En la actualidad, los empleados de cualquier empresa necesitan estar permanentemente conectados con independencia del lugar en el que se encuentren y del dispositivo que utilicen. Pero garantizar esta conectividad tan necesaria para el negocio supone afrontar posibles riesgos de seguridad que pueden poner en peligro los datos o sistemas corporativos.
Las organizaciones son conscientes de ello e invierten en soluciones como proxys, firewalls, antivirus, VPN, etc.
Esas soluciones de seguridad son fundamentales pero, desgraciadamente, servirán de poco si el personal de la compañía no está concienciado y convenientemente preparado para saber actuar de forma correcta ante las cada vez más numerosas amenazas existentes.
No es necesario ofrecer a todos los empleados una formación muy técnica. Mostrándoles una serie de ejemplos muy concretos de los peligros a los que pueden estar expuestos en su actividad diaria, así como ofreciéndoles unas indicaciones muy claras sobre lo que deben hacer en cada caso, la organización no sólo estará más segura, sino que podrá centrar sus esfuerzos en prevenir otro tipo de ataques más sofisticados.
Un buen comienzo sería comunicar a todo el personal unos puntos básicos de seguridad, como por ejemplo:
Correos electrónicos
Una herramienta tan necesaria como el correo electrónico ya se ha convertido en la puerta principal de incidentes relacionados con la seguridad en las empresas. Mensajes en los que se comunica que hemos ganado un premio, que necesitamos actualizar cierta información del banco o que necesitamos confirmar un pago o un ingreso de la empresa no son más que argucias de los hackers para confundir a los empleados y lograr introducirse en el sistema informático de la compañía.
Es necesario alertar al personal sobre estas prácticas, induciéndoles, en primer lugar, a utilizar su sentido común: nadie gana premios en concursos en los que nunca ha participado; los bancos nunca piden datos a través de correos electrónicos; recibir facturas o ingresos de proveedores o clientes que no conocemos y que no utilizan los canales habituales en su relación con la empresa resulta sospechoso. Al recibir un correo de este tipo, lo más recomendable es no abrir ningún archivo adjunto y añadir al remitente a la carpeta de spam, para que el servidor del correo lo bloquee para siempre.
Descargas de software sin validar por el departamento de Sistemas
Es habitual encontrarse con empleados que deciden, por cuenta propia, descargarse aplicaciones que consideran necesarias para su trabajo. Esta práctica resulta muy peligrosa, ya que las aplicaciones descargadas de forma irregular pueden evitar el correcto funcionamiento del servidor proxy o pueden, incluso, conectar de forma remota con el equipo del empleado, tomando su control.
Si el empleado necesita una aplicación para su trabajo nunca debe descargarla e instalarla en su equipo sin el conocimiento de sus superiores. Debe solicitarla y, si se aprueba la instalación, los encargados de sistemas garantizarán que esa aplicación se adquiere e instala con todas las garantías.
Errores y buenas prácticas
Los errores de seguridad más básicos cometidos por los empleados suelen repetirse en todo tipo de organizaciones. Entre ellos, destacan los siguientes:
- Mantener la contraseña del ordenador al lado del mismo y visible para cualquiera.
- Utilizar contraseñas obvias y fácilmente adivinables por otros.
- No mantener los sistemas actualizados.
- Descargar software de páginas no oficiales.
- Conectarse y enviar información por redes no seguras (redes abiertas).
Contra ellos, surge una serie de buenas prácticas que sería conveniente enseñar a los empleados:
- Gestión correcta de las contraseñas.
- Mantener software y antivirus actualizados.
- No instalar programas o lanzar ejecutables que no sean fiables o de los que no se conozca la procedencia.
- Antes de descargar cualquier archivo adjunto de un correo, verificar que el correo es seguro, que conocemos al remitente y que estamos esperando este correo.
- Actualizar datos solo en páginas web que cuenten con nuestra absoluta confianza, bien porque sepamos que la dirección URL es correcta, bien porque se trata de una página segura cuya dirección comienza por https.
- Sobre todo y ante cualquier mínima duda, preguntar a los responsables del departamento de sistemas. Siempre es mejor pecar de precavido que exponer a la empresa a un riesgo de seguridad.
Por Santiago Pedrosa
Consultor de Herramientas de MTP