Cada vez más, las organizaciones se equipan, y es comprensible, con software cortafuegos, antimalware y antivirus...
Y ante los incidentes relacionados con la seguridad que se producen casi a diario y que a veces aparecen en los titulares de los periódicos, es comprensible que se sientan así.
Sin embargo, estos programas solo tienen un interés limitado si no se combinan con una política de sensibilización de los equipos en materia de seguridad y con una formación sobre la gestión de contraseñas.
Sensibilizar a los equipos sobre la ciberseguridad
Podrá utilizar los mejores equipos, el software más reciente y los servicios de los expertos más cualificados, pero nada servirá si no sensibiliza a su personal:
– las buenas prácticas en materia de contraseñas, que se abordan en el párrafo siguiente.
– a los nuevos riesgos (fraude en directorios, fraude al presidente, spear phishing).
– al phishing (o suplantación de identidad en español).
De hecho, independientemente de las medidas que se implementen, nada podrá impedir que uno de los miembros de su personal haga clic en un enlace que active un ransomware en su red.
Por lo tanto, es fundamental formar de manera regular a todas las personas que tienen acceso a un ordenador y/o a un buzón de correo electrónico, ya sean equipos de producción, fuerzas de ventas o administración.
Por cierto, ¿no dice un conocido refrán sobre seguridad que:
La seguridad informática de una empresa es tan fuerte como el eslabón más débil de la empresa.
En otras palabras, si el 99 % de su personal es consciente de los riesgos relacionados con el uso de las redes, basta con que una sola persona (un nuevo empleado, una persona no implicada, un empleado que solo utiliza el ordenador un día al semestre, por ejemplo) no haya recibido formación para que todo el edificio de seguridad corra el riesgo de derrumbarse.
Las contraseñas: la base de la seguridad de su organización
Tanto si eres consciente de ello como si no, en el 90 % de las empresas, las contraseñas:
– A menudo se comparten entre usuarios, sin el conocimiento de los jefes de departamento y, en muchos casos, del director, lo cual es inaceptable.
– generadas por los empleados, suelen ser fáciles de adivinar para un hacker de nivel medio. ¿Lo duda? Pruebe algunas de sus contraseñas en este sitio web. Cuidado, es posible que se asuste.
– Elegidos para el correo electrónico, el acceso al puesto, las puertas de acceso son idénticas o casi idénticas.
Más grave aún, muchos empleados:
– Eligen una contraseña que incluye su ciudad, su fecha de nacimiento, su nombre, su apellido, el nombre de la organización... En resumen, datos que cualquier persona con un poco de paciencia puede averiguar fácilmente. (Así es como un inexperto logró acceder a las cuentas de Barack Obama).
– o, lo que es peor, eligen en el trabajo la misma contraseña que para su dirección de correo electrónico personal...
Imagina lo que podría pasar si se divulgara esa contraseña personal «importada a la organización»...
Formar, sensibilizar y hacer recordatorios. No hay otra solución.
Todas las organizaciones deben formar a su personal en materia de ciberseguridad, contraseñas, riesgos relacionados con el phishing, etc.
De hecho, el 55 % de las organizaciones han anunciado un aumento del presupuesto para 2017, y la tendencia sigue al alza en 2018.
