La Guia per a petites empreses bàsiques sobre la seguretat de les xarxes

La Guia per a petites empreses per a la seguretat de la xarxa


Moltes pimes cometen l’error de pensar que la ciberseguretat és només un problema per a les organitzacions més grans. A la pràctica, això no podria estar més lluny de la veritat. El 2016, una enquesta de Poneman va informar que el 55% de les empreses amb menys de 1000 empleats van experimentar un atac cibernètic el 2016. El futur sembla també desolador, i es preveu que els danys de ciberdelinqüència arribessin a 6 bilions de dòlars anuals el 2021..

Les petites empreses continuen sent un objectiu per a un nombre considerable d’atacs maliciosos. Les organitzacions que no implementen plans estratègics contra atacs futurs seran afectades per elles. Des de programari maliciós fins a cucs i virus, hi ha 101 problemes de seguretat que cal resoldre per evitar temps morts.

No obstant això, en l’àmbit de la ciberseguretat, la prevenció és millor que una cura. La implementació d’una estratègia a tota l’organització per fer front a les amenaces futures suposarà un llarg camí cap al manteniment i funcionament. També contribueix a minimitzar els danys que es produeixen. En aquest article, mirem com es pot protegir una petita empresa contra atacs maliciosos.

Vegeu també: 30+ eines gratuïtes per a la seguretat del lloc web

Educeu els vostres empleats en bones pràctiques de seguretat

Abans d’implementar cap nou procediment o eina, heu d’assegurar-vos que els vostres empleats coneixen de manera inicial les possibles amenaces. Al cap i a la fi, tenir un procediment de seguretat elaborat al seu lloc no et protegirà si el personal no sap què fa. Per prevenir l’amenaça de la seguretat d’arrelar-se, ensenyar als vostres empleats una sèrie de bones pràctiques és la millor manera de començar.

Gestió de contrasenya

generador de contrasenya

Penseu en utilitzar una eina de gestor de contrasenyes

La gestió de contrasenyes és una de les bones pràctiques més importants que cal seguir el personal. Proporciona al personal una forma fonamental de restringir l’accés a sistemes, comptes i serveis clau.

Tot i que la majoria del personal d’informàtics sabrà sobre la importància d’escollir contrasenyes fortes, n’hi haurà moltes que no ho faran o no. Això vol dir que és beneficiós prendre un cop d’avant i redactar algunes pautes d’organització sobre requisits de contrasenya.

Personal del tren a escollir la contrasenya

Al fer això, el primer que voleu deixar clar és que el personal hauria d’utilitzar una contrasenya única que no s’utilitza en cap altre lloc. La contrasenya hauria d’incloure una barreja de lletres majúscules, minúscules, números i símbols. Això us proporcionarà una protecció substancial contra un intent de pirateria de força bruta.

També és una bona idea proporcionar informació sobre l’emmagatzematge de contrasenyes. Les contrasenyes complexes són bones per a la ciberseguretat, però sovint són molt difícils de recordar. Per facilitar la memòria de les contrasenyes, pot ser una bona idea emmagatzemar-les en una solució o aplicació de programari de gestió de contrasenyes xifrada.

Actualitzar contrasenyes regularment

L’ingredient final per a la gestió de contrasenyes amb èxit és assegurar-se que les contrasenyes s’actualitzen regularment. Tanmateix, hi ha una manera correcta i una manera equivocada de fomentar-ho. Si demaneu que el personal s’actualitzi massa sovint, acabareu amb contrasenyes febles ja que el personal es queda sense idees (o motivació!) Per a generar contrasenyes noves.

Com a directriu general, de dos a tres canvis cada any haurien de ser els mínims. Tanmateix, sempre s’hauria de canviar una contrasenya si sospites que s’ha compromès o si un membre del personal o actualment utilitza una contrasenya feble.

Vegeu també: Millors gestors de contrasenyes 2018

Utilitzeu l’autenticació de dos factors

autenticació de dos factors

Tot i que les contrasenyes són molt importants, no són impermeables a les infraccions. Un atacant dedicat pot recórrer milers de milions de contrasenyes en qüestió de minuts. Moltes organitzacions han recorregut a l’autenticació de dos factors com una barrera addicional per evitar que aquests atacs tinguin tracció.

