Hoy en día nos basamos en los dispositivos móviles para prácticamente todo y éstos se han convertido en el objetivo de los ciberdelincuentes porque saben que de ellos pueden obtener información muy jugosa y que se vendería muy bien en el mercado negro. ¿Vamos a permitirlo?
Si tenemos comerciales viajando de un lado a otro buscando clientes o gestores de obra haciendo su labor de campo fuera de la oficina, tendrán que reportarnos sus actividades a diario y mantenernos informados de sus avances. Les habremos dotado de un móvil de empresa, una tablet y un portátil de última generación. Como no podía ser de otra forma tomaremos medidas para que no se pierda nada de información y no nos «traigan» de ahí afuera nada desagradable. Ya sabéis las wifi de los hoteles y aeropuertos no están protegidas.
No podemos permitir que nos roben lo más importante para nosotros: nuestra información. Para ello, la mejor medida de seguridad es la concienciación de nuestros empleados. En este caso, nuestros comerciales y otros trabajadores en remoto.
Desde INCIBE os proponemos que les hagáis llegar a vuestros empleados «más viajeros» un listado de medidas básicas de seguridad para cuando se encuentren fuera de la empresa. Es una buena base para comenzar con el proceso de concienciación de estos empleados.
Algunos consejos que podemos dar a nuestros empleados son:
Verificar si la política de seguridad de nuestra empresa permite conectar a redes ajenas y las condiciones para ello.
Lo más normal es que en nuestras políticas de seguridad se indique tajantemente que no es recomendable la utilización de redes (wifi o cableadas) ajenas a la empresa y en caso de necesidad se utilicen siempre con ellas una Red Privada Virtual (VPN del inglés Virtual Private Network).
Por supuesto, para que los empleados puedan cumplir con esta regla, es necesario que estas políticas existan, que estén accesibles para el empleado y en caso de poder usar soluciones como Redes Privadas Virtuales, explicarles el procedimiento de uso.
El empleado además tiene la obligación de conocer y cumplir las normativas de la empresa en cuanto a dispositivos móviles, teletrabajo e información almacenada fuera de las instalaciones de la empresa.
Nunca dejar un dispositivo móvil o portátil desatendido en un lugar público. De igual manera, si es necesario separarse del dispositivo siempre bloquearlo tal y como hacemos con los equipos de oficina.
Tanto portátiles como dispositivos móviles siempre tienen la opción de bloquearlos cuando no están siendo usados. Los dispositivos tienen que tener esta función activada, de manera que si pasa un tiempo sin uso, se bloqueen automáticamente. En cualquier caso es muy buena práctica bloquear nuestros dispositivos nosotros mismos.
A un atacante le pueden valer 3 minutos para hacer una copia de tu equipo y robar información valiosa para la compañía.
Cuando exista la posibilidad de conectar por cable, desconectar las redes wifi y bluetooth si no se van a utilizar.
Las redes wifi y otras redes inalámbricas como bluetooth transmiten ondas electromagnéticas por el aire. Esto quiere decir que cualquiera puede escucharlas, aunque si la información va cifrada no entienda nada. Sin embargo, como la potencia de cálculo va en aumento no se tardará demasiado en romper la seguridad de estas conexiones. De esta forma un atacante acabaría descifrando lo comunicado a través de la red wifi.
Las redes cableadas son más difíciles de comprometer, ya que es necesario acceso físico al cable, un corte, un empalme y escuchar la conversación, que, si va cifrada, también habría que descifrar. Además este tipo de intromisión ya sería considerado como delito.
También se suelen recomendar las conexiones 3G o 4G antes que el uso de redes wifi desconocidas. El grado de seguridad de estas conexiones puede ser similar al de una red wifi con WPA2 (mecanismo de seguridad de estas redes), pero los recursos económicos necesarios para su ataque son mucho más caros que los necesarios para un ataque contra redes wifi con WPA2. A los ciberdelincuentes les va el ahorro: mejor atacar lo más fácil y menos costoso. ¡Pongámoselo difícil!
En caso de no tener otra opción más que conectarse a una red inalámbrica, será imprescindible que la red utilizada tenga un cifrado robusto como WPA2. Aunque la seguridad absoluta no existe, siempre hay que ponerle todas las trabas posibles al ciberdelincuente y el cifrado WPA2 es a día de hoy el más difícil de romper siempre que se utilice una contraseña de cifrado lo suficientemente robusta.
En cualquier caso, una conexión wifi es tan segura como la cantidad de gente que conozca la contraseña de cifrado. Si se trata de un hotspot (una wifi de un bar, una cafetería, etc.) en la que un delincuente solo tiene que preguntar la contraseña para conseguirla, de poco servirá que tenga cifrado WPA2. Es importante tener esto en cuenta, porque no es recomendable conectar los equipos de empresa a redes públicas.
En la conexión remota a la red de la empresa, establecer conexión VPN para proteger las comunicaciones.
Aún en el caso de usar redes protegidas con cifrado WPA2, si vamos a acceder remotamente a nuestro equipo de trabajo a servicios alojados por nuestra empresa, será necesario establecer antes una Red Privada Virtual (VPN del inglés Virtual Private Network). Para poder dar este consejo es importante que los servicios corporativos permitan el acceso remoto a través de VPN y explicar a los empleados lo que son estas VPN y cómo conectarse a los servicios de la empresa a través de ellas.
