En Internet hay m\u00e1s de un mill\u00f3n de consejos sobre c\u00f3mo mantener a flote una startup. Lo com\u00fan es que los asesores resalten los problemas en la planeaci\u00f3n de negocios, la estrategia de marketing, la atracci\u00f3n de inversi\u00f3n adicional, etc., pero pocas veces se habla sobre el problema de desarrollar un sistema de ciberseguridad s\u00f3lido. Sin embargo, la falta de un entendimiento claro de las amenazas puede costarle a una startup un negocio potencialmente exitoso. Por esto, decidimos hablar sobre la mayor\u00eda de los errores de ciberseguridad m\u00e1s comunes, y lo que es m\u00e1s importante, c\u00f3mo evitarlos.<\/p>\n
Esta es una historia t\u00edpica de una startup: t\u00fa y tu amigo tienen una idea brillante, la analizan con sus amigos m\u00e1s cercanos, y re\u00fanen a un grupo de entusiastas para conformar a su equipo ideal. As\u00ed es como comenzaron las historias de Airbnb, Pinterest, Twitter, Uber y muchos otros proyectos.<\/p>\n
Sin embargo, los problemas surgen cuando la startup pasa de ser una idea inicial a desarrollar flujos de trabajo reales y contratar personal adicional. En este punto, el peque\u00f1o grupo de personas afines se extiende y se convierte en un equipo de desconocidos con diferentes puntos de vista y diferentes experiencias de vida. Es este equipo, es posible que los empleados tengan un entendimiento muy diferente sobre la informaci\u00f3n que se considerar\u00eda confidencial y c\u00f3mo protegerla.<\/p>\n
Este es un ejemplo: un empleado decide que ser\u00eda conveniente escribir la contrase\u00f1a para un servicio online<\/em> en un pizarr\u00f3n; su razonamiento es que quien la necesite puede encontrarla r\u00e1pida y f\u00e1cilmente. Otro miembro del personal publica en una red social una selfie<\/em> en la oficina con la descripci\u00f3n \u201c\u00bfqui\u00e9n escribir\u00eda algo confidencial en el pizarr\u00f3n, donde todo el mundo puede verlo?\u201d Este tipo de malentendido es uno de los motivos por los que las startup nuevas pueden tener problemas de ciberseguridad. El problema puede resolverse solo al desarrollar una cultura de ciberseguridad corporativa.<\/p>\n Al mismo tiempo, las personas que llegan a trabajar a las startups son, con frecuencia, entusiastas y aventureros, quienes r\u00e1pidamente se enamoran de la idea, y que muchas veces cambian r\u00e1pidamente de inter\u00e9s y se van. Adem\u00e1s, es muy com\u00fan que las startups dependan de especialistas de TI, quienes tienden a ir de empresa en empresa durante varios a\u00f1os.<\/p>\n La combinaci\u00f3n de estos dos hechos puede crear un alta tasa de rotaci\u00f3n de personal. En estas condiciones, es posible que f\u00e1cilmente se multipliquen varios errores, especialmente los relacionados con ciberseguridad. Por lo tanto, es f\u00e1cil pasar por alto una ciberamenaza que f\u00e1cilmente podr\u00eda evitarse.<\/p>\n Imaginemos esto: no te diste cuenta cuando tu peque\u00f1a startup se convirti\u00f3 en una empresa hecha y derecha. \u00bfQu\u00e9 errores de ciberseguridad podr\u00edas haber cometido hasta ahora?<\/p>\n Con frecuencia, cuando un empleado de una startup necesita acceso a recursos corporativos o servicios, inmediatamente obtiene derechos de administrador. La persona que comparte estos derechos de acceso usualmente piensa que es m\u00e1s f\u00e1cil dar acceso a todo de una sola vez, sin entender las necesidades reales de un empleado espec\u00edfico y sus responsabilidades, que tener nuevas solicitudes de acceso cada semana. Pero mientras m\u00e1s derechos de acceso tenga un empleado, la probabilidad de error es m\u00e1s grande. Si quieres minimizar la cantidad de ciberincidentes, cada participante del flujo de trabajo debe tener solo los derechos de acceso que son necesarios para sus tareas.