L’autenticació de dos factors és quan inicieu la sessió al vostre compte i se us demana que proporcioneu una segona informació per confirmar la vostra identitat. En la majoria dels casos, aquest serà un codi que té missatge de text al número de telèfon mòbil o a una altra adreça de correu electrònic, tot i que també pot ser una cosa com una empremta digital.

Moltes empreses opten per utilitzar dispositius físics, com ara claus de tecla, que estan fora de l’abast dels pirates informàtics. L’autenticació de dos factors fa que la feina d’un pirata informàtic sigui deu vegades més difícil i és un complement addicional per a la seguretat de la contrasenya. Els serveis en línia com Google han començat a utilitzar l’autenticació de dos factors per tal de produir una contracció d’usuaris no autoritzats.

Bloquejar ordinadors i dispositius

bloquejar ordinadors i dispositius

Una de les maneres que el personal pugui fer immediatament un negoci més segur és bloquejar els seus ordinadors un cop marxin. Sembla senzill, però hi ha moltes situacions d’informació confidencial robada o incomplida des de dins d’una organització. Per exemple, en el passat, Fellowes va trobar que es van perdre o robar més de 250 milions de registres comercials en un període de dos anys.

Mantenir els ordinadors bloquejats és una de les millors maneres d’assegurar la seguretat física de les vostres dades. Si bé molts empleats seran conscients de la importància de les contrasenyes, es pot obviar fàcilment les amenaces que comporta deixar un dispositiu obert. Per evitar la pèrdua, el robatori o la destrucció de dades, és important conscienciar el personal dels perills.

A la vostra política de ciberseguretat es detalla que tant els equips com els telèfons mòbils han de romandre bloquejats quan no s’utilitzin. Tot i que la majoria dels empleats no són delinqüents, hi ha una minoria que no pensaria dues vegades en accedir a dades privades. També podeu configurar dispositius per bloquejar els usuaris després d’haver estat inactius durant un cert temps.

Informe i frega els dispositius perduts

aparells de fregament

Controlar l’accés als dispositius és increïblement important, però, en cas que falti un dispositiu, cal que us assegureu que el personal l’informi. La investigació d’EE indica que els empleats perden més de 10 milions de dispositius cada any. Això és problemàtic, ja que aquests dispositius contenen informació important que poden ser utilitzats pels ciberdelinqüents.

La resposta ideal a aquest escenari és que un membre del personal informarà quan falta un dispositiu de manera que es puguin destruir les seves dades de manera remota. Hi ha una gran varietat de productes de programari disponibles que rastrejaran i esborraran de forma remota les dades dels dispositius perduts. Tot i això, aquests només són efectius si s’informa ràpidament de la pèrdua del dispositiu.

Se sap que els ciberdelinqüents van posar un dispositiu en mode avió per evitar que esborrin dades. Com a resultat, els vostres empleats han de respondre immediatament per minimitzar els danys. La clau per fer que aquest procés funcioni sense problemes és educar el personal sobre la importància de denunciar els dispositius perduts amb celeritat.

Tenir tots els dispositius instal·lats amb programari de destrucció o seguiment remot de dades i animar el personal a informar-se ràpidament, et deixarà menys obert als atacs futurs. Incorporar aquesta informació dins la vostra política de ciberseguretat també proporcionarà al personal un recurs que pugui consultar per a futures referències. Una política de ciberseguretat facilitarà la memòria dels passos a seguir en el futur.

Utilitzeu una VPN

VPN

Quan treballes en línia, totes les connexions que estableixes són una amenaça potencial. L’ús d’una xarxa privada virtual (VPN) és un mètode provat per protegir les vostres dades contra els pirates informàtics. Una VPN xifra les vostres dades d’ús i amaga la vostra adreça IP per poder navegar de forma anònima. Dins d’un entorn de petites empreses, una VPN pot mantenir les vostres dades segures quan es transfereixen entre empleats.

No cal gastar molts diners per pagar la vostra pròpia VPN, ja que hi ha molts proveïdors de serveis VPN disponibles a un preu competitiu. Incentivar el personal a utilitzar VPN redueix considerablement el potencial que els ciberdelinqüents accedeixin a informació confidencial i l’aturin a utilitzar-la per incomplir.

Vegeu també: Millors serveis VPN per al 2018

Aplica la configuració de privadesa

Durant la dècada passada, moltes organitzacions han començat a utilitzar les xarxes socials i altres serveis en línia per millorar els seus processos quotidians. Això comporta una nova sèrie de vulnerabilitats. Tots els membres del personal que realitza l’activitat en línia deixen un rastre digital d’informació personal que pot aprofitar-se per atacs de phishing i altres motius maliciosos..

