Los Fallos Humanos afectan la Seguridad de tu Empresa

La capacitación de tu equipo en temas de ciberseguridad es más importante de lo que pensabas.

Incluso con el equipo técnico más capaz de todos los tiempos, los fallos humanos son responsables de otorgar acceso de mil formas posibles a la información confidencial de tu empresa.

Acceder a tus datos puede ser tan fácil que parece tonto. Desde una foto que muestra una pantalla con las métricas internas de la empresa (ups :say_no_evil:) hasta las notificaciones de tu celular que muestran los mensajes privados que te mandan tus líderes (😳😭).

Pero no te preocupes. La seguridad informática NO es un lujo de las mejores organizaciones. Todo se resuelve con educación. Y es por eso que vamos a conversar un rato sobre las Normas de Seguridad ULTRA Elementales para tu Empresa.

Todos somos vulnerables por defecto

La información es tu activo más valioso y costoso, pero también puede ser el más vulnerable.

Tu información debe ser tuya y de nadie más. Solo las personas que tu quieres que tengan acceso deben tenerlo. Ser paranoicos no es tan mala idea, de hecho, debería ser nuestro estado por defecto.

Todo lo que no esté explícitamente permitido, debe estar explícitamente prohibido.

La Ingeniería Social consiste en aprovechar la falta de capacitación de algunas personas para engañarlas y conseguir información valiosa.

Puede ser muy aterrador que recibas una llamada o correo electrónico de “tu banco” explicándote que algo raro pasó y necesitan verificar que tú eres tú. Así que tú, reaccionando por el miedo y la sorpresa, revelas todos tus datos personales, incluso más de lo que un banco real debería saber.

Esta situación es más común de lo que crees. Y no solo con tu banco: pueden fingir ser de redes sociales o empresas importantes como Google, Facebook o Microsoft. ¡Hasta se convierten en el rey de Nigeria que quiere darte su dinero para que se lo tengas un ratito! ¡Y todos los días caemos en estas trampas!

Estos son solo algunos de los ataques que puede sufrir cualquier miembro de tu equipo y afectar a toda la organización. A continuación, veremos algunas buenas y malas prácticas que debes empezar o dejar de hacer para no entregarle tu información a los atacantes en bandeja de plata.

Protege tu información

Contraseñas:

¡No escribas tus contraseñas en libretas o post its! No las guardes en archivos o imágenes de tu computadora. Tampoco la escribas delante de otras personas.

Sí, yo se. Suena un poco raro decir “Oye, ¿te volteas? Voy a escribir mi contraseña… 😅”. Pero créeme, vale la pena. Si ya lo haz hecho puede que sea buena idea cambiar de contraseña. Solo por si acaso. 😇

Tampoco uses la misma contraseña en todas partes. Todo esto ayuda a que tus contraseñas sean más fáciles de conseguir, ya sea observándote o tratando de descifrarla.

¿Conoces los Password Management Systems?

Son herramientas que se encargan de crear contraseñas seguras por nosotros. De hecho, el sistema se encarga de autenticarnos en cualquier aplicación, ni siquiera nosotros nos sabemos las contraseñas.

De esta forma, solo debemos recordar UNA contraseña, la contraseña maestra, la que le dará permiso al sistema para que nos autentique en cualquier otra aplicación.

Pero cuidado, obviamente. No podemos confiar en cualquier proyecto de este estilo. Te recomendamos los siguientes:

• https://lastpass.com
• https://truekey.com/es
• https://1password.com
• https://keepersecurity.com
• https://passwords.google.com

¿Redes Públicas? ¿Países restringidos? ¡Usa VPNs!

Una VPN es un servicio que nos permite usar redes públicas de forma segura. Nos hacen pasar por personas conectadas a la red desde alguna otra parte del mundo (por ejemplo, desde otro país) y encriptan los datos que enviamos y recibimos, de forma que los atacantes que intenten acceder a ella no entenderán nada.

