Saltar al contenido

Mejores prácticas para mantener su empresa segura en la nubeMantener su empresa segura en la nube

Ir a la nube no significa que puedas descansar con respecto a la seguridad de tu firma, de hecho sólo debería hacerte más diligente.

Este fue un tema clave presentado por Trey James, director ejecutivo del servicio de alojamiento en nube Xcentric, quien se propuso disipar algunas ideas erróneas comunes sobre la seguridad en la nube durante su sesión «Mejores prácticas de seguridad en la nube» en la conferencia de Thomson Reuters Synergy en Orlando, Florida, el 5 de noviembre.

Mejores prácticas para mantener su empresa segura en la nubeMantener su empresa segura en la nube
Mejores prácticas para mantener su empresa segura en la nubeMantener su empresa segura en la nube

No es sorprendente que una de las preguntas comunes que James enfrenta es si hay más brechas hoy que en el año anterior. Su respuesta es sí, pero sólo porque ahora hay un requisito en la mayoría de los estados que si una compañía es violada, el incidente debe ser reportado. Y si es reportado, una violación de datos en una compañía es considerada de interés periodístico, por lo que hay más visibilidad alrededor del tema.

Target, eBay, Adobe, JP Morgan Chase â?» todos han sufrido violaciones de datos, y las empresas de contabilidad no son inmunes.

â??Tenemos las herramientas y el conocimiento para estar tan seguros como se pueda; sólo hay que cubrir algunas bases estándarâ?, dijo James.

James habló de por qué se produce el hacking (razones financieras), y de que hay precios de mercado para las credenciales, como los códigos de seguridad de las tarjetas de débito, las tarjetas de crédito y las cuentas PayPal.

â??Nadie va a ir tras tu tarjeta de crédito o tu número de cuenta bancaria; la gente quiere una escala [mayor],â? dijo James. â?» No es una persona en un sótano que te ataca.â»

Tal vez el mayor mito con respecto a la nube es que es inherentemente menos segura que las redes tradicionales. James hizo hincapié en que tener sus servidores a puertas cerradas no es seguro porque cualquiera que entre en su empresa puede tener acceso a la información de sus clientes.

Y si debe tener sus servidores en el lugar, asegúrese de cerrar la puerta, asegurarlos al piso, cubrirlos en una jaula, y si una persona de limpieza necesita entrar en esa habitación por la noche, alguien debe acompañarlos.

â??Estás mucho más seguro si utilizas un proveedor que realmente respalda lo que hace,â? dijo.

James discutió la importancia de actualizar el firewall de su empresa, el cual describe como â??básicamente un antivirus para su red.â?

â?» Es una manta de seguridad y si no mantienes un cortafuegos, sólo eres tan bueno como su última actualización. La mayoría de los buenos se actualizan por sí mismos para aparecer cada noche o establecer un horario. Si tu cortafuegos tiene menos de tres años, es probable que se actualice automáticamente,â? dijo, añadiendo que las empresas que no usan cortafuegos IDS o IPS deberían considerar seriamente moverse en esa dirección.

Amenazas firmes

El mayor riesgo para la seguridad de los datos es cuando los usuarios eluden los planes y procedimientos de la empresa que se han puesto en marcha para su protección.

Dicho esto, CryptoLocker es un malware que puede cifrar no sólo todos sus archivos, sino también los archivos a los que están conectados, lo que puede ser un gran dolor de cabeza para las empresas. A menudo es inesperado y no hay una protección real más que estar al tanto.

Para los que no sospechan, a menudo es el correo electrónico el que entra con apariencia de oficial â?» por ejemplo, algún contenido relacionado con impuestos o negocios relevantes, e incluso a veces una unidad zip. En estos casos, la persona que recibe el mensaje no debe hacer clic en abrir el correo electrónico y empezar a hacer clic en los enlaces del cuerpo del correo electrónico o en el archivo adjunto. En su lugar, debe tomarse uno o dos minutos adicionales para comprobar si está esperando un correo electrónico de alguien que no conoce. El simple hecho de preguntar puede ahorrar horas de angustia por la pérdida de flujo de trabajo y dinero.

Para evitar este tipo de filtración de datos, James sugiere lo siguiente:

  • Revisa las áreas de «Desde» y «Hasta» del correo electrónico.
  • Revise el contenido del mensaje para ver si hay discrepancias obvias.
  • Se debe evitar hacer clic en los enlaces de los correos electrónicos. En lugar de eso, se debe colocar el cursor.
  • Asegúrate de que el software AV esté actualizado.
  • Respaldo de datos importantes. No se conoce ninguna herramienta para desencriptar los archivos encriptados por CryptoLocker.
  • Nunca abra los enlaces directamente desde un correo electrónico.
  • Crear, publicar y entrenar la política de uso del correo electrónico.

James dijo que es importante que las empresas entiendan que aunque sus datos estén en la nube, sigue siendo responsabilidad de la empresa tomar precauciones de seguridad y capacitar a todos en la empresa sobre la protección de datos. Los socios no están exentos de esto porque se sabe que a menudo se saltan el entrenamiento.

Para minimizar los problemas con Wi-Fi, James recomienda desactivar la autocorrección, verificar la conexión Wi-Fi de la red, usar la Red Privada Virtual (VPN) y la autenticación de dos factores cuando sea posible.En cuanto a la gestión de la red, James aconseja aplicar una estricta política de contraseñas a través de un dominio basado en Active Directory, automatizar el parche de Windows, actualizar el cortafuegos de forma rutinaria, obtener informes regulares y programar pruebas de penetración.

La puerta principal de una brecha de seguridad, sin embargo, es su contraseña.

Son las credenciales», dijo James. Tus credenciales son el santo grial de todo lo demás. Con las credenciales correctas, puedo mirar los datos de los impuestos, la información de la tarjeta de crédito, la información del gobierno, y todos los registros.â»

James aconseja no reutilizar sus contraseñas en múltiples lugares, usar una palabra común del diccionario y escribir sus contraseñas. Sugiere que se mire bien lo difícil que son las preguntas de seguridad durante el proceso de inicio de sesión. Le recordó a los miembros de la audiencia lo fácil que es encontrar el apellido de soltera de alguien o la mascota de la escuela, lo cual es una pregunta de seguridad muy común. En lugar de usar información real, inventa respuestas. James también señala a LastPass, un plug-in que recuerda tus contraseñas y que se sincroniza de forma segura en todos los dispositivos.

James también recomienda utilizar una dirección de correo electrónico exclusiva para la recuperación de la contraseña, ya que si un hacker sabe a dónde va el restablecimiento de la contraseña, se trata de una lÃnea de ataque. En su lugar, crea una cuenta de correo electrónico especial para estas ocasiones y asegúrate de elegir un nombre de usuario que no esté ligado a tu nombre real.

Para terminar, James proporcionó la siguiente lista de preguntas que deberían estar en una lista de control de seguridad del proveedor de la nube.

  • ¿El centro de datos del proveedor realiza una auditoría anual de SOC2?
  • ¿El proveedor realiza una auditoría anual de SOC2 sobre sus propias operaciones?
  • ¿Cómo se almacenan las copias de seguridad externas?
  • ¿Cómo se compara la seguridad física de un proveedor con su entorno informático actual?
  • ¿Se dispone de una autenticación de dos factores?
  • ¿Ofrece el proveedor servicios de gestión de la infraestructura en el lugar (cortafuegos, computadoras portátiles, computadoras de escritorio, impresoras, etc.)?