Qualsevol personal que utilitzi LinkedIn, Facebook, Twitter o Google+ hauria de ser avisat de mantenir la seva configuració de privadesa el més alt possible. Més concretament, voleu que s’asseguren que només els amics puguin visualitzar informació com la data de naixement o la ubicació. Limitar la quantitat d’informació disponible per a persones no amigues ajuda a minimitzar la quantitat de dades que puguin treure els ciberassos atacants.

S’adhereixen a transferències d’arxius segurs

transferència de fitxers segura

Qualsevol organització que processi informació confidencial, com ara adreces de correu electrònic i números de targeta de crèdit, hauria d’utilitzar un sistema de transferència de fitxers segur. Un sistema de transferència de fitxers segur xifrarà informació confidencial i s’assegurarà que cap usuari no autoritzat hi accedeixi.

Moltes organitzacions utilitzen el correu electrònic com a servei de transferència de fitxers. Això és molt llunyà de ser ideal, ja que no es xifren. De la mateixa manera, els protocols de transferència de fitxers com el FTP també es xifren i són vulnerables a l’accés exterior. Hi ha diverses maneres d’evitar aquestes amenaces, incloses Protocol de transferència d’arxius segurs SFTP i el xifratge de correu electrònic, però el més popular és utilitzar un transferència de fitxers gestionada (MFT) servei.

Hi ha una gran varietat de proveïdors de solucions MFT diferents al mercat. És recomanable utilitzar MFT perquè us proporciona una de les maneres més eficients i fàcils de realitzar transferències de fitxers segurs.

Mantingui el programari actualitzat

actualització de programari

Un dels principals actius contra les amenaces cibernètiques és el vostre programari. Mantenir el programari actualitzat contra amenaces externes és vital per protegir el vostre servei a llarg termini. El 2017, l’atac de ransomware de WannaCry va afectar organitzacions de tot el món que explotaven una vulnerabilitat que abans era pegada a Windows. Les organitzacions podrien haver evitat l’atac simplement tenint un programari actualitzat.

Malauradament, és probable que l’atac de WannaCry sigui l’últim d’aquest tipus. Molts atacs de programari maliciós augmenten les vulnerabilitats deixades pel programari no controlat per accedir a un sistema. Les actualitzacions de programari són una barrera contra això mitjançant la correcció d’errors, problemes de seguretat i vulnerabilitats generals per millorar el rendiment i evitar la pèrdua o la destrucció de dades..

És imprescindible que les petites empreses animin el personal a mantenir actualitzat el programari regularment. Baixar un pedaç de programari nou i reiniciar el vostre ordinador pot ser la diferència entre conservar les dades o perdre’ls davant d’un ciber atacant. S’hauria d’informar el personal per combatre tot, des dels navegadors web fins a les actualitzacions del sistema operatiu.

Gran part del programari del vostre ordinador haurà de ser aprovat manualment abans de poder-lo implementar, però en molts casos podeu definir l’actualització automàtica per mantenir-vos actualitzats quan aparegui un nou pedaç. És important recordar al personal que també s’ha d’assegurar que les seves aplicacions mòbils estiguin actualitzades, ja que també poden ser vulnerables a les amenaces externes.

Relacionat:
Estadístiques de Ransomware 2017-2018
Com prevenir el ransomware

Executeu una prova de penetració

prova de penetració

Tot i que tenir mesures de seguretat en lloc és una idea excel·lent, mai se sap si la vostra organització pot resistir-se a un atac cibernètic fins que no passi. És per això que cada cop són més les empreses que treballen amb “pirates informàtics ètics” per introduir-se en els sistemes clau. Aquests pirates informàtics són professionals de la seguretat que simulen atacs de programari maliciós i ransomware per comprovar la robustesa de les mesures de ciberseguretat de l’organització..

Una prova de penetració pot indicar-vos quina raó de protecció està davant d’un atac i assenyalar maneres de millorar la vostra seguretat global de l’empresa. Provarà les vostres defenses actuals i destacarà una nova càrrega de vulnerabilitats que desconeixíeu completament. Això és important perquè poden ser aquestes vulnerabilitats exactes a les quals un ciber-atacant decideix orientar-se durant un atac real.

