Cinco errores comunes de seguridad que puede evitar

Las empresas gastan enormes cantidades de tiempo y dinero en sofisticadas técnicas de ciberseguridad. Pero a veces los mayores errores de seguridad que cometen se esconden a simple vista. Si desea mantener su empresa lo más segura posible contra los ciberataques, debe evitar los siguientes cinco errores comunes de seguridad.

Error № 1: Ser descuidado con las cuentas de administrador

Es probable que su empresa tenga muchas cuentas de administrador, lo que otorga a algunos empleados un control sin restricciones sobre el hardware y servicios vitales y esto supone un peligro, dice Rob Clyde, socio gerente de Clyde Consulting y presidente de la junta directiva de ISACA, una organización sin ánimo de lucro dedicada a la seguridad de la información.

Clyde llama a las cuentas de administrador “la parte más vulnerable de toda organización”. Explica: “Los administradores tienen privilegios completos y a menudo, tienen acceso a las claves del reino en los entornos virtuales y en la nube. Eso significa que un hacker que obtiene acceso a una cuenta de administrador puede literalmente apoderarse de toda una empresa y sin embargo, los ataques dirigidos a los administradores suelen ser pasados por alto”.

Recomienda que las organizaciones reduzcan el número de cuentas de administrador y se aseguren de que solo las que las necesitan las obtengan. También sugiere agregar seguridad granular, para que cada cuenta solo tenga acceso a los recursos que realmente necesita para hacer su trabajo.

Finalmente, según Clyde, la empresa debe considerar requerir una aprobación secundaria para ciertas tareas, como eliminar todas las máquinas o contenedores virtuales. De esa manera, incluso si los hackers obtienen acceso a una cuenta de administrador, no podrán hacer tanto daño, porque otros administradores de la organización tienen que autorizar acciones de alto riesgo.

Error № 2: Omitir un marco integral de gestión del riesgo

Las empresas suelen crear un conjunto de sistemas y procedimientos de seguridad, pero no tienen en cuenta cómo los ciber riesgos afectan a toda la organización. Por lo tanto, la ciberseguridad es vista como un problema puramente técnico que requiere atención solo del departamento de TI, en lugar de toda la empresa. ¿El resultado? Las empresas son menos seguras porque no todos los grupos e individuos pueden ser conscientes de los riesgos y como estar en guardia contra ellos. Así lo dice Chris Dimitriadis, expresidente de la Junta Directiva de ISACA.

Dimitriadis dice que un marco integral de administración de riesgos debe describir claramente cómo los ciber riesgos se traducen en riesgos empresariales y cómo pueden afectar a la empresa. Los riesgos son altos ya que las organizaciones pueden arriesgar millones de dólares en costos de reputación y la pérdida de confianza de los clientes. De esa manera, toda la compañía, de la junta directiva hacia abajo, estará al tanto de los riesgos y será más probable que los evite.

Error № 3: No parchar

Probablemente haya escuchado esto más veces de lo que le insistieron de niño en que se tomara la sopa, pero no importa: Asegúrese de mantener sus sistemas parchados y actualizados. Clyde y Dimitriadis subrayan la importancia de lo que debería ser una parte habitual de la rutina de seguridad preventiva de una empresa. Sin embargo, muchas organizaciones siguen olvidándose de incorporarlo como práctica estándar. Hay innumerables ejemplos de vulnerabilidades sin parches que llevan a ciberataques exitosos, con daños que suman cientos de millones de dólares.

“Los malos saben cuáles son todas las vulnerabilidades, es información pública”, dice Clyde. “Los puntos vulnerables están expuestos en Internet y todos pueden verlos y usarlos. Así que hay que estar atentos para mantener los sistemas actualizados”.

Error № 4: Pasar por alto la seguridad de los dispositivos de IdC

Es fácil para las empresas olvidar que sus dispositivos del “Internet de las cosas” o IdC, como sensores y cámaras de vigilancia, son un objetivo muy grande y tentador para los hackers y pueden ser explotados fácilmente. Clyde dice que las empresas deben tratarlos con el mismo tipo de seguridad que aplican a los servidores y otros sistemas informáticos. Eso significa no solo asegurarse de que están protegidos por elementos como los firewalls, sino también mantenerlos parchados y cambiar sus contraseñas predeterminadas.

Incluso esto podría no ser suficiente, dice. Los fabricantes de IdC son conocidos por pasar por alto la seguridad y algunos dispositivos son intrínsecamente inseguros, pueden tener contraseñas predeterminadas que no se pueden cambiar o los dispositivos no se pueden actualizar automáticamente. Por lo tanto, las empresas deben revisar todos los dispositivos de IdC que poseen y si no pueden mantenerlos seguros, “hay que tirarlos y sustituirlos”, afirma Clyde. Además, las empresas deben asegurarse de que cualquier nuevo dispositivo de IdC que compren pueda protegerse adecuadamente.

Error № 5: Escatimar en la capacitación

La mejor protección contra hackers y filtraciones de datos es un personal instruido sobre los peligros de la ciberseguridad. Pero si bien esta es la primera línea de defensa de la organización, la gran mayoría de las empresas no han inculcado una  cultura sólida de ciberseguridad. Clyde apunta a un estudio de ISACA, hecho en 2018, en el que el 95 por ciento de los profesionales de seguridad encuestados dijo que existe una brecha entre la cultura de seguridad que quiere su empresa y la cultura de seguridad que efectivamente tienen.

La mejor manera de inculcar una cultura de tomar conciencia sobre la ciberseguridad es a través de la capacitación y la capacitación no significa seminarios aislados a los que los empleados asistan a regañadientes y de los que se olvidan de inmediato. Significa trabajo activo y continuo.

“La capacitación contra el phishing es particularmente importante debido a la frecuencia de las intromisiones en las empresas”, continúa Clyde. “Para que la capacitación sea exitosa, hay que mandar correos electrónicos de phishing no dañinos a los empleados y luego medir cómo responden ¿Cuántos cayeron en la trampa e hicieron clic? Y luego hacer más entrenamiento, hasta que la gente responda adecuadamente”.