Los efectos generados por una brecha de seguridad online se dejan sentir en múltiples áreas. Pueden ir del daño de la imagen personal y empresarial, pérdida de la confianza de los clientes y otros públicos de interés, problemas operativos para continuar desarrollando la actividad profesional y hasta el deterioro del ambiente laboral. En estas consecuencias se pone el acento hoy, 11 de febrero, cuando se conmemora el Día de Internet Segura, pero también se pone el foco en las medidas de prevención, porque siempre hay margen para mejorar.
En el caso de las empresas, y más concretamente en el de los despachos de abogados, uno de los pasos clave es la realización de cursos de formación para los empleados, que deberían estar adaptados a las distintas funciones y a las características de su puesto de trabajo. Ellos suelen ser el eslabón más frágil en la cadena de seguridad.
A ello se deben sumar campañas periódicas de sensibilización, de manera que nadie baje la guardia en el entorno profesional, ya que los efectos pueden ser dejar tocado el normal funcionamiento corporativo. Esto es especialmente relevante en los casos en los que la compañía ya ha protagonizado previamente alguna brecha de seguridad en Internet o ha sufrido algún ciberataque.
Aunque tener un cierto nivel de control de la información que se ha hecho pública a través de la red es un práctica fundamental, hay una serie de pasos que se deberían dar previamente. Son los siguientes:
1. Autodiagnóstico de riesgos. Existen herramientas de gran utilidad que pueden ayudarnos a conocer el nivel de exposición de la web corporativa, los correos, los perfiles en redes sociales tanto de la empresa como de los principales directivos. Conocer los riesgos es la base sobre la que trabajar para mejorar la seguridad en Internet.
2. Actualizaciones. Los programas, aplicaciones y software, así como los sistemas de antivirus, deben estar actualizados y contar con los parches para que el entorno corporativo esté preparado para dar una respuesta contundente ante cualquier vulnerabilidad o ataque en la red.
3. Contraseñas. Se debería establecer una política para utilizar contraseñas robustas en el entorno empresarial. Las instrucciones deben ser claras, directas y sencillas de comprender: no se debe utilizar la misma para todo, no se pueden escribir en agendas o post it, no se deben compartir con nadie. Y, sobre todo, conviene lanzar recordatorios cada cierto tiempo para que se modifiquen las claves de acceso a los sistemas internos, siguiendo los criterios de seguridad establecidos.
4. Acceso. Se debe evitar operar en los sistemas informáticos o en la nube corporativa accediendo desde las conexiones wifi de carácter público, sobre todo si se van a tratar datos sensibles o si se van a utilizar nombres de usuario y claves de acceso a entornos críticos para la seguridad de la compañía. Asimismo, es conveniente recordar a los empleados que teletrabajan o que tienen trabajo híbrido que cambien la contraseña periódicamente de la wifi propia.
5. Herramientas tecnológicas. También se debe establecer una política sobre los programas y aplicaciones que se pueden utilizar en el entorno profesional y cuáles están prohibidas de manera explícita. Los trabajadores deben estar informados y conocer los canales establecidos para resolver cualquier duda sobre las herramientas tecnológicas permitidas. De esta manera, se evitará el fenómeno conocido como shadow IT, que puede ser de alto riesgo para las organizaciones.
6. Plataformas sociales. En cuanto al uso de las redes sociales, es conveniente cambiar la configuración de privacidad y ser especialmente cuidadoso con la información que se comparte, también con las imágenes del despacho que se publican en el marco de la función de comunicación digital, ya que se puede “colar” algún tipo de dato sensible que puede derivar en alguna situación de vulnerabilidad o posibles accesos no autorizados.
7. Personalización. Cada usuario de la empresa debería tener configurada únicamente su cuenta en el dispositivo corporativo, de manera que su configuración esté personalizada y adaptada a los permisos y al nivel de acceso que se le quiere otorgar, dependiendo de su grado de responsabilidad y de sus funciones.
8. Copias de seguridad. Una de las herramientas más útiles y de mayor valor de cara a cualquier posible ataque o secuestro de los ordenadores son las copias de seguridad. De existir una política que se cumpla a rajatabla con un calendario adaptado para la realización de un duplicado de los sistemas, de manera que, si la firma es objeto de un ataque de ransomware, que bloquean el acceso y exigen una compensación para liberarlos.
Más privacidad personal
¿Qué ocurre si se trata de privacidad a nivel personal? Igualmente, siempre hay margen de mejora. Es posible que estés compartiendo algunos datos en tus cuentas en las distintas redes sociales - Facebook, X (antigua Twitter), TikTok, Instagram, entre otras- que quizás no deberían ser tan accesibles. La buena noticia es que puedes cambiar esta situación si modificas la configuración que viene dada por defecto en estas plataformas, poniendo límites para que puedas determinar con más precisión cuáles son las personas que tienen acceso a tus fotos, quién puede ver tus publicaciones, quién te puede etiquetar en otras imágenes o contenidos y limitar las publicaciones geolocalizadas.
Compartir demasiada información puede ponerte en riesgo, incluso aquella que parece inofensiva. Y es que en cuanto la publicas o se la envías a algún contacto, pierdes el control. De ahí la conveniencia de ser especialmente precavidos con contenidos más íntimos, como algunas imágenes o fotografías, tus planes para las vacaciones, tus datos bancarios o del trabajo, etc.
El Dia de la Internet Segura es una buena ocasión para ser más conscientes de que cada vez que sale información de tus dispositivos, es muy difícil saber dónde terminará. Incluso si publicas una imagen y después te arrepientes y la borras de tus cuentas, ya has abierto la puerta a que otras personas puedan hacer capturas, manipularla y darles difusión con fines que tú desconoces.