Un cop a prova de penetració Un cop finalitzada, se us proporcionarà un detall sobre totes les vulnerabilitats actuals, juntament amb una llista de recomanacions que podeu implementar per protegir-les en un futur. Generalment, es prioritzen aquests riscos perquè pugueu anar després dels problemes més urgents.

Una prova de penetració no només et dirà quins problemes cal abordar, sinó que també et deixarà en una posició millor per al compliment normatiu. Si es troba en una organització afectada Estàndard de seguretat de dades de la indústria de la targeta de pagament (PCI DSS) llavors haureu d’implementar una prova de penetració per complir-la.

Us recomanem que realitzeu una prova de penetració, ja que és l’única manera de veure si la vostra ciberseguretat manté la pressió d’un atac real. Tot i que els costos poden ser significatius, es poden pal·liar en comparació amb els costos que suposa un incompliment de seguretat i qualsevol temps d’aturada o pèrdua de dades posterior..

Vegeu també: Tutorial wireshark

Manteniu-vos vigilant!

Pot ser fàcil passar per alt aquest pas, però animar el personal a estar vigilant afegeix una altra capa de protecció. Hi haurà moments que fins i tot les millors funcions de ciberseguretat no siguin suficients per evitar un atac. El personal vigent actuarà com a última línia de defensa per aturar els problemes abans que es produeixin o per respondre a la resposta inicial un cop s’hagi fet palesa una amenaça.

Això significa que si una activitat sospitosa és localitzada localment o pràcticament, s’hauria d’informar al membre de l’equip pertinent o al departament d’informàtica. Ser proactiu per fer front a les amenaces potencials pot ser la diferència entre una amenaça que es deriva per la xarxa desapercebuda o un atac que causa un dany mínim.

En última instància, l’efectivitat d’aquest pas depèn de l’execució del vostre personal. Tanmateix, si proporcioneu al personal una formació en ciberseguretat i els informeu sobre les bones pràctiques generals, ja tindran els fonaments bàsics per poder diagnosticar un problema..

El més important és deixar clar al personal que té la responsabilitat d’assegurar la ciberseguretat del negoci. Un equip del personal vigilant col·lectivament la ciberseguretat de l’oficina pot fer una diferència monumental quan es tracta d’una resposta a l’amenaça.

Vegeu també:
Instituts i associacions de ciberseguretat
Recursos de ciberseguretat: una gran llista d’eines i guies

Responeu a les opinions dels empleats

Finalment, un dels factors més importants a considerar és respondre al feedback dels empleats. L’eficàcia que tenen de les vostres polítiques de ciberseguretat es redueix al grau d’execució del vostre personal. Si el personal se sent frustrat perquè l’orientació actual ocupa molt del seu temps, és important respondre a aquests comentaris.

Per descomptat, voleu mantenir un alt nivell de mesures de seguretat al seu lloc, però és important estar obert a suggeriments sobre com es poden millorar els processos. Això no només ajudarà a augmentar la satisfacció del personal, sinó que també comportarà una política de ciberseguretat més matisada.

Treballar al costat del vostre personal us assegureu que es prengui seriosament la ciberseguretat i que el vostre pla no quedi desfasat i ignorat. El pitjor que podeu fer és implementar un pla de ciberseguretat sense respondre als comentaris dels empleats i perfeccionar-lo amb el pas del temps.

Seguretat de les xarxes: una qüestió de polítiques i implementació

Seguint les indicacions i les bones pràctiques anteriors, tindreu un llarg camí per assegurar-vos que la vostra empresa i el vostre equip estiguin preparats per respondre a les amenaces cibernètiques. Tanmateix, és important adonar-nos que, encara amb totes aquestes mesures, encara es poden aconseguir amenaces. Tant si es tracta d’un error humà com d’un fracàs del sistema, es produeixen errors.

Implementar una estratègia ben arrodonida ajudarà a reduir-les al mínim, però no podeu evitar-les del tot. El màxim que podeu fer és assegurar-vos que el vostre personal tingui coneixement de les bones pràctiques i polítiques de ciberseguretat; D’aquesta manera, seran més conscients de com prevenir i respondre als ciberatacs. En última instància, la ciberseguretat efectiva és un tema de política i d’aplicació.

Per sobre de tot, no cometreu l’error de passar per alt cap aspecte de la vostra política de ciberseguretat. No se sap mai com ni quan es pot produir un atac, de manera que no tingueu la temptació de descuidar cap part de la vostra seguretat física o virtual. Les vostres dades i la vostra reputació resten.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me