jueves, 27 de marzo de 2008

15 pautas para cuidar la información de su empresa

Ninguna solución de seguridad es infalible si los usuarios no son conscientes de los riesgos a los que a diario exponen a las empresas y a su propia información.

Con el uso de Internet, el e-mail, los mensajeros instantáneos y los sistemas “colaborativos” (que permiten compartir archivos) los negocios se aceleran y se gana en productividad. Pero también aumenta el riesgo de intrusiones y ataques contra el activo más valioso de una empresa: la información. Los especialistas en seguridad informática Mateo Dombroski, de Trend Argentina, Juan Pablo Daniello, de I-Sec y Antonio Moraes, de RSA, brindan consejos para proteger los datos que se guardan en las redes corporativas y las computadoras personales.

ESTABLEZCA UNA POLÍTICA DE SEGURIDAD
Una buena práctica en toda empresa es redactar un código para el buen uso del e-mail y las demás herramientas informáticas, y entregarlo a cada empleado. Muchas empresas se preocupan por los ataques externos, cuando en realidad la mayoría de los robos y pérdidas de información ocurren por fallas internas. Una encuesta realizada por RSA, la división de Seguridad Informática de la compañía EMC, determinó que la mitad de los empleados envía con frecuencia documentos de trabajo a su dirección de mail personal. Una proporción similar accede a documentos laborales utilizando conexiones a Internet inalámbricas (consideradas menos seguras) o desde locutorios y cibercafés (ver recuadro). En tanto, un estudio de la consultora Trend Micro asegura que “alrededor del 82% de las pérdidas de información sensible o confidencial de una empresa se produce en manos del personal interno de la misma”.

CREE CONTRASEÑAS SEGURAS
La contraseña es la llave de acceso a toda la información que tiene la computadora. Al crearla, no utilice nombres de familiares, fechas y números que estén relacionados con sus datos e historia personal. Si utiliza palabras comunes, intercale números, dado que existen mecanismos para descifrar este tipo de claves en cuestión de segundos.
Utilizar las iniciales de una frase (la estrofa de una canción o poema, el título de un libro es lo más recomendable). Debe tener por lo menos ocho caracteres y si quiere otorgarle mayor seguridad, intercale alguna letra mayúscula. No obstante, si se ha tomado el trabajo de elaborar una contraseña segura y al mismo tiempo recordable, no la deje anotada debajo del teclado o en un papelito pegado al monitor. Por último, cambie su contraseña por lo menos cada seis meses.

PROTEJA LA INFORMACIÓN MÁS SENSIBLE
Esto implica realizar un análisis de la información que circula en la empresa, y clasificarla según su grado de confidencialidad y relevancia. Luego se puede recurrir a algún software de encriptación para proteger la información que es confidencial y crítica para el negocio (datos de los clientes, planillas de precios, el plan de marketing). Hay muchos proveedores que ofrecen este servicio, y la inversión vale la pena, teniendo en cuenta el perjuicio que puede causar la llegada de esta información a la competencia. Otro mecanismo de seguridad para el acceso a información sensible es la doble validación (solicitar dos contraseñas), o la utilización de un dispositivo llamado token, del tamaño de un llavero, que genera claves numéricas aleatorias para entrar a un sistema.

NO ABUSE DEL E-MAIL
El correo electrónico es la principal vía de entrada de virus y de Spam. A través de él muchos hackers roban información personal. Por lo tanto, no abra adjuntos si desconoce al remitente del mensaje, al menos que esté seguro de que su programa antivirus se encuentra actualizado y activado. Si recibe un correo no deseado, no responda solicitando ser dado de baja, dado que quienes envían spam se sirven de esto para confirmar direcciones. No se sume a las cadenas de mails, ni responda encuestas donde se le solicita información personal. Si tiene que enviar un mensaje a varias personas, utilice la opción Cco (con copia oculta), de modo de no revelar las direcciones de todos los destinatarios. Y al responder un mail, hágalo sólo al remitente, de manera de no aumentar inútilmente el tráfico de mensajes. Una vez que leyó y respondió un mensaje, archive la información si es necesario y bórrelo, de manera de liberar espacio en la bandeja de entrada.

BLOQUEE EL EQUIPO CUANDO NO LO USE
Si deja documentos, su casilla de mail o el mensajero instantáneo abiertos mientras se va almorzar o a visitar clientes, está exponiendo la información a otros ojos, no siempre discretos. Para evitarlo, conviene configurar el sistema operativo de modo que el equipo se bloquee automáticamente cuando pasan varios minutos sin utilizarlo. Inmediatamente aparece un protector de pantalla y hay que volver a loguearse.

ESTABLEZCA CRITERIOS PARA COMPARTIR LA INFORMACIÓN
Si utiliza una computadora pública, verifique que el logon para mensajería instantánea no esté configurado en automático. Si se trata de una computadora que usan varias personas, lo mejor es crear sesiones de usuarios distintos (esto es perfectamente posible con sistemas operativos Windows XP y posteriores). Si trabaja en equipo, utilice las herramientas de uso colaborativo en lugar de enviar y recibir documentos por mail. Pero asegúrese de desactivar las propiedades de uso compartido cuando ya no las utilice.