Estas herramientas son muy útiles cuando nos conectamos a redes públicas como cafeterías y aeropuertos, ya que gente del mal usa estos lugares oscuros para tratar de ver nuestra información sin que nos demos cuenta, un ataque que conocemos como Man in the Middle.

Recuerda que las VPNs tienen acceso a nuestra información antes de encriptarla, por lo que no podemos usar cualquiera de estos servicios solo porque se nos pase en frente. Busca una en la que podamos confiar.

Te recomendamos las siguientes:

• https://www.kaspersky.com/vpn-secure-connection
• https://www.tunnelbear.com

Encuentra más información en:

• Qué es y cómo usar un VPN
• Redes VPN, ¿qué son y cómo usarlas?

De Curiosidad y Paranoia a Investigación y Seguridad

Tal vez conoces algunos de estos hábitos, tal vez no. De pronto ya conoces algunos. También te pueden parecen un poco o muy paranoicos, pero recuerda que es cuestión de adaptarnos a la inseguridad de todos los días.

No te preocupes. Convertir estas normas en hábitos será pan comido, solo necesitas un poco de disciplina y perseverancia. 😄

• ¿Tienes acceso a datos privados de tu empresa desde el celular (por ejemplo, desde slack)? Entonces, configúralo de modo que las notificaciones no muestren los mensajes privados de tu organización, al menos mientras NO estés autenticado.
• No le creas a la publicidad engañosa que nos promete premios especiales (iPads, celulares, dinero…), suelen ser malware.
• Sé muy cuidadoso cuando uses tu computadora, nunca te separes de ella sin dejarla bloqueada, ya que muchas personas pueden estar por detrás observando conversaciones y contraseñas.
• Ten cuidado cuando descargas contenido desde sitios… No tan seguros… Preferiblemente, no lo hagas. Para estar seguros puedes habilitar el Firewall de tu computadora y, si es posible, un Antivirus. Estas herramientas estarán vigilando y te notificarán cuando tu computadora no esté completamente desinfectada.

¡Por cierto! ¡Dí NO a la Piratería!
– Los errores de seguridad informática más comunes en las empresas

Conclusiones

Te invito a que revises los cursos que tenemos en nuestra escuela de ciberseguridad y a que compartas esta información con tu equipo, familia, amigos, clientes, mamá, abuelita y cualquier otra persona que quieras mucho.

Perder tu información personal puede ser muy doloroso. Peor aún si no solo la perdiste, sino que alguien más la tiene y no sabes qué hará con ella. Y si es tu empresa… Tanto trabajo, tantas personas…

Pero no te pongas triste, ya sabes que podemos aumentar nuestra seguridad si disminuimos nuestra ignorancia. La capacitación de nuestro equipo debe ser una prioridad, no un extra.

Si quieres aprender a usar todas las herramientas que te comenté y profundizar aún más en cómo proteger la información de tu empresa, te invito a que tú y todo tu equipo tomen el Curso de Seguridad Informática para Empresas.

Si entiendes que preocuparte por tu empresa es preocuparte por tu equipo, que son personas y no máquinas, te invito a que los capacites. Además, puedes aprender diferentes estrategias para hacerlo de la mejor forma posible: Curso de Capacitación para Equipos.

Y por último, al menos esta vez, te invito a que te prepares en la parte técnica de la seguridad informática. Puedes empezar con el Curso de Introducción a la Seguridad Informática y continuar con toda la Carrera de Seguridad Informática.

La seguridad informática NO es un producto. Es un proceso de continua evolución que aplica para nuestras organizaciones y nuestra vida personal. Son hábitos a los que debemos acostumbrarnos para no crear vulnerabilidades que los atacantes puedan aprovechar.
Este proceso aplica para siempre, para todo y en todas partes.
– Todos queremos ser Hackers: Mi viaje con la seguridad informática

Si no conocías Platzi, te doy la bienvenida. Date un paseíto por aquí: Platzi para Empresas.

#NuncaParesDeAprender 🤓💚

• Por qué es importante la Seguridad Informática en tu empresa

• Lo que Mr. Robot nos enseña sobre Seguridad Informática