En diversos artículos os hemos hablado acerca de cómo crear páginas web para vender productos o para posicionar vuestra marca o relacionaros con clientes. También hemos hablado de ideas de negocios online para emprendedores, pero todas estas ideas requieren de la creación de sitios web/aplicaciones/buzones de correo… y muchas veces al hablar de este tipo de temas nos olvidamos de un tema que debe ser prioritario para cualquier compañía, pero que supone un reto especial para emprendedores y micropymes: la seguridad.
Todos nuestros esfuerzos para crear una marca o una tienda online o un canal de relación con nuestros posibles clientes pueden irse al traste si alguien puede acceder a nuestros sistemas y obtener datos personales de los clientes o simplemente borrar todo lo que hemos hecho. Las empresas deberían, aunque no siempre lo hacen, ser capaces de tener personal especializado en este tipo de problemas, pero un emprendedor o una micropyme que no se dedica específicamente al sector de los servicios informáticos no puede gastar recursos en tener un perfil especializado en este tipo de servicios y esto supone muchas veces un gran impedimento para el desarrollo del negocio. En este artículo vamos a intentar tratar todos los puntos que debe revisar un emprendedor o una micropyme para hacer que la seguridad sea una parte fundamental de su día a día.
Un cambio de filosofía
La seguridad de la información, y en particular la seguridad informática, siempre se ha considerado una partida de gasto en la empresa y, como tal, no suele estar presente en pequeñas empresas que compiten, en parte, por sus reducidos costes estructurales. En realidad, debe considerarse como una inversión ya que su finalidad es reducir el impacto – tanto el coste económico que podría tener el robo o la destrucción o el impacto en horas de trabajo para recuperarlo – y por ello no debería ser considerarse como una partida de gasto.
La mejor forma de aumentar la seguridad en entornos pequeños es introducirla dentro de la filosofía de trabajo, muchas veces los grandes agujeros de seguridad no provienen de elaborados ataques contra los sistemas de la empresa, sino de fallos de personas individuales que permiten acceder a los sistemas desde sus equipos.
El usuario como punto de partida
El usuario es el principal foco de inseguridad de cualquier sistema, especialmente en entornos de personas que manejan muchos datos, se mueven entre ubicaciones y están especialmente ocupadas. Es interesante coger unas pautas mínimas de seguridad en nuestro día a día, ya que eso nos prevendrá de gran parte de las vulnerabilidades y ataques, estos hábitos incluyen:
Para ordenadores:
- Es importante mantener tanto el equipo como el software actualizado, cualquier programa es susceptible de tener fallos de seguridad, pero cuando se detectan las compañías o las comunidades los subsanan, pero todo este trabajo no sirve para nada si no aplicamos las actualizaciones.
- Utilizar un cortafuegos: El cortafuegos de Windows ha mejorado mucho en las últimas versiones y viene integrado con el sistema operativo, pero, si por lo que sea queremos utilizar otro tipo de cortafuegos hay muchas opciones disponibles. En el caso de equipos MACOS, es recomendable utilizar el cortafuegos que viene con el propio sistema. Para equipos Linux, todas las distribuciones traen por defecto un cortafuegos basado en IPTables y suelen traer distintos entornos gráficos para su manejo.
- Usar un antivirus: Windows suele ser el más necesitado en este caso, aunque la última versión de Windows incluye Security Essentials que ya incluye este tipo de funcionalidades. Para equipos Mac, la oferta es cada vez más amplia. En equipos Linux la opción por defecto suele ser ClamAV, pero no es la única.
- Hay que tener cuidado con lo que se instala en el equipo. Aunque no parezca un gran consejo, esta es la mayor fuente de inseguridad, instalar paquetes de fuentes que no son de confianza, descargar “cracks” de programas o “generadores de claves de registro” que en la mayor parte de las ocasiones no son trigo limpio, este tipo de programas instalan servicios residentes que permanecen dormidos hasta que quién ha creado el software lo requiere, es lo que se suele conocer como ordenadores zombis.
- Es muy importante tener una política de contraseñas. Todos accedemos a un montón de servicios en línea y muchas veces utilizamos la misma contraseña para todos ellos, esto es un gran problema, si uno de esos servicios tiene una brecha de seguridad la contraseña expuesta dará acceso a todas nuestras cuentas. Lo recomendable es utilizar un gestor de contraseñas y generar contraseñas de forma aleatoria para cada servicio. Random.org ofrece una herramienta de creación de contraseñas aleatorias online.
Para dispositivos móviles estas son las normas que hay que seguir:
- Mantener el dispositivo y todos los paquetes actualizados, es importante tener en cuenta el ciclo de vida del sistema operativo a la hora de comprar un dispositivo móvil para evitar acabar con un dispositivo que no reciba actualizaciones por parte del fabricante.
