Video: Webinar Ciberseguridad: Proteja a su Fuerza Laboral Remota (Noviembre 2024)
Vivimos en un mundo cada vez más inalámbrico. Muchas computadoras portátiles hoy en día ni siquiera tienen un puerto Ethernet. Trabajar de forma remota, ya sea desde el hogar, el sitio de un cliente o incluso una habitación de hotel en todo el país, ahora es una realidad para muchas empresas. Pero es importante recordar que no puede olvidarse de la seguridad solo porque sus usuarios no están en el sitio. Las pequeñas empresas aún pueden ser consideradas responsables de violaciones de datos como resultado de una computadora portátil perdida, y los atacantes pueden interceptar datos confidenciales que se transmiten a través de la red inalámbrica. Las empresas deben asegurarse de que su estrategia de seguridad de la información se extienda más allá de la oficina para que sus datos y su red permanezcan seguros.
Proteger el punto final
¿Qué sucede si la computadora portátil de un empleado se extravía o es robada? Los datos confidenciales, como los registros de los empleados o la información del cliente, pueden estar potencialmente expuestos. Por eso, asegúrese de que todas las computadoras emitidas para estos empleados tengan cifrado de disco completo. Es más fácil de lo que solía ser, ya que los sistemas operativos modernos ahora vienen con programas de cifrado integrados. BitLocker está disponible para usuarios de Windows y FileVault 2 se introdujo por primera vez en Mac OS X Lion.
Si el empleado está usando su propia computadora para el trabajo, pídale que encripte la unidad. El cifrado de disco hace que sea extremadamente difícil para los atacantes recuperar datos de las máquinas. Es la primera línea de defensa y no debe ignorarse. Si las memorias USB son populares en su lugar de trabajo, aliente a todos a usar unidades encriptadas. Asegúrese de que todos tengan uno, como mínimo, para que los datos confidenciales siempre se copien en dispositivos seguros. Como ya estamos hablando de computadoras portátiles, continúe y configure una contraseña para bloquear el BIOS también. Es genial que tenga las cuentas de Windows bloqueadas para que los ladrones no puedan iniciar sesión, y el cifrado significa que no pueden leer los datos guardados, pero ¿qué pasa con el BIOS? Un BIOS protegido con contraseña significa que el atacante no puede simplemente arrancar desde una memoria USB o CD y limpiar su disco duro. Configure el disco duro primero en la lista de orden de arranque en el BIOS y luego establezca una contraseña para el BIOS. Eso significa que un ladrón no puede intentar usar USB o CD para arrancar, y no puede acceder al BIOS para cambiarlo.
El hecho de que el empleado no esté en la oficina no significa que esté exento de actualizaciones y parches de software regulares. Configure todos los dispositivos para descargar e instalar automáticamente parches a medida que estén disponibles. Solicite a los empleados que se conecten a la red corporativa de manera regular para que las actualizaciones se puedan enviar a sus máquinas. Teniendo en cuenta cuántos ataques devastadores se han dirigido a fallas de seguridad sin parches (no los últimos errores de día cero, sino más bien viejos de hace años), es importante asegurarse de que todos los paquetes de software se actualicen regularmente. Tenga instalado el último software de seguridad, navegador web y sistema operativo. Encienda el firewall en su sistema operativo también.
Considere si sus empleados realmente necesitan acceso de administrador. En la actualidad, muchos ataques aprovechan el hecho de que los usuarios tienen todos los privilegios sobre la máquina. Cree cuentas a nivel de usuario para los empleados y restrinja lo que pueden o no pueden hacer. De esa manera, si están infectados con malware, ese programa falso también está restringido en lo que puede hacer en la máquina. Vuelva a pensar si los empleados deberían poder instalar software sin que TI lo sepa. Solo el personal de TI de confianza debe tener acceso total sobre el punto final.
Considere configurar un servidor de red privada virtual para asegurarse de que los empleados se vuelvan a conectar a los sistemas de trabajo a través de una conexión confiable. VPN no tiene que ser súper difícil u oneroso. Algunos enrutadores pueden admitir un puñado de conexiones VPN, y Windows ofrece un cliente integrado. Si no necesita una configuración VPN completa, proteja a sus usuarios con un servicio VPN. Es la mejor manera de asegurarse de que los espías no intercepten datos confidenciales cuando los empleados se conectan a redes públicas.
