadora. Los ataques mediante unidades de memoria flash infectadas no solo aparecen en la ciencia ficción, los cibercriminales pueden y han plantado dispositivos maliciosos en público y en las oficinas.
- Antes de abrir un archivo, verifica que no sea ejecutable (los atacantes con frecuencia disfrazan archivos maliciosos como documentos de oficina). No abras o ejecutes archivos ejecutables de fuentes en las que no confíes.
Contactos de emergencia
- A quién contactar (nombre y número de teléfono) en caso de un correo electrónico sospechoso, comportamiento raro de tu computadora, una nota de ransomware, o cualquier otro tema cuestionable. Podría ser el personal de seguridad, un administrador de sistemas, incluso el propietario de la empresa.
Esto es lo básico, lo que todos en cualquier empresa deben saber. Sin embargo, si necesitas más información sobre las amenazas modernas, te recomendamos capacitación especial.