<\/p>\n En general, es malo para cualquier empresa. Pero en una startup, debido a la ya mencionada rotaci\u00f3n de personal, es posible que un d\u00eda ya no puedas encontrar archivos de trabajo importantes. Lo m\u00e1s probable es que est\u00e9n en alg\u00fan lado, pero es un misterio saber exactamente d\u00f3nde. Un becario de desarrollo o marketing sab\u00eda d\u00f3nde estaban, pero se fue de la empresa y no le dijo a nadie.<\/p>\n Otro problema com\u00fan son las contrase\u00f1as olvidadas para las redes sociales corporativas u otros servicios con muy poco uso. Tal vez un nuevo miembro del personal abre una cuenta en Facebook o LinkedIn para ayudar a promover la empresa, pero no comparte los detalles de esta con otros miembros del personal; despu\u00e9s cambia de puesto, entonces adi\u00f3s a las credenciales de inicio de sesi\u00f3n y con poca probabilidad de recuperarlas.<\/p>\n Algunas personas podr\u00edan pensar que con una tasa de rotaci\u00f3n de personal alta ser\u00edan una buena idea utilizar cuentas compartidas. Pero mientras m\u00e1s personas conozcan una contrase\u00f1a, es mucho m\u00e1s probable que se filtre debido a phishing<\/em>, negligencia o malas intenciones. Adem\u00e1s, esto complica mucho m\u00e1s la investigaci\u00f3n de un incidente, cuando llegan a suceder. Vamos a suponer que alguien obtuvo acceso a una cuenta; los expertos sospechan que la contrase\u00f1a fue interceptada por malware<\/em> y quieren revisar la computadora de un empleado que tuvo acceso. \u00a1Solo para enterarse que todos tuvieron acceso!<\/p>\n Otro error relacionado con contrase\u00f1as es almacenarlas en alg\u00fan archivo en Google Docs, lo que usualmente significa que est\u00e1 configurado para ser accesible para cualquiera que tenga el enlace. La ventaja obvia es que para transferir la informaci\u00f3n necesaria a todos los empleados, es muy conveniente y suficiente poner todas las contrase\u00f1as necesarias en un documento y enviar un enlace. Sin embargo, estos documentos de Google pueden ser indexados por los motores de b\u00fasqueda<\/a>. En otras palabras, el archivo con todas tus contrase\u00f1as podr\u00eda caer en las manos equivocadas.<\/p>\n Algunos de los problemas asociados con las contrase\u00f1as ser\u00edan menos peligrosos si las startups no se olvidar\u00e1n de la autenticaci\u00f3n de dos factores<\/a> en sus cuentas de trabajo, ya que esto te permite proteger datos importantes de varios m\u00e9todos de robo, como por ejemplo del phishing. En primer lugar, la protecci\u00f3n de dos pasos debe estar presente en todos los servicios financieros, como en Upwork.<\/p>\n Para evitar los errores \u2018t\u00edpicos\u2019 que muchas peque\u00f1as empresas y startups cometen, intenta seguir estos pasos:<\/p>\nErrores t\u00edpicos de ciberseguridad<\/h2>\n
Derechos de acceso excesivos<\/h3>\n
Rige la falta de sistemas de almacenamiento de informaci\u00f3n<\/h3>\n
Contrase\u00f1as olvidadas<\/h3>\n
Contrase\u00f1as compartidas<\/h3>\n
Contrase\u00f1as en servicios de nube<\/h3>\n
Falta de autenticaci\u00f3n de dos factores<\/h3>\n
Consejos para evitar ciberamenazas universales<\/h2>\n
\n