NO DESCARGUE SOFTWARE GRATUITO
Salvo que esté absolutamente seguro de su procedencia. Las descargas ilegales de software son un vehículo usual de virus y programas espías que roban información. Por otra parte, el software pirata no ofrece soporte técnico ni actualizaciones, por lo que resulta mucho más vulnerable a ataques externos. Los programas ejecutables como los protectores de pantalla y juegos pueden tener ocultos archivos maliciosos que dañan el sistema o capturan información sin que el usuario lo advierta. No reenvíe ni comparta archivos sospechosos con amigos o compañeros de trabajo. Podría, sin quererlo, contribuir a infectar otras máquinas.

TOME PRECAUCIONES PARA COMPRAR ON LINE
Para hacer compras por Internet de forma segura hay que tener en cuenta tres pautas importantes: acceder siempre desde la computadora personal, hacerlas solamente en portales conocidos y no enviar información clave como los números de cuenta y de tarjeta por mail. Transcriba las cifras una por una en lugar de copiar y pegar desde otro archivo. Una vez concluida la operación, guarde el comprobante y asegúrese de desconectarse correctamente del sitio. Las mismas precauciones rigen para la operatoria bancaria on line. Verifique si se trata de un sitio seguro (suele aparecer un ícono con un candadito).

UTILICE ANTIVIRUS Y ANTISPAM
Es la única forma de mantenerse a salvo de los virus más frecuentes. Muchas compañías ofrecen versiones de prueba de estos programas, o sus actualizaciones pueden bajarse gratuitamente de Internet. Existen productos que engloban la protección contra virus, troyanos (programas que vienen dentro de otros y destruyen archivos o comprometen la seguridad), spyware y correo spam. También es preciso contar con una solución de seguridad firewall que bloquea el acceso de usuarios no autorizados al sistema.

CONOZCA LAS TRETAS DE LOS HACKERS
La creatividad para el e-fraude está a la orden del día. Una de las modalidades clásicas es el Phishing. Consiste en el envío de mails apócrifos que parecen provenir de entidades bancarias o financieras, solicitando información personal para actualizar las bases de datos, o se solicita que ingrese a un sitio web (falso) para dejar sus datos. El Farming tiene el mismo objetivo y consiste en la construcción de un sitio web de empresas conocidas, en el que el usuario es invitado a dejar sus datos para participar de promociones o juegos. Esta técnica fue evolucionando y hoy se presenta de forma combinada, dando lugar al Vishing (Voice Phishing): en lugar de ingresar a una página web, se pide al usuario que llame a un número telefónico y digite su número de tarjeta (esta modalidad utiliza telefonía IP). Otra variante es el Smishing (el procedimiento es el mismo, pero a través de un mensaje de texto se informa que el banco está ofreciendo servicios para operar sus cuentas a través del celular). Lo mejor que se puede hacer ante estas amenazas es estar informado y ante la menor duda, chequear los datos de la empresa o banco que envía los mensajes “sospechosos” llamando a un teléfono que figure en guía.

ACTUALICE CON PARCHES SU SISTEMA OPERATIVO
Los fabricantes de los sistemas operativos, exploradores y otros programas importantes en Internet constantemente producen actualizaciones de los productos, que se presentan como parches de seguridad. Por eso es importante contar con software legal, enviar los reportes de errores para que el fabricante pueda crear parches en base a ellos y chequear que la descarga de estas actualizaciones esté puesta en forma automática. De todos modos, algunas actualizaciones debe realizarlas el usuario por sí mismo. Para estar seguro de que cuenta con las últimas versiones de estos programas, visite periódicamente los sitios web de las empresas y descargue los parches disponibles.

HAGA COPIAS DE SEGURIDAD
Los hackers y espías no son la única amenaza a su información personal. Los desastres naturales existen y la falla de los equipos también. Es mejor estar preparado contra rayos, inundaciones y subidas de voltaje haciendo periódicamente copias de respaldo (backup) de la información más importante. Hay opciones virtuales para alojar la información y poder recuperarla en forma remota desde otra computadora. Otra posibilidad es utilizar un medio magnético extraíble que se pueda almacenar en un lugar más o menos remoto.

ESTABLEZCA UN PLAN DE CONTINGENCIAS
Ante un imprevisto como un corte energético, o una catástrofe como un incendio o terremoto, es importante contar con un plan que permita restablecer las operaciones. Si bien esto es obligatorio en algunos sectores como bancos y entidades financieras, toda empresa debería delinear una serie de pasos a seguir para retomar la continuidad del negocio al menor costo posible. Las consultoras especializadas podrán ayudarlo a delinear una estrategia, de acuerdo a las características de su empresa.

CONOZCA SU RESPONSABILIDAD
Documéntese sobre la legislación vigente (en cuanto a normas de privacidad en los e-mails corporativos, por ejemplo) y responsabilidades que le correspondan como dueño o ejecutivo de una empresa, en caso de robo de información que pueda afectar a los usuarios, clientes y proveedores.

USE EL SENTIDO COMÚN
Más allá del conocimiento de las normas y de los sistemas de protección que puedan instalarse, el costado más vulnerable para los ataques y robos informáticos es siempre el de las personas. La información celosamente custodiada mediante passwords y códigos de encriptación puede quedar accesible en la bandeja de salida de la impresora. Y el antivirus más poderoso puede fallar si el usuario de la computadora se olvida de actualizarlo, deja su password a la vista de todo el mundo, es un adicto a las cadenas de mails o se la pasa descargando juegos y salvapantallas de dudosa procedencia.

No hay comentarios: