Cualquier organización que tenga algún tipo de operación en internet tiene la obligación de tener algún nivel de seguridad. Y aunque es claro que nadie podrá proteger totalmente su información –solo hay que ver los casos de grandes empresas como Sony o Target– si es necesario tener algunos conceptos básicos de seguridad. Las grandes organizaciones tendrán equipos dedicados a proteger sus operaciones en línea, pero las pequeñas y medianas empresas tendrán que ser más inteligentes con sus recursos para proteger su información.
Antes de comenzar a hablar de cualquier cosa, es fundamental mencionar que los dominios .com.co son algunos de los más seguros del mundo. De acuerdo con CBS News, hay algunos dominios más seguros que otros. Por ejemplo, los terminados en .hk, .cn o .info tienen más riesgo de tener algún hueco en la seguridad. El medio estadounidense cita un estudio de McAfee que encontró que el 18% de los dominios terminados en .hk son riesgosos. Por lo tanto, para darle más respaldo a tus usuarios, tienes que escoger un dominio como .com.co, que es de los más seguros del mundo. Este lo puedes encontrar en www.cointernet.com.co.
En una sola nota es imposible cubrir todos los aspectos de seguridad informática que se debería tener en cuenta. Sin embargo, a continuación haremos un repaso de los conceptos básicos que debe tener en cuenta un gerente o el encargado de una página web de una cualquier empresa, pero especialmente una Pyme.
La primera noción que hay que dejar en el pasado es pensar que por el tamaño de la organización no sufrirás ataques informáticos. Como está el panorama de hoy, cualquier organización está bajo el riesgo de sufrir un robo de información, sin importar el tamaño, industria o clientes que tenga. Solo hay que echar números para darse cuenta de la facilidad que tendría un atacante de robarse los datos de una organización pequeña. Al atacante solo le cuesta tiempo, pero si consigue la información de pagos, tendrá un importante botín.
Por eso, hay que tener mínimas medidas de seguridad TI, empezando por la más básica: un ‘firewall’. Esto funciona como esa herramienta que le ponían al timón de los carros en el pasado; además de ofrecer una capa adicional de protección, también incentiva al ladrón a atacar otro carro. Un ‘firewall’ tiene características similares: es una capa de protección fundamental para cualquier empresa, pero también será un obstáculo que motive a los atacantes a ir tras otra organización con medidas más laxas de seguridad.
Otro de los huecos más comunes que hay que tapar viene de la mano de una de las herramientas más populares en el mundo corporativo: el correo electrónico. Por ahí, los atacantes son capaces de captar información, robar contraseñas y buscar puertas de entrada. Por eso, se deben tener filtros de spam y contra el ‘phishing’, para evitar que cualquier empleado de la organización entregue información confidencial sin querer.
Los soluciones técnicas deben venir de acompañadas de una tarea importante de políticas y procesos. Los gerentes de las empresas tienen que dar ejemplo y capacitaciones de las formas correctas de usar la información. Una capacitación sobre el uso adecuado del correo electrónico puede ser un salvavidas. Por ejemplo, es posible que la nueva asistente administrativa no tenga ni idea que es un ataque de ‘phishing’. Por lo tanto, si le llega un correo del supuesto administrador de sistemas pidiendo su clave, es natural que la entregue sin pensarlo.
Por casos como estos, es fundamental que todos los miembros de la organización estén enterados de los diferentes huecos de seguridad. Los piratas informáticos hoy en día son tan ágiles que seguramente encontrarán el punto débil de la compañía y explotarlo. Y normalmente el punto más débil son las personas, por eso hay que hacer un esfuerzo para reforzar este aspecto.
Las políticas tienen que ser claras y estar publicadas en un lugar fácil de consultar. Por ejemplo, nadie debería abrir un correo electrónico inesperado que tenga un archivo adjunto. Tampoco se debe compartir la contraseña con nadie, eso incluye al gerente, a la persona de tecnología de la empresa o hasta la mamá. Estas políticas pueden ser consultadas con un experto o con gente del sector que ya tenga experiencia. No hay que hacer grandes inversiones para tener una serie de pautas que protejan uno de los activos más importantes de la organización: la información.
A todo esto, hay que sumarle un nuevo factor: los dispositivos móviles. Los teléfonos inteligentes se han convertido en herramientas fundamentales de trabajo lo que obliga a los empleados a manejar información confidencial en ellos. De pronto tu empresa no necesita un MDM robusto, pero con un par de políticas sobre el uso de dispositivos móviles puedes proteger los datos que fácilmente se pueden perder.
Aplicaciones como Dropbox y otras de almacenamiento en la nube pueden representar una vulnerabilidad porque allí se puede almacenar información confidencial. También se debe recomendar a todos los empleados a usar las tiendas oficiales y no tener sus dispositivos con ‘jailbreak’ o con acceso ‘root’. Todos los equipos deben tener contraseña –ojalá alphanumérica y biométrica si el hardware lo permite– y tener activada la opción de reiniciar el equipo remotamente.
Con estas políticas bien implementadas y algunas inversiones en hardware, le harás más difícil el trabajo a los piratas informáticos. Hay que tener en cuenta que es imposible proteger 100% la empresa, pero con algunos controles y estrategias bien pensadas podrás minimizar el riesgo de tu pequeña o mediana empresa. Pero si te vas llevar un solo mensaje de este artículo, el vínculo más débil de la cadena casi siempre es el personal. Como dice Network World, hay que enfocarse en políticas claras que entienda la gente.
Imágenes: American Advisors Group, David (vía Flickr).