Por Aamir Lakhani, estratega senior de Seguridad de Fortinet.
Aproximadamente 9 de cada 10 empresas no sólo permiten, sino que confían en que sus empleados accedan a aplicaciones empresariales clave a través de sus dispositivos personales. Según el reciente informe del Panorama de Amenazas de Fortinet, el malware basado en Android actualmente representa el 14% de todas las ciber amenazas. Además de los ataques dirigidos, el número de sitios web comprometidos, las campañas de phishing por correo electrónico y los puntos de acceso maliciosos continúan creciendo exponencialmente, infectando a usuarios desprevenidos con spyware, malware, aplicaciones maliciosas e incluso ransomware.
Cuando un dispositivo personal de cualquier empleado es comprometido, éste se convierte en un gran riesgo para su empresa. Además de implementar software de gestión de dispositivos móviles y aplicaciones de seguridad, es fundamental establecer un programa de concientización sobre ciberseguridad que le brinde a los empleados información importante sobre cómo mitigar y evadir estos riesgos.
Fortinet destaca cinco puntos clave que deben formar parte de cualquier programa de concientización de ciberseguridad:
1. Tenga cuidado con redes Wi-Fi públicas
Si bien la mayoría de los puntos de acceso a redes Wi-Fi públicas son completamente seguros, éste no siempre es el caso. Los delincuentes a menudo utilizan sus dispositivos como puntos de acceso públicos, especialmente en lugares comunes como restaurantes, cafeterías o durante eventos grandes. Entonces, cuando un usuario se conecta al Internet por este medio, el delincuente puede interceptar todos los datos trasmitidos entre la víctima y su sitio de compras en línea o su banco.
Muchos dispositivos inteligentes también buscan automáticamente puntos de conexión conocidos, como el Wi-Fi de casa. Los ataques más recientes observan este comportamiento y simplemente preguntan al dispositivo qué está buscando. Para evadir este problema, es una buena práctica que los usuarios desactiven su conexión de Wi-Fi y Bluetooth hasta que la vuelvan a necesitar.
Los usuarios también deben considerar la opción de instalar un software de red privada virtual (VPN) para garantizar una conexión segura y encriptada a servicios conocidos.
2. Utilice contraseñas más seguras
Otro error que cometen los usuarios es utilizar la misma contraseña para todas sus cuentas en línea, generalmente porque recordar una contraseña para cada una de ellas resulta imposible. El problema con esta tendencia es que si un delincuente logra interceptar esa contraseña, tendrá acceso a todas las cuentas del usuario, incluyendo cuentas en sitios bancarios y sitios de compras.
La mejor opción es utilizar un sistema de gestión de contraseñas que almacene el nombre del usuario y la contraseña de cada una de sus cuentas, requiriendo al usuario solo tener que recordar una contraseña para acceder a las demás. Por lo tanto, es muy importante garantizar que esta contraseña sea especialmente segura y fácil de recordar.
Para estar aún más seguro, considere agregar autenticación de doble factor para cualquier sitio donde se almacenen datos confidenciales. Si bien representa un paso más en el proceso de inicio de sesión, mejorará considerablemente la seguridad de sus cuentas y de sus datos.
3. Reconozca los ataques de phishing
Probablemente le ha reiterado a sus usuarios que nunca hagan clic en los enlaces de anuncios enviados a sus correos electrónicos o publicados en sitios web a menos que comprueben su autenticidad primero. Una mala redacción, gramática deficiente, URL complejas o mal escritas, y un diseño deficiente son indicios clave de un correo electrónico malicioso.
Sin embargo, siempre habrá un usuario que no podrá resistirse a abrir un correo electrónico, descargar un archivo adjunto de alguien que desconoce o hacer clic en un enlace de un sitio web, especialmente cuando incluye una línea de asunto atractiva. Por esta razón, cualquier iniciativa educativa debe complementarse con soluciones eficaces de seguridad para correo electrónico y firewall de aplicaciones web que puedan detectar spam y phishing, validar enlaces y ejecutar archivos en un sandbox, incluso para el correo electrónico personal para garantizar que las amenazas no lleguen al alcance del usuario.
4. Actualice los dispositivos y utilice un software de seguridad
Los usuarios deben tener un sistema de seguridad aprobado por su empresa instalado en cualquier dispositivo con acceso a recursos corporativos. Este software también debe mantenerse actualizado y los escaneos de dispositivos deben efectuarse con frecuencia.
Del mismo modo, los dispositivos de punto terminal deben actualizarse y parchearse con frecuencia. Los controles de acceso a la red deben ser capaces de detectar si el software de seguridad y el sistema operativo están actualizados. De lo contrario, los usuarios deben ser redirigidos a un servidor de reparación para que las actualizaciones necesarias sean efectuadas, o bien puedan ser alertados sobre el estado inseguro de su dispositivo.
5. Monitoree las redes sociales
Los delincuentes tienden a personalizar sus ataques para incrementar las probabilidades que la víctima haga clic en un enlace. El sitio más común para ellos obtener este tipo de información es en redes sociales y la forma más fácil de evitar esto es establecer controles rigurosos de privacidad que únicamente le permitan a las personas preseleccionadas ver su perfil. Los usuarios que prefieran tener un perfil abierto en las redes sociales deben tener mucho cuidado al seleccionar a sus «amigos virtuales».
Mantenga los mensajes de capacitación cortos, claros y constantes
Es esencial desarrollar una estrategia de seguridad completa y eficaz para los usuarios que tienen dispositivos personales conectados a la red. Sin embargo, no cometa el error de agobiarlos con grandes cantidades de información. Algunas de las mejores prácticas que puede seguir incluyen dividir la información en secciones fácilmente digeribles, proporcionar un consejo de seguridad diario, publicar mensajes alrededor de la oficina como en los pasillos o en los espacios comunes, permitir que el comité ejecutivo lo mencione en las reuniones internas, y por último, realizar comprobaciones o inspecciones, así como sus propios correos de phishing, para identificar a los usuarios que puedan necesitar asistencia adicional.