En Internet hay más de un millón de consejos sobre cómo mantener a flote una startup. Como norma general, los asesores resaltan los problemas en la planificación del negocio, la estrategia de marketing, la atracción de inversión adicional, etc., pero pocas veces se habla sobre el problema de desarrollar un sistema de ciberseguridad sólido. Sin embargo, la falta de comprensión de las amenazas puede truncar a una empresa emergente un negocio potencialmente exitoso. Por ello, hoy vamos a hablar de los errores de ciberseguridad más comunes y, lo que es más importante, cómo evitarlos.
El origen del problema
Esta podría ser la historia de cualquier startup: tienes una idea brillante con un amigo, la analizáis con vuestro círculo más cercano y os hacéis con un grupo de entusiastas para conformar vuestro equipo ideal. Al menos, así es cómo comenzaron las historias de Airbnb, Pinterest, Twitter, Uber y muchos otros proyectos hoy famosos.
Sin embargo, los problemas surgen cuando la startup pasa de ser una idea inicial a desarrollar flujos de trabajo reales y contratar personal adicional. Aquí es donde el pequeño grupo de personas afines se extiende y se convierte en un equipo de desconocidos con diferentes puntos de vista y experiencias de vida. Es este equipo, es posible que los empleados comprendan de manera muy diferente qué información se considerara confidencial y cómo protegerla.
Por ejemplo, imagínate que un empleado decide escribir la contraseña de un servicio online en una pizarra, de manera que, cuando la necesite alguien, pueda encontrarla rápida y fácilmente. Después, otro miembro de la plantilla publica en una red social una selfie en la oficina con la descripción “¿Quién escribiría algo confidencial en una pizarra donde todo el mundo puede verlo?”. Este tipo de malentendido es uno de los motivos por los que las startups pueden experimentar problemas de ciberseguridad. Algo que puede resolverse con tan solo desarrollar una cultura de ciberseguridad corporativa.
A su vez, los empleados de las startups suelen ser personas entusiastas y aventureras que se enamoran de la idea y que muchas veces cambian rápido de interés y se van. Además, es muy frecuente que dependan de especialistas informáticos que tienden a ir de empresa a empresa durante varios años.
La combinación de estos dos factores puede crear una alta tasa de rotación de personal. En estas condiciones, es posible que se multipliquen fácilmente varios errores, sobre todo los relacionados con la ciberseguridad. Por lo tanto, es fácil pasar por alto una ciberamenaza que podría evitarse fácilmente.
Errores típicos de ciberseguridad
Imagínate que no te has dado cuenta de que tu pequeña startup se ha convertido en una empresa hecha y derecha. ¿Qué errores de ciberseguridad podrías haber cometido hasta ahora?
Conceder derechos de acceso excesivos
Con frecuencia, cuando un empleado de una startup necesita acceso a recursos corporativos o servicios, inmediatamente obtiene derechos de administrador. La persona que comparte estos derechos de acceso suele pensar que es más fácil conceder acceso a todo de una sola vez, sin entender las necesidades reales de un empleado específico y sus responsabilidades, que tener nuevas solicitudes cada semana. Pero, cuantos más derechos de acceso tenga un empleado, la probabilidad de error es más grande. Si quieres minimizar la cantidad de ciberincidentes, cada participante del flujo de trabajo debe contar exclusivamente con los derechos de acceso que resulten necesarios para sus tareas.
No imponer reglas para los sistemas de almacenamiento de información
En general, esto no es nada bueno para cualquier empresa. Pero en una startup, debido a la ya mencionada rotación de personal, es posible que un día ya no puedas encontrar archivos de trabajo importantes. Lo más probable es que estén en algún lado, pero es un misterio saber exactamente dónde. Es posible que un becario de desarrollo o marketing sepa dónde estaban, pero se ha ido de la empresa y no se lo ha dicho a nadie.
Perder contraseñas
Otro problema común resulta cuando se pierden las contraseñas de redes sociales corporativas u otros servicios con muy poco uso. Un nuevo empleado podría abrir una cuenta en Facebook o LinkedIn para ayudar a promover la empresa sin compartir la información de inicio de sesión con otros miembros del personal; después podría cambiar de puesto, por lo que ya te puedes despedir de las credenciales y es muy probable que no llegues a recuperarlas.
Compartir contraseñas
Hay quien podría pensar que con una tasa de rotación de personal alta sería una buena idea utilizar cuentas compartidas. Pero, cuantas más personas conozcan una contraseña, es mucho más probable que esta se acabe filtrando debido a phishing, negligencia o malas intenciones. Además, esto complica mucho más la investigación de un incidente, siempre y cuando este llegue a suceder. Vamos a suponer que alguien ha obtenido acceso a una cuenta; los expertos sospechan que la contraseña ha sido interceptada por malware y quieren revisar el ordenador de un empleado que tuvo acceso, pero, claro, ¡todos tuvieron acceso!
Compartir contraseñas mediante servicios en la nube
Otro error relacionado con las contraseñas es almacenarlas en algún archivo de Documentos de Google, que normalmente están configurados de manera que queden accesibles para cualquiera que tenga el enlace. La ventaja obvia es que, para transferir la información necesaria a todos los empleados, basta con poner todas las contraseñas en un documento y enviar el enlace. Sin embargo, estos documentos de Google pueden indexarse por los motores de búsqueda. En otras palabras, el archivo con todas tus contraseñas podría caer en las manos equivocadas.
No utilizar la autentificación en dos pasos
Algunos de los problemas asociados con las contraseñas serían menos peligrosos si las startups no se olvidaran de la autentificación en dos pasos a la hora de configurar las cuentas corporativas, ya que esto te permite proteger datos importantes de varios tipos de robo, como por ejemplo del phishing. En primer lugar, la protección en dos pasos debe estar presente en todos los servicios financieros, como en Upwork.
Consejos para evitar ciberamenazas universales
Para evitar los errores “típicos” que muchas pequeñas empresas y startups cometen, intenta seguir estos pasos:
- A la hora de conceder acceso a recursos o servicios, debes seguir el principio del mínimo privilegio. Es decir, un empleado debe tener los derechos de acceso mínimos; únicamente los necesarios para llevar a cabo sus tareas.
- Debes saber exactamente dónde se almacena la información importante de tu startup y quién tiene acceso a esta. Para ello, elabora una serie de directrices a seguir a la hora de contratar empleados nuevos y define claramente qué cuentas son necesarias para cada empleado y cuáles deberían estar restringidas solo a ciertos puestos.
- Una cultura de ciberseguridad madura ayuda a evitar muchas ciberamenazas. Puedes, por ejemplo, comenzar creando un manual de ciberseguridad para empleados de manera que todos estén al mismo nivel. Este sería un buen ejemplo para nuevos empleados.
- Todas las contraseñas deben almacenarse en un gestor de contraseñas seguro. Esto ayudará a que los empleados no las olviden o las pierdan y también reducirá la posibilidad de que alguien ajeno tenga acceso a tus cuentas. También debes utilizar mecanismos de autentificación en dos pasos siempre que sea posible.
- Indica a tus empleados que bloqueen su ordenador cuando se alejen de la mesa. Deben tener en cuenta que cualquier persona ajena podría entrar a la oficina, incluidos mensajeros, clientes, subcontratistas o solicitantes de empleo.
- Considera la opción de instalar un software antivirus para proteger los dispositivos contra virus, troyanos y otros programas maliciosos.
Con Kaspersky Small Office Security evitarás una gran cantidad de amenazas. Esta solución no solo protege los dispositivos de tus empleados del ransomware y otras ciberamenazas comunes, sino que también incluye un gestor de contraseñas.