Los ataques cibernéticos se están haciendo bastante comunes en la actualidad. Solo recordemos el ataque contra Sony PlayStation Store y Sony Pictures, que vulneraron la seguridad de esta gran empresa. Y si Sony fue quebrantada, imagínate qué pasará con los pequeños negocios.
Para minimizar el riesgo de que la empresa sea atacada por ciberdelincuentes, la empresa española proveedora de servicios integrales de tecnología, Vector ITC Group, enumeró nueve formas para conseguirlo.
9 formas de proteger una empresa del hackeo
1. Informar periódicamente la plantilla. Las compañías deben instaurar ciclos de formación sobre las medidas que deben seguir los empleados para gestionar sus contraseñas en su trabajo diario.
2. Crear una política que obligue a generar contraseñas robustas. Para ser considerada “fuerte”, una contraseña debe reunir ciertas características:
- Tener al menos 8 caracteres.
- Alternar letras mayúsculas y minúsculas.
- Usar números y caracteres no alfanuméricos.
- No utilizar palabras del diccionario.
- No estar relacionada con la vida, los gustos o hobbies.
- No usar fechas de cumpleaños, aniversarios, etc.
3. Instaurar la costumbre de cambiar las contraseñas cada cierto tiempo. Para proteger una empresa del hackeo, es recomendable que todos los colaboradores de la empresa cambien sus contraseñas cada 3 ó 6 meses.
4. Cifrar todas las contraseñas de los empleados con un algoritmo robusto.
5. Nunca almacenar las contraseñas de los empleados, usar en su lugar un hash.
6. Crear un segundo factor de autenticación para los empleados . El segundo factor de autenticación funciona de forma que al introducir un usuario y una contraseña, el servicio al que se está accediendo envía un token a un dispositivo y pide que se introduzca el código que se ha enviado. Así se autentica mejor al usuario, ya que un atacante tendría que vulnerar el dispositivo para obtener el token, además de averiguar el usuario y la contraseña.
Leer también: Errores en ciberseguridad de las empresas.
7. Permitir que los empleados puedan escribir su propia pregunta personalizada en un sistema de preguntas recordatorio para reseteo de contraseñas. Esta medida se ha convertido en una vía más de ataque a la cuenta objetivo. Consiste en unas preguntas que se deben responder con la respuesta que se introdujo al dar de alta la cuenta para recuperar el control de la misma al olvidar la contraseña. Una buena solución para proteger una empresa del hackeo es no contestar con lógica y previsibilidad las preguntas. Por ejemplo, si la pregunta es “apellido de soltera de tu madre”, la respuesta debería ser cualquiera menos esa: una palabra clave, una dirección de correo o una contraseña antigua. El objetivo es que un atacante no pueda usar información personal recopilada de Internet para adivinar la respuesta.
8. Cambiar las contraseñas por defecto de todas las aplicaciones que use la empresa. Al igual que es primordial cambiar de forma regular las contraseñas personales de los empleados, las de todas las aplicaciones y herramientas utilizadas en la empresa también han de ser actualizadas.
9. Investigar la seguridad de los servicios que quieran usar los empleados para su trabajo y elegir el más seguro. Unas simples observaciones permiten evaluar el grado de fiabilidad de un servicio en Internet:
- ¿La página del servicio exige una contraseña robusta?
- ¿Usa HTTPS? La famosa S después de HTTP implica una conexión cifrada y no enviar datos en claro.
- ¿Tiene un segundo factor de autenticación?
- ¿Tiene límite de reintentos?
- ¿Se bloquea la cuenta cuando se supera el límite de reintentos?
- Para desbloquear una cuenta, ¿se envía un email? ¿Este email viene con la contraseña en claro o es un enlace para introducir una nueva contraseña?
- ¿Tiene preguntas recordatorio que permiten introducir manualmente la respuesta o sólo permite escoger entre una serie de valores prefijados?
- ¿Permite configurar una dirección de email a la cual se enviarán los emails de reseteo de contraseña en caso de olvidar la contraseña?