Lo que el desconocimiento de políticas de seguridad puede causar en su empresa

Cumplir con las políticas de seguridad puede llegar a ser una pesadilla para los empleados, pero los protocolos de seguridad dentro de la empresa funcionan en un contexto en el que las amenazas externas no paran de crecer en número y complejidad. Por eso evitar riesgos implementando tareas básicas debe ser una obligación para todo profesional de IT.

La causa de un incidente de seguridad puede ser muy diversa: un ataque perpetrado por un cibercriminal, una acción maliciosa o negligente de un empleado, o en muchos casos, esas fallas se deben a políticas de seguridad limitadas que no abarcan todos los posibles riesgos.

Al pasar por alto ciertas tareas y procesos, los equipos de IT están permitiendo que sus empresas sean vulnerables, sin embargo, muchas veces los errores humanos como pérdidas de datos, abusos de privilegios, distracciones, o abuso de confianza son los que generan el mayor número de pérdidas para una empresa.

Desde la tele de la sala de reuniones que se utiliza para hacer videoconferencias, el disco duro que conecta un trabajador o hasta la cafetera que hay en la cocina de la oficina: cada vez más aparatos que parecen inofensivos suponen un riesgo para los sistemas de tu empresa porque están entrando a formar parte del internet de las cosas (IoT), la conexión de objetos cotidianos a la red que puede ir desde juguetes, aire acondicionado, coches automáticos y más.

Pero el IoT también existe en nuestra casa, y dado que el trabajo remoto es cada vez más común, este puede representar un peligro para las políticas de seguridad. Muchas veces el problema es que los empleados que trabajan desde casa desconocen que hay este tipo de dispositivos o no saben cuántos tienen y la mayoría de las veces no se está debidamente protegido.

En este entorno de dispositivos conectados, en una oficina y trabajando desde casa se está expuesto a diferentes peligros como phishing, hackeo de apps (con dispositivos móviles no regulados), DDoS, o inclusive una intrusión donde el hacker manipule el dispositivo.

Si bien el software de seguridad puede mantener los datos seguros, el cifrado y los sofisticados controles de acceso pueden mantener los datos fuera de las manos equivocadas, pero para que la información en los sistemas sea útil, los empleados deben poder acceder y manipularlos.

Basta enlistar 4 errores comunes que casi todo empleado comete y que puede causar una vulnerabilidad informática al segundo:

  1. Usar contraseñas comunes en cuentas sensibles
  2. Anotar las contraseñas en papel y dejarlas pegadas en el lugar de trabajo
  3. Dejar documentos sensibles en la impresora o en el escritorio
  4. Dejar las credenciales de acceso en el escritorio o en cajones

Ahora, enlistamos una serie de malas prácticas que ponen el peligro a tu empresa y a los mismos empleados. Ignorar estas buenas prácticas puede abrir la puerta a incidentes de seguridad que causen un impacto económico considerable.

  1. Impresoras. Este dispositivo aparentemente inofensivo puede poner en peligro tu red corporativa. Muchos empleados han asegurado que ha copiado, escaneado o imprimido información confidencial en el trabajo sin precauciones. Debería ser imperativo introducir una clave o contraseña para acceder a su sistema de impresión.
  2. Aplicaciones. Desconocer qué servicios en la nube utilizan los empleados. Es necesario evaluar los peligros que puede suponer el uso de aplicaciones y servicios no autorizados expresamente por los equipos de seguridad.
  3. Celulares: La falta de preparación y de protocolos ante la pérdida de dispositivos corporativos, ya sean móviles, ordenadores, tabletas, etc., los cuales pueden contener información confidencial y acceso a correos.
  4. Conexiones abiertas. Es fundamental que los empleados, en la medida de lo posible, eviten conectarse a través de conexiones abiertas. En casos excepcionales en que esta conexión tenga ser llevada a cabo, deberán hacerlo a través de una VPNque pueda proteger sus datos y, sobre todo, la información delicada que pueda tener, minimizando así los posibles riesgos.

El factor esencial para no vivir momentos de terror es concientizar; toda compañía debería conseguir que sus empleados sean conscientes de hacer un uso responsable del correo electrónico y de las apps que tengan en su móvil, así como de las impresoras, credenciales y cuidar el equipo mismo (celulares y laptops). Es responsabilidad también de la empresa el hacer campañas y comunicar las políticas de seguridad para que todos estén alineados.