A medida que fue surgiendo información de la vulneración de datos de Equifax del año pasado, uno de los mayores escándalos de piratería de la historia de Estados Unidos, se descubrió que el anterior CEO de la compañía, Richard Smith, culpó de todo el desastre a un solo técnico de TI que no le dijo al personal de Equifax que debía instalar un parche diseñado para eliminar una vulnerabilidad en el sistema Apache Struts.
Esta situación muestra lo frágil que puede ser la seguridad de TI y lo importante que es que todos los miembros de la organización participen en un programa de administración de riesgos de TI. A fin de cuentas, las amenazas a la seguridad informática no van a desaparecer pronto. De hecho, se espera que cuesten a las compañías 6 billones de dólares para el 2021, lo que, puesto en perspectiva, “representa la mayor transferencia de riqueza económica de la historia”.
Por supuesto, la amplia mayoría de las pérdidas causadas por fallos de seguridad informática vendrán de grandes organizaciones empresariales, pero eso no implica que las pequeñas y medianas empresas no deban hacer todo lo posible para proteger sus negocios. De hecho, dado que trabajas a un nivel tan personal con tus empleados y clientes, es posible que tengas mucho más que perder que el resto: tu modo de vida, tus relaciones personales, tu reputación, etc. Afortunadamente, hay varias cosas que las compañías de todos los tamaños pueden hacer para mejorar su seguridad en todos los niveles y afrontar estas amenazas de frente:
- Prepara a tu personal: Es una tarea simple, pero como mostró la vulneración de Equifax, el aprendizaje de seguridad online y la institución de procedimientos recomendados en la empresa pueden hacer mucho para mitigar los desastres digitales. Busca una clase (online o presencial) que cubra temas como el reconocimiento y la administración correos de suplantación de identidad, el mantenimiento del sistema de seguridad actualizado, los comportamientos online seguros, etc., y capacita a todos los miembros de tu equipo.
- Elige el cliente de correo electrónico adecuado: Tener acceso a tus correos desde cualquier lugar (y desde prácticamente cualquier dispositivo) es clave, pero sacrificar la comodidad por la seguridad nunca debería ser una opción. Por lo tanto, debes buscar un servicio de correo electrónico que pueda distinguir mensajes de correo no deseados, de suplantación de identidad y legítimos, y que pueda filtrarlos de manera adecuada. Además, si tus filtros de correo electrónico te permiten desactivar los hipervínculos y quitarle a tu equipo la capacidad de responder a mensajes dañinos, aún mejor. Si es posible, busca programas con filtros de correo electrónico que puedan configurarse a nivel personal o de grupo, de esta forma podrás determinar qué es lo mejor para tu compañía.
- Mantén la directiva de dispositivos actualizada: Haz que la seguridad física sea una prioridad creando directivas para toda la compañía que destaquen las prácticas recomendadas para mantener los dispositivos seguros. Crea protocolos que se deberán seguir si se pierde un dispositivo, indica a tu equipo a quién debe contactar y aclara qué debe pasar desde una perspectiva técnica si se pierde un dispositivo. Como capa de protección adicional, exige que todos los empleados activen la autenticación en dos factores en sus dispositivos. De esta forma, incluso si se roba un dispositivo, se necesitará un método de contacto antes de que el ladrón pueda obtener acceso a lo que está detrás de la pantalla de inicio de sesión.
- Actualiza tu software: Si la vulneración de Equifax nos enseñó algo, es que es clave que cada empleado, en todos los niveles, mantenga su software actualizado. Si usas software basado en la nube, las actualizaciones de seguridad de TI suelen ser automáticas, pero si posees o administras una compañía que no aún no pasó a usar software basado en la nube, puedes automatizar las actualizaciones y obligar a tu personal a que las instale. Si eso no es una opción, o si es una que prefieres no emplear, puedes hacer que cada miembro del equipo sea responsable de instalar actualizaciones en sus propios dispositivos. Solo tendrás que configurar tu software para que solicite a los usuarios que instalen las actualizaciones cuando estén disponibles.
Aunque ya hablamos del aprendizaje de tu equipo, no se puede remarcar lo suficiente. Independientemente de cuántas medidas de seguridad hayas colocado, tu equipo tiene que estar preparado para usarlas correctamente, y deberías enviar a tu equipo regularmente archivos de repaso y recordatorios sobre la importancia de tomar estas precauciones. De esta forma, no solo podrás ayudarles a aprender a reconocer amenazas a la seguridad informática, sino que también les darás información que necesitan para evitar tomar riesgos innecesarios.
