Para minimizar el riesgo de que una empresa sufra ataques y complicar la tarea de los ciber delincuentes, Vector ITC Group proporciona varios consejos:
En primer lugar, las compañías deben instaurar ciclos de formación sobre las medidas que deben seguir los empleados para administrar sus contraseñas en su trabajo diario.
Además, se debe crear una política que obligue a generar contraseñas robustas. Para que sea considerada “fuerte”, una contraseña debe tener al menos ocho caracteres, alternar mayúsculas y minúsculas, usar números y caracteres no alfanuméricos, no utilizar palabras del diccionario, no estar relacionada con la vida o gustos del usuario, ni usar fechas relacionadas con el.
También deben cambiarse las contraseñas cada cierto tiempo. Es recomendable, para mayor seguridad que todos los colaboradores de la empresa cambien sus contraseñas cada 3 ó 6 meses. Así como cifrar todas las contraseñas de los empleados con un algoritmo robusto, nunca almacenar las contraseñas de los empleados (usar en su lugar un hash).
Crear un segundo factor de autenticación para los empleados es útil en la protección. Este funciona de forma que al introducir un usuario y una contraseña, el servicio al que se está accediendo envía un token a un dispositivo (normalmente el móvil) y pide que se introduzca el código que se ha enviado. De esta manera, se autentica mejor al usuario, ya que un atacante tendría que vulnerar el dispositivo para obtener el token, además de averiguar el usuario y la contraseña.
Respecto que los empleados puedan escribir su propia pregunta personalizada en un sistema de preguntas recordatorio para reseteo de contraseñas, se ha convertido en una vía más de ataque a la cuenta objetivo. Consiste en unas preguntas que se deben responder con la respuesta que se introdujo al dar de alta la cuenta para recuperar el control de la misma al olvidar la contraseña. Una buena solución para no sufrir ataques y que la respuesta no sea demasiado fácil de encontrar es no contestar con lógica y previsibilidad. Por ejemplo, si la pregunta es “apellido de soltera de tu madre”, la respuesta debería ser cualquiera menos esa: una palabra clave, una dirección de correo o una contraseña antigua. El objetivo es que un atacante no pueda usar información personal recopilada de Internet para adivinar la respuesta.
Otra medida es el cambiar las contraseñas por defecto de todas las aplicaciones que use la empresa. Al igual que es primordial cambiar de forma regular las contraseñas personales de los empleados, las de todas las aplicaciones y herramientas utilizadas en la empresa también han de ser actualizadas.
Es importante investigar la seguridad de los servicios que quieran usar los empleados para su trabajo y elegir el más seguro. Simples observaciones permiten evaluar el grado de fiabilidad de un servicio en Internet, como preguntarse si la página del servicio exige una contraseña robusta, usa HTTPS, tiene segundo factor de autenticación, límite de intentos y si se bloquea la cuenta al superarse, etc.
Además, todas estas consideraciones están supeditadas a la importancia de la información a proteger, ya que obviamente, no es lo mismo proteger el acceso a la web de nóminas de los empleados que el acceso a una web con contenido estático y meramente informativo.
– CIO España