- Es importante activar la seguridad física del dispositivo, con código de bloqueo o patrón o elemento biométrico (huella, rostro) y forzar el bloque automático del mismo para evitar que alguien pueda tener acceso a nuestro dispositivo.
- Además, sobre todo en un entorno empresarial, es importante que activemos la opción de encriptación del dispositivo (tanto iOS como Android lo incluyen en sus sistemas) para evitar que se pueda acceder al contenido del dispositivo sin antes desbloquearlo.
- Tanto iOS como Android ofrecen la opción de activar el rastreo del dispositivo, para poder localizarlo en caso de pérdida. Esta opción atenta contra nuestra privacidad al rastrear nuestras ubicaciones, pero puede ayudarnos a recuperar información sensible de un dispositivo en caso de pérdida.
- Los dispositivos móviles rastrean continuamente conexiones para buscar puntos de acceso a los que conectarse o dispositivos bluetooth en los alrededores y esto puede ser utilizado por terceros para acceder al dispositivo, por ello es recomendable no tener activada la red wifi o el bluetooth cuando no están en uso, hay aplicaciones que nos permiten activarlos o desactivarlos en función de las horas o la ubicación del dispositivo.
- Las conexiones móviles (tanto GSM como WiFi) son poco seguras, si accedemos a datos sensibles desde nuestro dispositivo es recomendable utilizar una red VPN para proteger las comunicaciones con una encriptación fuerte.
Nuestra seguridad no solo incluye nuestros dispositivos, sino la red a la que se conectan, la red de nuestra oficina o de nuestra casa es para nosotros una red segura y no ponemos medidas de seguridad cuando nos conectamos a ella, por eso es tan importante mantener esta red segura, para ello:
- No utilizar la configuración por defecto del rúter que proporciona el operado, ya que sus algoritmos son utilizados por herramientas de intrusión automáticas. En la medida de lo posible, intentar no utilizar el rúter de nuestro proveedor de internet, pues son modelos con firmware personalizado que tardan en solucionar las deficiencias de seguridad detectadas por el fabricante.
- La seguridad de nuestra red Wifi es algo que hay que tomarse muy en serio, hay muchas guías que dan consejos básicos para proteger nuestra red Wifi, en general es importante utilizar encriptaciones fuertes y cambiar periódicamente las claves de acceso a la red.
Los sistemas corporativos
Aunque estemos en el caso de un emprendedor o de una micropyme, es bastante posible que se cuente con algún servicio corporativo: página web, correo, tienda online, CRM, ERP, …
En este caso, y sin importar el uso que le demos, es importante empezar desde el principio con buenas prácticas, cada recurso informático debe estar debidamente identificado, no hacen falta maravillas, con una hoja Excel en la que tengamos todas nuestras aplicaciones para llevar el control será suficiente. En este documento deberemos llevar un pequeño control de la seguridad de nuestras aplicaciones y hacer una revisión periódica, en este control tendremos en cuenta:
- Responsable de la seguridad. – Si se trata de un servicio gestionado por terceros simplemente tendremos que anotarlo, si en cambio es un servicio no gestionado que requiere de nuestra atención es importante nombrar un responsable (aunque estemos dos en la empresa). Este responsable deberá realizar actualizaciones periódicas del sistema.
- Actuaciones pendientes. – Si hay algún cambio o actualización pendiente de realizar.
- Antigüedad de las contraseñas. – Es recomendable cambiar las contraseñas de forma periódica y la mejor forma de coger este hábito es fijando una periodicidad (p.e. 6 meses) y llevar un control de los últimos cambios.
- Incidentes registrados. – Es importante llevar un registro de los posibles incidentes de seguridad que hemos sufrido (notificaciones de intento de acceso, cambios de contraseña no solicitados, …) ya que nos permitirá tomar decisiones sobre nuestras aplicaciones a posteriori.
Con esta hoja nos pondremos como objetivo tener una revisión mensual (lo normal es que nos lleve 5 minutos revisarla si no hay nada que hacer) y no solo tendremos siempre una perspectiva de la situación de seguridad de nuestros sistemas, sino que tendremos un punto de partida sobre el que crecer a medida que incorporemos personal y aplicaciones.
Conclusiones
La seguridad informática es un campo que no está debidamente posicionado dentro de las empresas, pero que es casi un gran desconocido en el caso de los emprendedores y pequeñas empresas. Es importante ser conscientes de que un problema de seguridad puede suponer un enorme coste económico y/o operativo para una empresa y que ese coste puede llegar a ser inasumible para una empresa que está empezado. Un pequeño cambio filosófico y unas sencillas pautas nos permitirán reducir los riesgos de seguridad en nuestro negocio sin generar un coste adicional. La reducción del riesgo dependerá directamente de nuestro compromiso ya que cada una de las pautas por separado supondrá una mitigación de un riesgo particular y será nuestra responsabilidad buscar el equilibrio entre comodidad y riesgo.