Conforme las tecnologías digitales penetran en nuestras vidas y en las compañías, aumenta el riesgo de comprometer la seguridad de la información, tanto personal como empresarial, con niveles de severidad que pueden impactar gravemente la imagen, el negocio o la integridad.
No se trata de paranoia, la ciber seguridad es una realidad cuyo descuido, por más pequeño que sea, ha costado millones de dólares en pérdidas económicas y ha servido para estafar, exponer, presionar y destruir, tanto vidas como empresas. La tradicional y errada concepción de protegerse únicamente mediante software de antivirus dejó de tener sentido.
Así como hemos aprendido a velar por la seguridad de nuestros bienes tangibles y disminuir la posibilidad de daño a nuestra integridad física y de nuestra familia, la realidad que enfrentamos hoy nos obliga a preocuparnos también por la seguridad de las tecnologías de información.
Aunque no existe ni habrá una lista definitiva de medidas para resguardar la seguridad informática, las siguientes prácticas podrán servir como punto de partida para la definición de políticas, procedimientos o lineamientos que pueden ser adoptados tanto en el orden personal como empresarial.
General
Las siguientes recomendaciones puede considerarlas como principios fundamentales aplicables en cualquier caso:
- Identificar qué datos son sensibles para entonces poder definir cómo protegerlos
- Reconocer las técnicas comunes usadas por atacantes para vulnerar la seguridad
- Disminuir la exposición de los medios por los que puede ser vulnerado o atacado
- Dudar de comunicaciones, equipos, personas, sitios y aplicaciones que no conoce
- Evitar la transferencia de datos bajo conexiones no seguras o no confiables
- No compartir datos sensibles con otros, salvo que le garanticen su seguridad
- Muchas filtraciones de datos sensibles ocurren por engaños, sea desconfiado
Navegación
La mayoria del tiempo los usuarios de redes navegan por Internet, leen su correo electrónico, buscan cosas, etc.
- Bloquee anuncios en sitios Web usando extensiones como AdBlock Plus o similares
- Revise cada URL que visita para evitar que sean sean sitios confiables, no trampas
- Confirme la identidad y autenticidad usando los certificados SSL de los sitios Web
- Evite almacenar contraseñas o datos de tarjetas de crédito en el navegador Web
- Limpie frecuentemente el historial, cookies y caché de su navegador Web
- Use navegación privada para acceder a sitios sin dejar rastro en su equipo
- Revise a qué le hace click y qué datos está suministrando en los sitios Web
- Si aún piensa en almacenar contraseñas en el navegador, use contraseña maestra
- No ejecute software descargado de Internet sin confirmar su autenticidad y qué hace
Comunicación
Toda transferencia de datos fuera de sus dispositivos requiere una conexión de red a Internet u otras redes.
- Evite redes (WiFi, Ethernet, Bluetooth) públicas para procurar no ser interceptado
- Verifique que los DNS, puertas de enlace y otros dispositivos de la red son confiables
- Utilice firewalls locales o en la red para restringir la entrada o salida de conexiones
- Emplee protocolos de comunicación seguros (SSL, SSH, etc) para transferencias
- Monitoree las conexiones entrantes y salientes detectando comportamientos extraños
- Revise que los mapeos locales entre direcciones IP y nombres de dominio sean correctos
- Si administra o configura una red inalámbrica, use una contraseña realmente segura
- Permita conexiones en su red a dispositivos previamente registrados únicamente
Autenticación
Con frecuencia, muchos sitios Web le permiten autenticarse usando algún otro servicio de su confianza, como Google, Facebook, OpenID, etc.
- Use servicios de autenticación en los que confíe en vez de crear cuentas inviduales
- Prefiera servicios de autenticación con autenticación de 2 factores
- Prefiera servicios de autenticación que controlen la autorización a aplicaciones
- Revise que el mecanismo de recuperación de contraseña sea confiable para usted
- Nunca almacene contraseñas, prefiera siempre recordarlas en su memoria
- Al emplear llaves digitales para autenticación, asegure dónde las almacena
- Use contraseñas difíciles de inferir y memorizar para las personas
- No emplee fechas, nombres o palabras en contraseñas que puedan luego ser adivinadas
- Valore usar un generador aleatorio de contraseñas seguras
- Cambie las contraseñas a sus equipos o servicios frecuentemente, mínimo una vez al año
Dispositivos
Medidas aplicables a los dispositivos de computación que suele operar para navegar o acceder a aplicaciones (móviles, tablets, notebooks, wearables, etc).
