Mejores prácticas de seguridad informática para contratistas
Los contratistas y renovadores se concentran en sus herramientas, su personal y sus procesos para hacer crecer sus negocios de construcción y remodelación y aumentar sus ganancias.
Sin embargo, un aspecto importante de sus negocios, la seguridad informática para contratistas, no recibe si no una fracción de esa atención. Y los piratas informáticos lo saben.
Un presupuesto limitado y la carencia de pericia técnica han convertido a las pequeñas y medianas empresas de construcción y remodelación en un blanco fácil desde 2010, según la firma de seguridad de software Symantec.
Desafortunadamente es cada vez más común para las pequeñas y medianas empresas, incluyendo las de contratistas y renovadores, ser presa de ataques virtuales y perder sus datos o sufrir interrupciones a causa de virus informáticos.
Una frase común es: “¿Por qué razón querría alguien atacar las computadoras de mi compañía?” Los expertos en informática dicen que son su datos, y no usted ni su compañía, los objetivos: las direcciones de correo electrónico e información de las tarjetas de crédito de sus clientes, los números de seguro social de sus empleados e información bancaria y financiera de otra índole. Estos datos son usados para robar identidades, transferir fondos de cuentas comerciales, hacer compras no autorizadas con los números de tarjetas de crédito robados y, en ocasiones, extorsionar por dinero.
Así que, ahora que comprende el riesgo y la necesidad de implementar medidas de seguridad informática para contratistas, ¿cuál es la manera más rentable y eficiente de mantener seguros sus datos?
Planes de seguridad de datos
Uno de los aspectos de seguridad informática para contratistas más importante es la seguridad de sus datos. Sin embargo, no existe una solución de seguridad de sus datos que se ajuste a todos por igual. Su elección debe estar basada en cómo opera su negocio y en el tipo de datos que almacena.
Si no comprende lo que tiene y lo que necesita para protegerlo, trabaje con un profesional que pueda realizar una auditoría de sus sistemas computacionales. Como primera defensa, sus datos delicados deben estar codificados, pero es necesario aplicar otros controles de protección de datos.
Use contraseñas difíciles de descifrar
Las contraseñas son la clave que proporciona acceso a sus datos. Las contraseñas difíciles de descifrar contienen al menos ocho caracteres con combinaciones de mayúsculas y minúsculas, números y símbolos. Jamás use palabras que se encuentran en los diccionarios. Los criminales cibernéticos usan herramientas que detectan dichas palabras fácilmente.
He aquí algunas pautas para el uso de contraseñas.
- No use la misma contraseña, ni contraseñas similares, para varias cuentas
- Separe las contraseñas comerciales de las de las cuentas personales
- Cambie siempre las contraseñas predeterminadas que vienen con cuentas y software nuevo
- Cambie las contraseñas fáciles de descifrar por unas difíciles, y reemplácelas por unas nuevas cada 30 o 90 días
- No revele las contraseñas administrativas en ninguna comunicación electrónica, incluyendo los correos electrónicos.
- Guarde las contraseñas fuera de línea. Un documento de Microsoft Word “secreto” no es lo suficientemente seguro
- Borre todas las contraseñas y cuentas usadas por exempleados.
Si necesita ayuda para administrar y generar contraseñas difíciles de descifrar, hable con un profesional de informática. Considere usar una herramienta económica o gratuita de administración de contraseñas que almacene de manera segura todas sus contraseñas en la nube y le da acceso fácil usando una sola contraseña.
Copias de seguridad de sus datos
Un sistema de copias de seguridad o respaldo copia y archiva sus datos. Puede luego ser restaurado si los datos originales se pierden o corrompen.
