Kit básico de seguridad digital en la empresa

La pérdida o el robo de datos puede traducirse económicamente en pérdidas, bien por la situación que puede generarse con un cliente, por la imposibilidad de llevar a cabo una oportunidad de negocio, la ventaja que puede proporcionar a la competencia si cae en sus manos o, en algunos casos, los efectos negativos que pueda tener la exposición pública de la información.

Mucho más hoy, cuando los datos son el nuevo oro y la digitalización de la economía es creciente. Hemos compilado nueve aspectos claves para la seguridad digital de tu empresa. Ninguna fortaleza es inexpugnable -que le pregunten a EE.UU. por Wikileaks- pero no se trata de ponerlo fácil, verdad?

1. Seguridad WiFi

Obviamente, la puerta de entrada a nuestro castillo digital ha de estar protegida como se merece. Hace unos días, un hacker demostraba cómo podía detectar las redes sin contraseña de su vecindario empleando ¡un gato! La noticia es hilarante, pero demuestra también el poco cuidado que ponen algunos en salvaguardar sus redes. Como hace tiempo le dedicamos un post entero al tema de la seguridad WiFi, lo mejor es que lo leas aquí.

2. Seguridad de contraseñas

El tema está muy rumiado, así que seremos breves: intenta combinar números y letras, mayúsculas y minúsculas, evita los lugares comunes (123456…) y el nombre de tu pareja. No lo pongas fácil (pero apúntalo en algún sitio por si se te olvida). Aquí tienes una selección de los peores passwords de 2013.

3. Protección y Mantenimiento generales

Es bastante común buscar el remedio cuando la enfermedad ya se ha extendido, aun cuando en la sanidad y en la informática la mejor política es la prevención. Así, es conveniente disponer de un perfil técnico en la empresa que se ocupe de la seguridad y el mantenimiento de los equipos y redes, así como de un antivirus y un cortafuegos de calidad. La alternativa es externalizar el servicio a una empresa de confianza que realice estas labores de forma periódica.

4. Seguridad de USBs

¿Están infectados? ¿Instalarán malware, virus o un keylogger en mi ordenador? La solución es pasar un antivirus, pero ojo porque algunas pruebas han dado lugar a USBs cuyo malware es indetectable y permite a una tercera persona hacerse con el control del equipo. La mejor solución para la seguridad es, probablemente, contar con varios dispositivos propios para uso interno y evitar su exposición a equipos con posibilidad de riesgo de infección. Como los domésticos.

5. Seguridad de acceso a Internet

El trabajo de cualquier empresa se desarrolla cada vez más en Internet, donde abundan las rifas de iPads, los príncipes nigerianos millonarios y las descargas gratuitas. Por ello, es conveniente que cada empresa desarrolle unas políticas de navegación web –prescribiendo posibles riesgos- y eduque mínimamente a sus empleados para que detecten y eviten posibles riesgos de seguridad.

Hay muchas empresas que “capan” el acceso de sus empleados a ciertas páginas y redes sociales, tanto por motivos de productividad como de seguridad. Sin embargo, en una economía crecientemente digital y según en qué ámbitos de trabajo, limitar el acceso a recursos online de uso común (como Gmail o YouTube) puede no ser la mejor idea. Una alternativa, si hay que limitar el acceso, es establecer diferentes perfiles con distinto nivel de permisos, acorde a sus funciones.

6. Seguridad del navegador web

Es común –sobre todo en la Administración pública- el uso de Internet Explorer como navegador obligatorio, debido al pago de una licencia en su día y al uso habitual de determinados programas. La respuesta habitual es que IE es un entorno cerrado en el que sólo mete mano Microsoft, y por ello, presuntamente, de mayor seguridad, a diferencia de lo que sucede con navegadores como Chrome o Firefox. No obstante, actualmente existen bastantes alternativas para navegar –como las dos ya mencionadas- , con menos vulnerabilidades que IE y con mejores funcionalidades.

Cabe hablar también de las extensiones, pequeñas apps que se pueden añadir a algunos navegadores y permitirnos diversas funcionalidades, como guardar una página para su posterior lectura, bloquear anuncios, acceder rápidamente a una red social, etc. Dado que cada una es de su padre y de su madre, aquí conviene examinar bien qué permisos de acceso a tus datos te pide la aplicación web al instalarse.

7. Seguridad de smartphones y tablets

En el mundo hay ya dos clases de empresas: BYOD y CYOD. ¿Qué? Bring Your Own Device (Trae tu Propio Dispositivo) y Choose your Own Device (Elige tu Dispositivo Propio). En resumidas cuentas, hay empresas que te dejan emplear tu teléfono propio para cuestiones profesionales y otras que prefieren que uses uno de empresa. El tema es más complejo de lo que parece y lo retomaremos otro día, pero vamos a examinarlo por encima.

¿Cuál es el riesgo? Principalmente, almacenar cualquier tipo de información de la empresa o sus clientes –contactos, contraseñas, informes, etc- en un smartphone o tablet vulnerable. El acceso a los datos contenidos en el dispositivo por parte de algunas apps puede suponer una importante brecha de seguridad. O directamente el uso de determinadas apps, la vulnerabilidad de determinados sistemas o modelos, la falta de un antivirus… Por no hablar de las posibilidades de robo y pérdida. ¿Está protegido por contraseña? ¿Los datos estaban cifrados? ¿Es posible localizarlo o borrarlo de manera remota?

Debido a ello, hay empresas que prefieren proveer a sus empleados de dispositivos aprobados para el uso debido a sus características básicas, dotados con antivirus, cortafuegos y un determinado set de apps con las que operar. Igual que la llegada de Internet hizo a las empresas dotarse de políticas sobre navegación web, el crecimiento del tráfico móvil –superará al de escritorio este 2014- forzará un cambio en este sentido.

8. Sistemas de gestión de la información

Tanto para la gestión de documentos como para la de operaciones, el software de gestión es la evolución natural hacia la que caminan las empresas. Sin detenernos por ahora en sus bondades generales, sí podemos concretar que en lo referente a seguridad presentan grandes ventajas para la seguridad informática.

Por un lado, permiten delimitar distintos niveles de acceso, según las funciones y responsabilidad de los distintos tipos de usuario. También permiten proteger los documentos o bases de datos contra cambios no deseados o grabaciones en dispositivos externos, realizan periódicamente copias de seguridad que se almacenan en un servidor (si puede ser propio, mejor) y mantienen un registro de acceso y edición. Así, si algún documento crítico aparece dónde o cómo no debe, nos ahorramos el castigar a toda la clase hasta que salga el culpable.

9. Seguridad de nubes

El almacenamiento en la nube que ofrecen empresas como Dropbox, Box o Google ofrece cada vez mejores condiciones para las empresas –tanto en cuestión de planes gratuitos como de pago.

Por lo general son servicios fiables –siempre que no se meta la NSA de por medio, claro- pero si manejamos información muy sensible o somos ya una empresa de cierto tamaño, quizás convenga plantearse disponer de servidores propios y una solución específicamente adaptada a nuestros requerimientos.