Mantener el antivirus el equipo permanentemente actualizado.
Es la recomendación básica que se da siempre para evitar la infección por cualquier tipo de malware.
Los equipos móviles también tienen software antivirus. Es recomendable instalar una aplicación de este tipo y mantenerla actualizada en todo momento. Desde INCIBE ofrecemos Conan Mobile, que permite a los usuarios de dispositivos móviles conocer el estado de seguridad del dispositivo, mostrando soluciones a posibles riesgos de seguridad y consejos para mejorar su seguridad.
No solo el antivirus debe estar actualizado para detectar el nuevo malware que se crea a diario. También cada día surgen vulnerabilidades de todo tipo de software que los fabricantes de software van reparando, pero estas reparaciones no se aplican a nuestros equipos si no los actualizamos. De ahí la importancia de las actualizaciones periódicas.
Cuando el equipo se encuentra en los dominios de la empresa, es ésta la encargada de mantener actualizados los dispositivos. En el momento en que el dispositivo (móvil, tablet, portátil…) sale de la empresa, es responsabilidad del empleado mantener el equipo actualizado.
Para ello, por supuesto, es necesario formar al empleado en el procedimiento de actualización.
Al recibir correos electrónicos, desconfiar de aquellos que lleven ficheros adjuntos sospechosos, provengan de desconocidos o no hayan sido solicitados.
La ejecución de un simple archivo que aparenta proceder de un compañero de trabajo puede provocar una infección no solo de nuestro equipo sino de parte de la empresa con la consiguiente posibilidad de fuga de información, que afectaría a la imagen de la empresa y la podría hacer perder mucho dinero.
Por esta razón es muy importante estar seguros de que conocemos la persona que nos envía el correo, y que si incluye un adjunto, es relativo a un tema conocido y esperamos recibirlo.
Nunca instales nuevo software o apps en tu dispositivo móvil de empresa.
No se trata de que no puedas instalar juegos o aplicaciones innecesarias para el trabajo. El problema es que en los markets de apps móviles, tanto oficiales como no oficiales hay millones de aplicaciones que, aparentando ser inocuas, esconden un comportamiento malicioso que podría ocasionar que información confidencial nuestra o de la empresa acabe en manos indebidas.
Por esta razón, deja siempre que sean los servicios especializados de informática de tu empresa los que instalen apps y aplicaciones en tus dispositivos. Si necesitas que se instale una aplicación en tu dispositivo, haz una solicitud formal.
Al enviar ficheros con información crítica o confidencial por el método que sea (mensajería instantánea, almacenamiento en la nube, etc.), se deben cifrar los ficheros usando una contraseña antes del envío.
Aunque creamos que estamos seguros, nunca sabemos quién puede estar escuchando nuestra conversación. Si tenemos que enviar un documento con información crítica o confidencial nunca está de más cifrarlo usando una contraseña conocida por el receptor. Con esto nos aseguraremos de que nadie puede interceptar estos envíos y leer la información confidencial que queremos transferir.
La empresa tiene que poner a disposición del empleado este tipo de herramientas de cifrado y enseñarles a usarlas. Es por el bien de todos.
Realiza copias de seguridad de tus documentos importantes de forma periódica.
Es responsabilidad de la empresa realizar copias de seguridad de la información crítica cada cierto tiempo. Cuando usamos un dispositivo de la empresa fuera de la misma, esta responsabilidad se traslada a nosotros.
Lo más fácil, si la cantidad de datos no es muy grande es utilizar discos DVD o Blu-Ray para la realización de estas copias. La empresa tiene que proveer de unidades de grabación y discos vírgenes para que el empleado pueda realizar estas copias periódicas.
Utiliza diferentes cuentas y perfiles si usas el dispositivo de empresa para temas personales.
De esta manera, si resultaras infectado durante tu navegación personal, la información confidencial almacenada en el portátil no se vería afectada. Y si la empresa tiene perfiles en redes sociales, asegúrate de que no los estés usando durante tus visitas personales a redes sociales.
Conclusión
Los portátiles y móviles de empresa pueden contener información muy importante para nuestra empresa. Por esta razón es muy importante tener algunas precauciones a la hora de trabajar con ellos. Por ejemplo, debemos tener muy claro a que redes podemos y no podemos conectarnos. Por otra parte los dispositivos deben disponer de herramientas especiales que aumenten la seguridad del dispositivo y de nuestras comunicaciones (clientes VPN, herramientas de cifrado, antivirus, etc.).
Por último hay que tener claro que son dispositivos cuya finalidad es laboral. Pero esto no quita que no los podamos utilizar para fines personales aunque siempre siguiendo una serie de precauciones muy importantes como la utilización de diferentes cuentas de usuario para el trabajo y personales, tener mucho cuidado con las webs que visitamos y nunca instalar software/apps por nuestra cuenta.
Seguiremos estos consejos. ¿Acaso vamos a permitirles que nos roben información o que nos infecten?
(Fuente: Incibe)