Aunque cada vez son más las empresas que invierten en herramientas de ciberseguridad avanzadas, lo cierto es que no todas las inversiones son igualmente efectivas, y son muchas compañías las que se dejan numerosas lagunas en el proceso de proteger adecuadamente sus dispositivos frente a posibles filtraciones y ciberataques.
Uno de los fallos más recurrentes entre las empresas es la omisión de la debida formación del personal a la hora de proteger los dispositivos, y las redes de la empresa, sobre todo en el caso de los teletrabajadores. Un personal desinformado puede dar al traste con todo el proceso de proteger la red de una empresa con las herramientas de ciberseguridad más avanzadas, y por eso resulta fundamental tomarse el tiempo para garantizar que todos los miembros de una compañía sepan a qué atenerse en materia de ciberseguridad.
El software por sí solo es una medida insuficiente
Muchas compañías optan por gastar una gran cantidad de dinero en software de ciberseguridad de última generación para asegurarse de proteger sus servidores frente a posibles ciberataques. Se trata de una buena medida siempre y cuando se realice de manera correcta, pero es fundamental tener en cuenta que el software en sí mismo es una medida insuficiente para proteger los datos de una empresa. Hace falta algo más que simplemente instalar un antivirus en los ordenadores y dejarlo estar.
La red de una empresa es un entorno digital al que continuamente acuden sus empleados para tratar de realizar toda una serie de tareas. Todos estos accesos a la red pueden ser potencialmente dañinos si los empleados no toman las medidas adecuadas para proteger sus dispositivos y sus cuentas, sobre todo si consideramos que en muchos casos son ellos los principales puntos débiles del sistema de ciberseguridad de una compañía.
La erradicación de las contraseñas vulnerables
Un reciente estudio sobre contraseñas muestra cómo España continúa siendo uno de los países que utiliza contraseñas más vulnerables. Además de las clásicas contraseñas como ‘1234’, ‘contraseña’ o ‘asdfasdf’, en España son populares los nombres de diferentes equipos de fútbol o jugadores como Cristiano Ronaldo o Messi, a lo que hay que sumar la gran cantidad de claves personales que hacen referencia a familiares, parejas o fechas de aniversario.
La formación de los empleados en este aspecto es fundamental para impedir que una contraseña débil haga que sea inservible toda la instalación de ciberseguridad de una compañía. Las contraseñas vulnerables deben estar prohibidas en cualquier empresa, y solo las claves aleatorias y robustas deberían permitirse dentro y fuera de sus instalaciones.
La vigilancia ante el phishing
La acumulación de correos electrónicos y la rutina al contestarlos también puede llegar a ser un punto débil para todo tipo de empresas e instituciones. Este ha sido el caso por ejemplo del Ayuntamiento de Barcelona, que sufrió un hackeo por valor de 350.000 euros debido a un correo electrónico de phishing que reprogramó los pagos a una determinada empresa para que fueran depositados en una cuenta diferente.
Nadie del Ayuntamiento se dio cuenta de que aquel correo era un ciberataque, y durante meses el hackeo pasó desapercibido hasta que finalmente los sucesivos impagos a la empresa legítima despertaron suspicacias y dieron a conocer la trama. Por ataques como este es de gran importancia que los empleados con acceso al correo electrónico tengan conciencia de este tipo de estafas y sepan prevenirlas a tiempo.
El teletrabajo requiere de medidas extra
Ya es bastante difícil proteger los dispositivos informáticos de una oficina, pero, si a esto sumamos los de todos los teletrabajadores, la tarea es sencillamente titánica. En este sentido, una de las primeras medidas que se deben adoptar es la formación del personal para que sean conscientes de los riesgos a los que se exponen cuando utilizan internet desde estos dispositivos, y para que se familiaricen con las herramientas de ciberseguridad adecuadas para proteger sus cuentas y su conexión a internet.
Como parte de esta formación, es fundamental subrayar que los trabajadores no deben utilizar sus dispositivos personales para conectarse a la red de la empresa, ya que estos dispositivos no se encuentran debidamente protegidos ni supervisados por el software de ciberseguridad de la empresa, y pueden constituir una peligrosa fuente de infección de ransomware y otros tipos de software dañino.
La formación debe ser continua y cohesiva
Contrariamente a lo que se practica en muchas empresas, la formación en materia de ciberseguridad no debe impartirse en una única ocasión para luego dejarla olvidada, sino que debe ser parte de una formación continua con nuevas instancias formativas cada 6 meses o cada año.
Esta insistencia permite recordar a los empleados la importancia de adoptar las medidas de ciberseguridad necesarias, y además es muy útil para insistir en los aspectos que no se están cumpliendo adecuadamente o para actualizar los contenidos en función de las nuevas amenazas detectadas durante el último período.