Hay pocas catástrofes modernas más aterradoras para la corporación actual que una violación de datos. Cuando los datos críticos se ven comprometidos, todos sufren: los empleados, los clientes, los CEO y los equipos legales deben enfrentar las consecuencias.
Afortunadamente, incluso cuando los posibles piratas informáticos con malas intenciones se vuelven más inteligentes, la tecnología también se está volviendo más inteligente.
# 1: Crea una defensa contra las estafas de phishing.
Sepa cómo se entregan y asegúrese de que los empleados también lo sepan.
Las estafas de phishing ocultan los intentos de obtener información confidencial por razones maliciosas como solicitudes genuinas de acción de una fuente supuestamente confiable.
Eduque a toda su empresa sobre el aspecto de estas estafas y el riesgo que representan para su negocio, clientes e incluso empleados.
Establezca un protocolo para informar estafas de phishing.
Además, establezca claramente un proceso para informar posibles estafas de phishing. Una solución fácil es especificar en su manual del empleado que todos los correos electrónicos sospechosos deben enviarse inmediatamente a su departamento de TI para su investigación. Cuando lleguen los informes, su equipo de TI podrá detectar patrones y emitir advertencias a la organización más grande según sea necesario.
# 2: estandarizar la buena higiene de contraseña.
No reutilices las contraseñas.
Las contraseñas nunca deben reciclarse en sistemas, dispositivos o herramientas. Cuando un empleado usa la misma contraseña simple para su correo electrónico, cuenta CRM y acceso al sistema de recursos humanos, se está poniendo a sí mismo, y sus datos, en un riesgo significativo.
Confíe en contraseñas largas y complejas.
Puede ser difícil evitar el reciclaje de contraseñas en su organización, pero es bastante fácil establecer un requisito mínimo cuando se trata de la complejidad de la contraseña. Requerir frases de contraseña (contraseñas de 20 caracteres o más) para que los empleados accedan a las redes y sus máquinas. La complejidad mejorada hace que estas contraseñas sean mucho más difíciles de hackear.
Aproveche una herramienta de administración de contraseñas.
Puede eliminar las conjeturas de hacer cumplir los estándares de contraseña, y ahorrar a los empleados la frustración de administrarlos manualmente, mediante la implementación de una herramienta de administración de contraseñas.
# 3: Implementar pruebas de penetración.
Etapa de experimentos de la vida real.
Las vulnerabilidades son mucho menos costosas y su resolución lleva mucho tiempo cuando se detectan antes de que alguien haya encontrado la oportunidad de aprovecharlas. Puede configurar pruebas de penetración para detectar estas vulnerabilidades de manera proactiva.
Esto puede hacerse formal o informalmente, por equipos internos o con la ayuda de expertos externos. De cualquier manera, ver hasta qué punto alguien puede acceder a sus propios sistemas pirateando o siguiendo de cerca es una forma invaluable de adelantarse a las amenazas.
Eduque a sus equipos técnicos internos.
Asegúrese de que su red sea monitoreada adecuadamente en todo momento para detectar violaciones y que todos los productos de trabajo salientes sean auditados para una seguridad óptima cuando corresponda.
# 4: protección de refuerzo para dispositivos físicos.
Manténgase actualizado con las actualizaciones de software.
Microsoft y otros proveedores están constantemente codificando correcciones de errores en su software para corregir vulnerabilidades de seguridad a medida que se identifican. Entonces, cuando las computadoras portátiles solicitan a sus usuarios que instalen las últimas actualizaciones, aliente a los empleados a que lo hagan para aprovechar esas nuevas capas de protección.
Eliminar dispositivos enchufables.
Los dispositivos portátiles y enchufables, como las memorias USB, no son una forma segura de almacenar o mover datos. En primer lugar, se pierden fácilmente. Además, la mayoría no está encriptada, por lo que los datos se dejan fácilmente accesibles y desprotegidos incluso con una contraseña simple. Finalmente, estos dispositivos a menudo carecen de opciones de borrado seguras, por lo que incluso los datos "eliminados" pueden ser recuperables.
Desalentar el uso de estos dispositivos también evita que los empleados conecten un dispositivo que se ha visto comprometido, ya que estas herramientas a menudo son presagios de malware precargado u otras amenazas digitales.
Aproveche el cifrado y los dispositivos dedicados siempre que sea necesario.
Especialmente cuando se trata de empleados remotos y empleados que viajan con datos confidenciales o de clientes, es importante proporcionar computadoras portátiles y otros dispositivos que estén correctamente encriptados y configurados para cumplir con los estándares de seguridad de la red. Siempre que sea posible, se debe indicar a los empleados que limiten el uso de su computadora para trabajar únicamente, en lugar de compartir un dispositivo entre fines comerciales y personales. Esto asegurará que no haya "contaminación cruzada" entre los datos personales y profesionales, y minimizará los riesgos externos para la información de la compañía.
# 5: Establecer una cultura de responsabilidad compartida.
Ofrezca protocolos de informes sólidos con un seguimiento exhaustivo.
Su política de seguridad, que debe enseñarse a los nuevos empleados durante la incorporación y reiterarse en toda la empresa en los cursos anuales de actualización, debe incluir expectativas de informes claras y realistas para los empleados. Facilíteles que se comuniquen con su equipo de seguridad para informar incluso pequeños incidentes, y asegúrese de tomar en serio cualquier informe. El uso de la debida diligencia en todos los asuntos fomentará el cumplimiento y evitará vulnerabilidades.
Hazlo divertido.
La seguridad de toda la empresa no se trata de pedirles a los empleados que se vigilen entre sí. Anime a los equipos a divertirse con estos hábitos mientras se hacen responsables mutuamente.
Por ejemplo, si una computadora se deja desbloqueada cuando un empleado se aleja de su escritorio, dejamos notas premonitorias en su escritorio o incluso enviamos un correo electrónico en su nombre al resto del equipo prometiendo comprar donas al día siguiente (conocido como un "correo electrónico donut"). Estas interacciones tienen el propósito de ser divertidas y recordar a los empleados que tales comportamientos pueden poner en riesgo sus datos.
Espere consistencia en la cadena.
El equipo de liderazgo de su empresa debe ser el primero en seguir estos protocolos y modelarlos para sus equipos. Muchos empleados aprenderán mejor con el ejemplo o mediante instrucciones directas de sus gerentes, y estarán motivados para mantenerse al día con las políticas de seguridad cuando sus mentores estén haciendo lo mismo.
No hay comentarios:
Publicar un comentario