Proteja también el teléfono inteligente, junto con todos los correos electrónicos, documentos y contratos que puedan ser vulnerables en él. Asegúrese de que todos los dispositivos tengan un bloqueo, no solo un deslizamiento de pantalla, sino un código de acceso o patrón real. Y si tiene la opción, use algo más fuerte que un PIN de 4 dígitos. Se debe alentar a los usuarios de iPhone a usar el sensor de huellas digitales. Estas medidas dificultan que los ladrones husmeen el dispositivo. Muchos dispositivos también se pueden configurar para borrar todos los datos después de un número determinado de intentos incorrectos para desbloquear la pantalla. Asegúrese de que haya una forma de borrar dispositivos móviles de forma remota si alguna vez se pierden. Eso podría lograrse a través de una plataforma de administración de dispositivos móviles para toda la empresa, o pidiendo a los usuarios que activen la configuración relevante en el sistema operativo de su dispositivo móvil.
Capacitar empleados
Sí, las contraseñas no son perfectas, pero son lo que tenemos ahora, por lo que debemos trabajar con el sistema. Eduque a los empleados para asegurarse de que utilizan contraseñas seguras en todas las cuentas, hardware y servicios. Proporcione un inicio de sesión único siempre que sea posible y analice la autenticación de dos factores donde tenga sentido. Si tiene una cuenta de Google Apps, por ejemplo, tiene sentido activar la autenticación de dos factores, especialmente si tiene muchos empleados que inician sesión de forma remota. Y asegúrese de que todas las contraseñas de los usuarios se cambien con frecuencia. Si el inicio de sesión único no es posible y usar contraseñas seguras y cambiarlas con frecuencia suena difícil (lo es), considere usar un administrador de contraseñas.
Extienda la educación sobre contraseñas a sugerencias de contraseñas para que los usuarios sepan por qué no deberían usar información real. En lugar de poner el modelo del primer automóvil o el apellido de soltera de su madre, que podría extraerse de los sitios de redes sociales y otras fuentes de información, se debería alentar a los usuarios a mentir y dar una respuesta falsa que solo ellos sabrían.
Enseñe a los empleados las señales de advertencia de phishing, para que al menos algunos sean detenidos y desechados. El objetivo no es necesariamente lograr que los empleados identifiquen cada correo electrónico de phishing, sino que puede hacer que los empleados se pregunten si algunos mensajes son reales o no. Haga hincapié en que la suplantación de identidad puede apuntar primero a cuentas personales en línea, antes de respaldar la información corporativa. TI no debería depender de los usuarios para detener el 100 por ciento de todos los ataques de phishing, pero si los usuarios tienen la costumbre de informar mensajes sospechosos, eso puede ayudar a bloquear algunos ataques.
Cree políticas y explique por qué los usuarios no pueden hacer ciertas cosas. Si le preocupa que los usuarios carguen archivos confidenciales a los servicios en la nube, use el filtro web para restringir el acceso a Google Drive, Dropboxlink y el comercio, etc. Si termina haciéndolo, asegúrese de que sus usuarios estén informados sobre por qué existe la política, y lo que es más importante, configure procesos aprobados para compartir archivos y colaborar. No se limite a impedir que los empleados hagan ciertas cosas, deles alternativas para que no se vean tentados a escabullirse.
Asegure todo lo demás
A medida que más y más personas aprovechan la tecnología moderna para trabajar fuera de la oficina, la presión está en la PYME para asegurarse de que sus empleados estén protegidos, los datos estén seguros y que los servidores y sistemas no sean vulnerables a los ataques. Realice copias de seguridad de datos regularmente en todas las máquinas remotas. Mantente alerta y vigila lo que hacen los trabajadores móviles. La seguridad no es solo algo para dentro de las cuatro paredes. Asegúrese de que sus usuarios finales no descarguen e instalen inadvertidamente malware que puede viajar a través de su red.
El hecho de que sea una pequeña empresa no significa que sus datos y empleados no estén en riesgo. Considere dónde están los puntos de peligro y aproveche las herramientas integradas cuando pueda. Incluso dar pequeños pasos es mejor seguridad que no hacer nada en absoluto.
