1. Sé escéptico. Si algo parece demasiado bueno para ser verdad, probablemente lo sea. Reconoce las señales de advertencia del phishing, la ingeniería social y otras estafas, aunque puedas pecar de precavido. No hagas clic en enlaces desconocidos, no abras archivos adjuntos inesperados o sospechosos ni facilites información a alguien que no conoces o de quien no esperabas tener noticias.
2. Cuanto más larga, más fuerte. En términos de contraseñas esta debe ser siempre la máxima. Aprovecha las frases de contraseña para crear contraseñas largas que sean fáciles de recordar, pero difíciles de adivinar.
3. Tómate tu tiempo. Ve más despacio y evita cometer errores simples. Ten cuidado con el autocompletado en los correos electrónicos para no enviar información sensible a la persona equivocada. No respondas accidentalmente a “todos” cuando sólo pretendías enviar información a una persona del hilo.
4. Cuidado con el malware. Los virus, gusanos informáticos y troyanos pueden esconderse en sitios web de apariencia legítima, paquetes de software gratuitos online y correos electrónicos de phishing. Asegúrate de tener un programa anti-malware activado y actualizado.
5. Mantente seguro en los desplazamientos. La seguridad no termina cuando sales de la oficina. Sé consciente de lo que le rodea. No hables de información confidencial, como datos bancarios o información médica, en un lugar donde otros puedan oírte. Procura que las pantallas de tus dispositivos no sean visibles para los demás y utiliza una batería externa en lugar de puertos de carga públicos para protegerte del “juice jacking”.
6. Conoce tu información y protégela con criterio. No puedes proteger tu información más sensible si no sabes qué información tienes. Haz un inventario de la información de tu organización, seas una empresa grande o pequeña. Clasifica en función del nivel de sensibilidad y, en consecuencia, protégela según ese mismo nivel.
7. Limita el acceso. Puede que contrates a las personas más fiables para trabajar en tu equipo, pero eso no significa que todas deban tener acceso a la información más delicada. Proporciona accesos en función de la necesidad de conocimiento de cada empleado. De esta forma proteges la confidencialidad, pero también reduces el impacto, en caso de que el acceso de alguien se viera comprometido. También utiliza la autenticación multifactor cuando tengas la opción de hacerlo para minimizar el daño que pudiera causar el robo de alguna de vuestras contraseñas.
8. Mantén una actitud segura online. Si eres consciente de que Internet contiene estafas y amenazas en casi todos los rincones, podrás detectar cuándo algo no parece correcto y así te mantendrás alejado. En este sentido, es clave utilizar y exigir redes seguras: si el WiFi que uno utiliza no está cifrado, hay que asegurarse de que se usa una VPN u otra capa de protección. También hay que utilizar marcadores para las URL importantes y disminuir así las probabilidades de caer en falsificaciones de las auténticas. Evita compartir demasiado en las redes sociales y asume que todo lo que se publica es público, independientemente de la configuración de privacidad.
9. Sé consciente de la seguridad e infórmate. Incluso con las mejores de las intenciones, a veces los ciberdelincuentes ganarán la batalla. Es importante que tu empresa cuente con un plan definido de detección y respuesta a incidentes, de modo que el equipo de seguridad sea notificado rápidamente si existe el riesgo de un compromiso. Cuanto antes lo sepa tu equipo, antes podréis protegeros contra él. Comunica con frecuencia tu método preferido de notificación de incidentes para que los empleados no tengan ninguna duda sobre cómo proceder y ponerse en contacto contigo.
10. Si se puede conectar, protégelo. A medida que el perímetro de tu infraestructura empresarial se difumina con los servicios en la nube y los dispositivos personales que se utilizan para trabajar (BYOD – “Trae tu propio dispositivo”), debes asegurarte de que las políticas corporativas son inclusivas para exigir que cualquier dispositivo utilizado para el trabajo que pueda conectarse a Internet esté protegido. Puede tratarse de software anti-malware, contraseñas seguras o controles de acceso. Cada dispositivo requerirá algo diferente, pero una regla general es que, si puedes conectarlo, protégelo.
11. Haz una copia de tus datos. Puedes tener el mejor programa de seguridad y, aún así, encontrarte en una situación en la que ya no se puede acceder a los datos ni confiar en ellos. Realizar copias de seguridad periódicas de tus datos en 3 ubicaciones diferentes y en 2 soportes distintos, con 1 copia externa, 1 copia desconectada, con bloqueo inmutable y 0 errores con verificación de recuperación (regla 3-2-1-1-0 de Veeam), te permitirá restaurar rápidamente los datos con un tiempo de inactividad mínimo y mantener tu negocio en funcionamiento.
12. Forma a los empleados. Los ciberdelincuentes cambian constantemente sus tácticas a medida que conocen las medidas de protección que se aplican. El personal de tu organización puede ser el eslabón más débil o el mayor activo de la empresa. Haz hincapié en enseñar a cada empleado cómo pueden formar parte del cortafuegos humano y convertirse en una extensión del equipo de seguridad.