- Mantenga su sistema operativo siempre actualizado a la versión más reciente
- Use un software antivirus que le ayuda a detectar y contrarrestar actividades maliciosas
- Evite usar instaladores del sistema operativo o aplicaciones desde fuentes no confiables
- Periódicamente, instale desde cero el sistema para limpiar amenazas existentes
- Bloquee el acceso a su equipo cuando se aleje o automáticamente segundos después
- Emplee reconocimiento biométrico para acceder a sus dispositivos de computación
- Proteja los datos sensibles en su equipo mediante almacenamiento encriptado
- Proteja de igual forma los respaldos de datos con encriptación preferiblemente
Aplicaciones
Las aplicaciones, como todo software, introducirán más riesgo de explotación de vulnerabilidades o filtraciones de datos. Controle cuales instala y qué hacen.
- Instale aplicaciones desde fuentes confiables como Google Play o iTunes Store
- Evite a toda costa aplicaciones que requieran acceso irrestricto al sistema o sus datos
- Verifique que confía en conceder los permisos que solicitan las aplicaciones móviles
- Cada aplicación puede exponer vulnerabilidades, desinstale aquellas que no utilice
- Actualice las aplicaciones frecuentemente para evitar vulnerabilidades conocidas
- Verifique la política de privacidad de las aplicaciones antes de instalarlas
- Controle el acceso a la red que realizan las aplicaciones mediante algún firewall
- Use un bloqueador de aplicaciones en caso de que niños u otros usen su móvil
Redes sociales
Proteja servicios que usa para interactuar y conversar, como Facebook, Twitter, Snapchat, Whatsapp, Instagram, entre otros.
- Mantenga contacto únicamente con personas que conoce y puede identificar
- Evite compartir sus contactos y el acceso a otros datos personales en las redes sociales
- Establezca niveles de privacidad que no expongan contenido que no deben ver terceros
- Habilite el mecanismo de autenticación de 2-factores toda vez que sea posible
- Evite compartir información de contacto públicamente, como e-mail y teléfono móvil
- Cierre aquellas cuentas de redes sociales que no utiliza del todo
- Asegúrese que las comunicaciones en la red social usan canales seguros
- Verifique las políticas de privacidad y uso de la información personal en la red social
Servidores
Algunas medidas básicas en la seguridad de servidores de red, tanto en la nube como en la infraestrutura privada.
- Siempre realice respaldos periódicos fuera del servidor en operación
- Habilite en el firewall únicamente los servicios que necesite exponer
- Monitoree y bloquee los intentos de acceso por fuerza bruta a los servicios
- Monitoree continuamente el uso de recursos, disponibilidad e integridad
- Realice un escaneo periódico de la seguridad con alguna herramienta para ello
- El acceso a la consola o escritorio remoto debe requerir autenticación y encriptación
- Confíe el acceso a la consola del servidor únicamente al personal que lo requiere
- Mantenga el sistema actualizado continuamente con parches de seguridad
- Encripte las transferencias de datos usando protocolos seguros como SSH
- Valore encriptar el almacenamiento de datos con llaves altamente protegidas
- Permisos y propiedad de ficheros y carpetas en los sistemas de archivos
- Revise los registros de acceso y del sistema busca de irregularidades
- Aplique lineamientos de seguridad para cada servicio habilitado en específico
Conclusión
La seguridad de la información es un tema que cubre un abánico amplio de posibilidades y que no puede tomarse más a la ligera, sino merece toda nuestra atención y seriedad. Tampoco es algo que podamos simplemente confiar a un tercero o a un sistema informático de seguridad, debe ser una práctica constante en el día a día de cada individuo y empresa, y que evoluciona continuamente.
Si le gustaría aportar alguna medida de seguridad o esclarecer algún punto, no dude en dejar su comentario. En caso de querer recibir consultoría o una valoración profesional de la seguridad de sus tecnologías de información empresariales, puede contactarme directamente o a nuestra empresa.