Consejos de seguridad para los gerentes de TI

| |

Con estos consejos, no sólo puedes mejorar la seguridad del entorno informático de la empresa, sino también asegurarte de que los usuarios puedan utilizar la informática de forma segura en el lugar de trabajo.

La protección eficaz de la Tecnología de la Información de las empresas es tan importante como difícil de aplicar. Las medidas de seguridad necesarias incluyen, por un lado, medidas técnicas. Por otro lado, es igual de crucial concienciar y enseñar a los empleados a utilizar la informática de forma segura. Muchos ataques cibernéticos sólo tienen éxito porque se abre un enlace peligroso en un correo electrónico de phishing.

Estos consejos de los expertos en seguridad son una especie de «lo mejor de»: son medidas que valen la pena. Le ayudará a usted y a sus empleados a tomar un enfoque específico de las medidas de seguridad de la tecnología de la información.

Los primeros cinco consejos se centran en medidas técnicas para proteger mejor los servidores y las estaciones de trabajo. Puedes discutir su implementación con tu socio de TI.

Elaborar un inventario de software y hardware

Es una tarea pesada, pero necesaria. Como administrador de TI, haga un inventario de los programas y equipos instalados. Esto incluye estaciones de trabajo con aplicaciones, servidores, teléfonos inteligentes profesionales, pero también impresoras y otros dispositivos en red. Ese inventario sirve de base para tomar una decisión cuando se informa de una nueva violación grave de la seguridad. Dependiendo de las versiones de software utilizadas, es posible determinar rápidamente si la empresa se ve afectada y debe reaccionar, por ejemplo con una actualización inmediata. Siempre que el inventario esté actualizado.

Evitar la instalación de software en el PC del trabajo

Los empleados tienen diferentes tareas que requieren un software diferente. La instalación de software especial sólo debe tener lugar bajo el control del director de informática. Esto evita que los empleados instalen programas de dudosa procedencia y por lo tanto introduzcan malware. Véase el consejo «No hay derechos de administrador local para los usuarios».

Compruebe la conexión de los dispositivos externos y privados a la red

Las computadoras portátiles y los teléfonos inteligentes privados, así como los dispositivos de visita representan un riesgo para la seguridad, ya que se desconoce su estado. ¿Están instaladas todas las actualizaciones actuales? ¿O el ordenador ya está infectado con virus?

Cuando se utilizan dispositivos privados en la oficina, deben instalarse en una red separada sin acceso a las aplicaciones de la empresa ni a los datos críticos, por ejemplo, en una WLAN para invitados.

En el caso de las estaciones de trabajo, el acceso a través de las memorias USB debería estar sujeto a ciertas reglas: o bien la conexión debería estar completamente bloqueada o bien la memoria debería al menos ser revisada en busca de virus cuando se conecta.

Configuración segura de servidores y estaciones de trabajo o hardening

La mayoría de las configuraciones básicas del sistema operativo, tanto para la estación de trabajo como para los servidores, son demasiado permisivas en cuanto a la seguridad. Por eso los sistemas deben ser más seguros después de la instalación básica, lo que en la jerga se denomina «endurecimiento». En esta ocasión, por ejemplo, se eliminan los servicios innecesarios, se definen los requisitos de longitud de las contraseñas y se restringen los derechos de acceso.

Con los Puntos de Referencia de la CIS, el CIS (Center for Internet Security) ofrece toda una serie de instrucciones en inglés que corresponden a las prácticas actuales («best practices»). Los propios fabricantes de sistemas operativos ofrecen apoyo en este ámbito, por ejemplo, Microsoft en esta guía de configuración de seguridad de Windows 10.

Revisar periódicamente la red corporativa en busca de vulnerabilidades

¿Qué tan segura es su red corporativa y los dispositivos conectados a ella? Un escáner de vulnerabilidades comprueba la infraestructura de la tecnología de la información y detecta posibles puntos débiles, ayudando así a definir las medidas de seguridad necesarias. Los escaneos regulares ayudan a la compañía a monitorear los riesgos reales y determinar el nivel de seguridad.

Hay una amplia gama de software de escaneo disponible por una tarifa o gratuitamente. Por ejemplo, la Greenbone Community Edition, antes OpenVAS, está completamente disponible. The Open Web Application Security Project (OWASP) es un buen punto de partida para aplicaciones web como sitios web o tiendas en línea.

¿Cómo se puede capacitar a los usuarios para que utilicen la tecnología informática de manera segura?

La seguridad informática de una empresa depende de cómo la utilicen sus empleados. Aunque las medidas técnicas le permitirán bloquear muchos ciberataques, esto no impedirá que un correo electrónico de suplantación de identidad caiga en el olvido o que un empleado responda a un correo electrónico falso «del jefe» con un pago urgente y que desencadene una transferencia bancaria. Como director de informática, la única manera de evitar tal situación es formar a los empleados y explicarles la importancia de estas medidas. Los siguientes cinco consejos te ayudarán a hacerlo.

Eligir contraseñas seguras

Según el sitio web «Have I been pwned«, esta contraseña aparece más de 23 millones de veces en los datos de cuentas robadas. Es la contraseña favorita de los usuarios de Internet, a saber, «123456».


Las contraseñas son el principal problema de seguridad. Para mayor comodidad, muchas personas utilizan una contraseña predeterminada fácil de recordar para todas las cuentas. Esto es tan comprensible como peligroso, ya que facilita a los hackers el acceso a diferentes cuentas. Crear reglas para las contraseñas:

  • Las contraseñas de los usuarios deben tener al menos 12 caracteres de longitud y las contraseñas de los administradores (para la administración del sistema) deben tener al menos 16 caracteres de longitud.
  • Las contraseñas deben contener al menos letras mayúsculas y minúsculas y números.
  • Cada cuenta (acceso a la computadora, acceso a la nube, ERP, CRM, etc.) debe tener su propia contraseña.
  • Para conectar a los empleados a los ordenadores, puede utilizar opcionalmente el reconocimiento facial de Windows 10 y los escáneres de huellas dactilares de Windows Hello.

Usa un administrador de contraseñas en la empresa. Los empleados pueden almacenar todas las contraseñas allí, no sólo para las cuentas en línea. Y pueden generar contraseñas aleatorias seguras. Esto facilita a los empleados, que sólo tienen que recordar dos contraseñas: la contraseña para acceder al ordenador y, por supuesto, el administrador de contraseñas.

Sensibilizar y formar a los trabajadores en seguridad informática

Las reglas para las contraseñas fallarán si son impuestas por la administración. Concienciar a los empleados de que esta medida es necesaria por razones de seguridad informática y operacional. Explicar y ayudar, especialmente a los empleados que tienen dificultades. Ofrecerse a contactar con usted en caso de duda, declarando que esto no conlleva ninguna consecuencia negativa para ellos. Aumentar la conciencia toma su tiempo, pero es muy necesario.

Concienciar a los usuarios de los peligros de los correos electrónicos de phishing

Desafortunadamente, los correos electrónicos de phishing que secuestran los datos de acceso o intentan instalar malware son algo cotidiano. Haga saber a sus empleados que es mejor hacer demasiadas preguntas que al revés. Capacitar a los trabajadores para que reconozcan los correos electrónicos de phishing mostrándoles las características típicas de los mismos.

No se conceden derechos de administrador local para los usuarios

En su trabajo diario, todos los empleados deben utilizar una cuenta de usuario estándar y no una cuenta con derechos de administrador. Esto proporciona un nivel adicional de protección en caso de que una computadora sea infectada por un virus: para establecerse en el sistema, el malware debe tener derechos de administrador.

Derechos de acceso mínimos para el almacenamiento de archivos en la red local y en la nube

Configurar los derechos de acceso a los archivos en las áreas de almacenamiento para que los empleados sólo puedan acceder a los datos que necesitan para su trabajo diario. Formar grupos y crear directorios de producción, ventas, administración, contabilidad y más. Restringir el acceso del grupo a las carpetas relevantes y almacenar los datos de copia de seguridad y de archivo en un lugar separado. Idealmente, esto también evitará que el malware ransomware cifre todos los datos después de un ciberataque.

Previous

Cómo reconocer los correos electrónicos de phishing

Qué hacer en caso de una ataque Ransomware

Next