7 consejos de seguridad y mejores

prácticas para garantizar la continuidad

de su negocio
Posted By Adolfo Manaure - 20 Junio, 2010 342 Comentarios desactivados en 7 consejos
de seguridad y mejores prácticas para garantizar la continuidad de su negocio

Por Dmitry Bestuzhev, investigador regional senior para América Latina, Equipo
global de investigación y análisis, Kaspersky Lab Americas

Hoy en día, los criminales cibernéticos, quienes están motivados siempre por el dinero, se
están enfocando en empresas en toda América Latina. Kaspersky Lab, un proveedor
líder de soluciones que protegen contra amenazas de Internet, incluyendo todas las
formas de software malicioso como virus, spyware, hackers y spam, ofrece a las empresas
siete recomendaciones de seguridad para protegerse contra ataques que cada vez son
más ambiciosos.

Hay tres amenazas claves que se dirigen contra las empresas actuales. Cada una puede
variar en su impacto y forma de entrega, yendo desde una mera molestia hasta crear daño
duradero a la imagen, negocio o activos de una compañía.
Tres principales amenazas informáticas
•Infección de malware
•Fugas de información confidencial
•Perjudicar la imagen de su empresa por medio de Internet

Siete recomendaciones de seguridad

Las siguientes recomendaciones están diseñadas para proteger a las empresas de las tres
amenazas enlistas anteriormente. Todas las empresas deben tener:

1.Políticas para controlar el acceso a y gestión de las redes sociales por parte de los
empleados. Esto es esencial porque las redes sociales son un vector posible de ataques
contra la red de la empresa. Por ejemplo, si una compañía protege su perímetro contra
ataques de malware pero no tiene un control adecuado del acceso a las redes sociales, el
descuido de un empleado puede llevar a que el malware infecte la red de la empresa y cause
significativas pérdidas económicas directas o indirectas. Las redes sociales también pueden
permitir fugas de información por parte de empleados que voluntariamente comparten
información con terceros.

2.Políticas para gestión y control de dispositivos USB. Hoy, los dispositivos USB son el
medio primario para almacenar diferentes tipos de información. Pueden ser utilizados por
un empleado malintencionado que busca robar la información más crítica de un negocio.
Esto conducirá a fugas de información que podrían causar importantes pérdidas económicas
o daños a la reputación de una empresa.
3.Política de encriptación de datos. Cualquier información que esté almacenada fuera del
perímetro de la empresa, especialmente en dispositivos móviles tales como smartphones,
computadoras portátiles y netbooks, definitivamente debe cifrarse, dado que dichos
dispositivos pueden olvidarse, perderse o inclusive ser robados fácilmente. Cualquier
información almacenada en estos dispositivos podría potencialmente caer en las manos
equivocadas y causar muchas complicaciones, tanto para su empresa como para
terceros. Por ejemplo, si la información incluye datos confidenciales acerca de los clientes
de la compañía, esto podría socavar considerablemente la confianza entre su empresa y sus
clientes.

4.Políticas de seguridad anti-malware. El malware en general, especialmente aquel que

busca robar información confidencial, como contraseñas, PINs y datos necesarios para
acceder a sistemas que requieren de autenticación, continúa creciendo exponencialmente
cada año. Las empresas deben tomar seriamente la seguridad contra el malware y no deben
conformarse con cualquier sistema anti-virus. La empresa de hoy requiere de un paquete
de seguridad en Internet que proteja contra varios tipos de malware moderno, tales como
código malicioso de día cero, ataques de hackers contra la red, spam, phishing y otras
amenazas en línea. Un sistema de anti malware moderno y avanzado debe ser flexible,
rápido y poderoso para que no sólo arregle los sistemas infectados, sino que también
prevenga ataques antes de que éstos echen raíces. La siguiente tabla muestra la cantidad
creciente de software malicioso diseñado para robar diferentes tipos de información crítica
de los usuarios.
Los “banqueros” suelen robar la información bancaria de las víctimas y luego vaciar sus
cuentas. El software “PSW” roba las contraseñas para correos electrónicos, redes sociales
y otros sistemas que solicitan autenticación. El malware “spy” (o, simplemente, spyware)
infecta al sistema y roba todo lo que puede.

5.Políticas de seguridad para la Web. La mayoría de las empresas hoy en día tienen sus
propios sitios Web y la seguridad de éstos debe tomarse muy en serio. Si los hackers atacan
el sitio Web de una empresa, pueden dañar severamente la imagen de la mísma. Imagine
que pasaría si su sitio Web es alterado o desfigurado (un llamado “deface”) por un usuario
malicioso. Sus clientes visitan su sitio, ven que ha sido comprometido y asumen que usted
no sabe como manejar la seguridad de su sitio. Podría causar un enorme daño a la imagen
de su empresa, especialmente cuando usted maneja datos personales de los clientes o
proporciona servicios relacionados con la seguridad. Los clientes podrían pensar que si su
empresa es incapaz de garantizar su propia seguridad, ¿por qué deberían dejarla manejar
todos sus valiosos datos personales? Por otra parte, algunos criminales no modificarán o
cambiarán el contenido visual del sitio de su empresa. En su lugar, incorporarán algún
programa malicioso que infecte a todos los visitantes del sitio.

6.Políticas de actualización de software. Muchos de los problemas que aquejan a las

computadoras hoy, tales como fugas inoportunas de información e infecciones de software
malicioso, ocurren porque los ciber criminales aprovechan las vulnerabilidades en los
sistemas operativos y aplicaciones instaladas en estas máquinas. Muchas de estas
complicaciones podrían evitarse con instalar las nuevas actualizaciones conforme los
fabricantes de software las publiquen. Es importante que estas políticas sean manejadas y
monitoreadas automáticamente, ya que permitirán ahorrar dinero en costos reactivos de
mantenimiento y otras pérdidas.

7.Entrenamiento adecuado del personal. Sus sistemas pueden estar completamente

blindados, pero no debemos olvidar que, en última instancia, quienes los operan son seres
humanos. En muchos casos, surgen problemas como resultado de este elemento humano, ya
sea por motivo de simples errores o por una falta de conocimiento y de las mejores
prácticas necesarias. El personal de la empresa debe ser entrenado en el manejo correcto de
la información, incluyendo cómo actuar en situaciones específicas, cómo seguir las
políticas y procedimientos de seguridad de la empresa, cómo evitar software malicioso al
ser diligente y cuidadoso y, si ya es demasiado tarde y el software malicioso ha penetrado
la red, cómo actuar correctamente para asegurar los datos y prevenir pérdidas adicionales.

Los ciber criminales buscan constantemente datos que sean valiosos y puedan generar una
ganancia fácilmente, mientras que las empresas siempre han sido repositorios de grandes
cantidades de datos valiosos y, frecuentemente, confidenciales. Las empresas son blancos
grandes, visibles y públicos con hardware, recursos y activos que frecuentemente hacen que
los ciber criminales se mueran de la anticipación. El usuario empresarial de hoy debe
contar con un paquete de seguridad de Internet que lo proteja contra diversos tipos de
software malicioso moderno, incluyendo malware de día cero, ataques de hackers a nivel
de red, spam, phishing y otras amenazas contra la integridad de su información. Un sistema
avanzado y moderno contra el malware tiene que ser flexible, rápido y poderoso para poder
no sólo arreglar los sistemas infectados sino prevenir ataques antes de que éstos echen raíz.