Hace unos días os contábamos que ESET había lanzado su «Operación Renove para Empresas», una promoción que entre otras cosas permite a las empresas acceder a una de las mejores soluciones de seguridad del mercado, con un 30% de descuento. Además sólo por informarte y rellenar tus datos, podrás descargarte de forma gratuita la «Guía del empleado seguro».
Hoy os queremos dar más datos sobre esta guía, un documento técnico que pone de relieve las mejores prácticas para trabajar con seguridad dentro de nuestra organización. A continuación os mostramos algunas de las claves más interesantes en áreas como correo electrónico, navegación web, redes sociales, dispositivos móviles o uso de contraseñas. Para conocer el resto, deberás rellenar tus datos. ¡Sólo te llevará un minuto!
Correo electrónico
Normalmente las empresas suelen contar en sus servidores herramientas anti-spam que filtran gran parte de la información maliciosa que puede llegar a nuestra bandeja de entrada. No obstante, en este terreno es el propio empleado en el que casi sin saberlo puede poner en riesgo la seguridad de su empresa. Al darse de alta en redes sociales, foros y otros espacios con su dirección corporativa, está propiciando nuevos potenciales vectores de ataque a la red de la organización.
Porque este es una de las claves del mail corporativo, un ataque no sólo va afectar a la cuenta del usuario afectado, sino que puede extenderse a toda la organización que se mantiene conectada. La forma más sencilla de evitar estos ataques es disponer de una cuenta personal totalmente independiente (Gmail, Yahoo, etc.) y desde allí vigilar también el tipo de correos que recibimos.
Navegación web
A la hora de conectarnos a Internet en los equipos de nuestro trabajo, podemos encontrarnos ante tres tipos de escenarios: empresas que restringen por completo la navegación en Internet, empresas que bloquean únicamente determinados contenidos (redes sociales, periódicos deportivos, etc.) y otras empresas que mantienen un acceso abierto y libre para cualquier web.
El primero de los casos es en realidad el más contraproducente, ya que Internet puede ser una gran herramienta de trabajo si se utiliza de forma profesional. En los otros dos escenarios, la mejor medida de seguridad es utilizar el sentido común: utilizar la web como herramienta de trabajo, no navegar por sitios inadecuados (y no sólo por seguridad, sino porque todo deja rastro) y hacer caso de los avisos que nos dan los navegadores cuando nos informan de que tal vez estamos entrando en un sitio peligroso.
Redes sociales
En el caso que la empresa disponga de presencia en redes sociales, es probable que los empleados también tengan la posibilidad de acceder a plataformas como Twitter o Facebook. En ocasiones, también se les dará la posibilidad de participar en las redes sociales de la empresa, contribuyendo de esta forma a desarrollar la reputación on-line de la empresa.
Si este es el caso, la dirección de marketing debe ser muy clara a la hora de informar a los empleados sobre los contenidos que se pueden compartir, la información que en cambio es confidencial, si el anuncio de un lanzamiento tiene que esperar, etc. Por su parte los empleados tienen que tener un canal de comunicación ágil con marketing, de modo que siempre puedan saber qué pueden y qué no pueden hacer en las redes sociales de la empresa.
En el caso de un uso personal de redes como Twitter o Facebook, es aconsejable tener especial cuidado con mensajes privados o públicos que pudieran ser sospechosos, normalmente acompañados con elocuentes titulares como «El mejor vídeo que jamás has visto» y que en ocasiones esconden malware tras el enlace.
Dispositivos móviles
En determinados puestos, las empresas proporcionan a sus empleados smartphones o tablets para emplear en su trabajo. Normalmente en estos equipos va a almacenarse todo tipo de información confidencial, por lo que el trabajador debe extremar las precauciones, procurando que en caso de pérdida o daño se minimicen los riesgos. ¿Qué medidas pueden tomarse?
Desde ESET recomiendan colocar siempre una contraseña de acceso al teléfono (dificultaremos el acceso), descargar apps únicamente contrastadas y desde sitios de confianza, contar con una solución de seguridad adaptada a nuestro dispositivo (como con ESET Mobile Security) y cifrar la información que contiene nuestro terminal.
Las mismas prácticas son válidas en el caso que se establezca una política BYOD (Bring Your Own Device), en la que es el empleado el que aporta su terminal como herramienta de trabajo, normalmente a cambio de una contraprestación económica.
Redes WiFi públicas
En ocasiones un empleado puede tener la necesidad de conectarse a una red WiFi pública para llevar a cabo parte de su trabajo (por ejemplo se encuentra en una cafetería, en un aeropuerto, etc.). Tiene que ser consciente de que la seguridad de una WiFi pública depende de los controles que tenga dicha red, que pueden ser incluso inexistentes (como WiFi sin contraseña).
Lo ideal en estos casos es bien proporcionar una conexión 4G a los empleados de la empresa para sus portátiles, bien contratar bonos para hotspots seguros, que suelen estar distribuidos en los principales puntos de la ciudad. En el caso de que no sea posible, es importante no acceder a información confidencial mientras estamos conectados a una WiFi pública (por ejemplo, al correo corporativo de la empresa), ya que la red puede estar expuesta y que la información viaje sin ningún tipo de cifrado.
En caso de que utilicemos un equipo público para acceder a nuestra empresa (en un cibercafé por ejemplo), la mejor recomendación es la de evitar abrir archivos confidenciales de forma local.
Contraseñas
Nunca nos cansaremos de repetirlo. Una única contraseña débil puede ser la puerta de entrada para un atacante en toda nuestra organización. No importa que el resto sean fuertes, todas nuestras contraseñas deben ser razonablemente seguras. Y por razonablemente seguras no nos referimos a ninguna de las que mostramos en el artículo «Las peores 25 contraseñas del 2014».
Una contraseña razonablemente segura debe contener al menos diez caracteres, en los que se combine el uso de minúsculas, mayúsculas y signos especiales (/&%$ etc.). A ser posible no deben estar relacionadas ni con nuestra identidad, ni con datos que puedan estar conectados con nosotros (fecha de nacimiento, nombre de mascota, etc.).
Sin embargo tan poco debemos crear una contraseña tan complicada que sea imposible de recordar. ¿La clave? Crear contraseñas fáciles de recordar pero difíciles de descifrar. Y por supuesto, todo irá mejor si utilizamos contraseñas diferentes para cada uno de nuestros servicios.
Imagen: Shutterstock