Consejos de 007 para que su compañía sea tan segura como el MI6
Aunque las organizaciones criminales no tengan los recursos de James Bond, son entidades sofisticadas y bien financiadas, lo que significa que hay que hacer todos los esfuerzos para reducir las amenazas que se ciernen sobre nuestro negocio.
Como ha demostrado James Bond, incluso una organización sofisticada como el MI6, con presupuestos casi ilimitados y todos los artilugios tecnológicos, tiene que tener en cuenta las medidas de seguridad existentes cuando quiere infiltrarse en un sistema o en un edificio. Estas son algunas de ellas:
1.- Credenciales con fecha automática de expiración para las nuevas contrataciones. Aunque su proceso corporativo de contratación no sea tan intenso como el de un agente secreto, al final del día no todo al que se contrata se queda finalmente. Para minimizar el riesgo de accesos no deseados, implante una política que requiera a los administradores de sistemas dar siempre credenciales con fecha de expiración para las nuevas contrataciones, así como para todos los empleados temporales. Ponga una fecha de expiración que sea por ejemplo la del periodo de prueba, pues siempre es más fácil reemitir una nueva credencial que revocar una existente cuando las cosas se ponen feas.
2.- Doble autenticación. El tener múltiples formas de identificación es un estándar aceptado para el acceso a sistemas de alta seguridad, pero es algo que no está reservado sólo para las agencias del gobierno. Si se roban o se accede a las credenciales de los empleados, un sistema de doble autenticación para las aplicaciones con acceso desde internet impedirá su acceso fraudulento. La mayoría de las personas no se dan cuenta que los sistemas de doble autenticación de alto nivel están disponibles hoy para proteger la gran mayoría de la información y que son mucho menos complejas y caras de implantar de lo que se podría pensar.
3.- Cifrado solo para tus ojos. Ya que la comunicación en código o los mensajes auto-destruibles serían muy ineficientes y quizás peligrosos para el día a día, la mejor opción es implantar un sistema que cifre automáticamente los correos electrónicos después de filtrarlos y escanearlos. Para las misiones “top secret”, piense en soluciones en la nube que permitan políticas de cifrado, envío y retorno al emisor, o el borrado de mensajes con contenido inseguro. Como están en la nube no hay que realizar costosas inversiones en hardware, certificados o costosas renovaciones anuales de certificados. Simplemente pague una tarifa mensual por usuario y tenga un cifrado de nivel militar.
4.- Entrenamiento intensivo para todos. Según un reciente estudio de seguridad de Intel, el 96% de los usuarios no puede distinguir entre emails correctos o falsos el 100% de las veces. La razón principal de que los ataques informáticos tengan éxito es que están basados en el error humano, ya sea ignorar una alerta para la instalación de la última actualización de software o la falta de cuidado con los links que se utilizan. Aunque no sea necesario enviarles a un campo de entrenamiento militar, hay muchas formas de mantener la atención de forma periódica en los temas de seguridad, y ver quién necesita más entrenamiento o atención. Se pueden enviar emails falsos a los propios empleados y ver quiénes caen, o dejar abandonados memorias USB no certificadas para ver quién los utiliza en su ordenador. Cargue sólo un mensaje simple explicando cómo el dispositivo utilizado podría haber infectado el ordenador y quizá la red corporativa. El objetivo no es castigar a los empleados, sino mostrarles como un simple fallo o descuido puede poner todo el sistema corporativo en riesgo.
5.- Gestión de accesos e identidades para prevenir los agentes dobles. Los espías no son los únicos que pueden ser agentes dobles. Un reciente estudio de Intermedia descubrió que el 28% de los profesionales de TI habían accedido a sistemas pertenecientes a empleos anteriores después de dejar la compañía, y casi uno de cada cuatro jóvenes afirmó que se llevarían datos de su compañía si pudieran obtener un beneficio con ello. Gracias a las herramientas avanzadas de gestión de accesos e identidades, las empresas pueden no solo monitorizar o desactivar el uso de características específicas dentro de las aplicaciones, sino capturar también pantallazos de acciones específicas y obtener información detallada de lo que hace un usuario una vez que entra en el sistema.
6.- Inicio de sesión único para simplificar la misión en curso. Las empresas punteras están siempre explorando herramientas y aplicaciones nuevas para potenciar y hacer más productivos a sus empleados, pero ni James Bond puede crear y recordar las contraseñas fuertes necesarias para los más de 14 servicios en la nube que de media tienen que acceder los empleados hoy en día. Una solución de inicio de sesión único para el acceso de los empleados a todos los sistemas en que estén autorizados resuelve el problema con una sola contraseña. Las versiones más avanzadas y potentes pueden crear automáticamente contraseñas fuertes y seguras que se cambian periódicamente sin que el usuario siquiera lo sepa. Esto incrementa la seguridad y la productividad, y todo lo que los empleados tienen que recordar es si les gusta el Martini agitado o revuelto.
7.- Sus suministradores son sus partners en la batalla. La CIA, el MI6, el FBI, todos trabajan de forma ocasional en una misma misión, y así deberían hacer las empresas con sus suministradores. Muchas empresas no se dan cuenta de que los suministradores con los que trabajan pueden ayudarles, y también pueden ser un riesgo. Si piensa almacenar información de la compañía en la nube, trabaje con un suministrador que tenga una buena reputación de seguridad y le ayude a migrar y proteger los datos.