La frecuencia con la que respalde o copie sus datos dependerá de sus operaciones comerciales. No haga los respaldos manualmente, use un programa automático confiable y económico. Para seleccionar un respaldo automático, determine:
- Cuáles datos deben incluirse en la copia de seguridad
- Con qué frecuencia deben respaldarse los datos. Considere proteger los datos de propiedad exclusiva e intelectual, incluyendo los procesos para licitar y presupuestar, información de contabilidad y de sus clientes, aplicaciones y bases de datos
- Dónde se almacenan los datos (localmente, en la nube o ambos) y cómo se organiza ese espacio de almacenamiento (quizás segmentado por departamento)
- Cómo puede administrarse mejor el proceso para su compañía
- Quién revisará los registros e informes, y cuán a menudo
- Quién probará el sistema de respaldo, y cuán a menudo
Un profesional de informática puede aconsejarle una solución de copias de seguridad de datos para su empresas de construcción.
Consejo⇒
Cuando almacena sus datos en la nube, la responsabilidad de mantenerla segura recae en el servicio de seguridad. Por ese motivo, muchos profesionales de informática lo ven como una buena solución para las compañías pequeñas. Algunos de los proveedores más reconocidos son Microsoft, Verizon y Symantec.
Protéjase contra virus y malware
Una de las principales prácticas de seguridad informática para contratistas es mantener protegido su sistema contra virus y malware. Le recomendamos entonces mantener actualizado su software, incluyendo las aplicaciones móviles.
Active la función de actualización automática que viene con la mayor parte de los softwares. Use el último software de antivirus. Los minutos cuentan cuando hay una violación de seguridad de los datos.
El malware puede dañar su software, robarle información privada y, en ocasiones, tomar control de su computadora o dispositivo electrónico. Puede instalar un código que capture lo que se escribe en el teclado, incluyendo información de inicio de sesión.
El phishing, a través del correo electrónico y las redes sociales, es un método que usan los criminales cibernéticos para obtener información confidencial de empleados desprevenidos. Pretenden ser una fuente confiable o usan el nombre de alguien conocido. Usualmente incluyen enlaces a sitios web que contienen malware. Los filtros antispam y la autenticación del correo electrónico ayudan a eliminar el phishing. Sin embargo, limitarse únicamente a soluciones técnicas no frenan los daños que el phishing puede causar. Se requiere que los empleados estén informados y alertas. Indique a los empleados que deben evitar hacer clic en enlaces sospechosos en correos electrónicos o abrir archivos adjuntos. Jamás deben compartir información confidencial sin confirmar primero la fuente.
Las firewalls pueden ayudar a bloquear los virus y el malware y pueden ser tan sencillos de usar como simplemente activar la función de firewall en su PC o Mac. Consulte a un profesional de informática para comprender lo que hacen las firewalls y cómo deben configurarse para su negocio.
Consejo⇒
Mientras más pronto conozca de la existencia de un virus informático, más fácilmente podrá enfrentarlo. Puede implementar las medidas de seguridad informática para contratistas y mantenerse al tanto de las alertas de seguridad y otros consejos a través del sitio web del National Cyber Awareness System, operado por el U.S. Computer Emergency Readiness Team (US-CERT).
Mejores prácticas en protección de datos
No venda ni otorgue una computadora del negocio a ninguna persona ni organización sin antes retirar físicamente o borrar electrónicamente el disco duro. Es mejor que un profesional de informática o un técnico capacitado se encargue de esta tarea.
Si su sitio web se ha visto comprometido, reporte el malware a stopbadware.org, un programa sin fines de lucro dirigido por el Dr. Tyler Moore en el Security Economics Lab de la Universidad de Tulsa. El sitio contiene numerosos recursos para evitar el malware en línea y para proteger las computadoras personales.
Incluya una cláusula en sus contratos con subcontratistas y proveedores para garantizar que tomen precauciones razonables de seguridad, tales como la codificación de datos. Incluya también una cláusula que exija la notificación en caso de una violación de seguridad de datos en sus compañías.
De la misma forma, si en su compañía ocurre una violación de seguridad de datos que afecte a otros, notifíqueles tan pronto como sea posible. La transparencia es altamente apreciada en la comunidad informática. Al mantener sus datos seguros, no solo está protegiendo su compañía, sino también a todos sus clientes, sus empleados y las compañías con las que hace negocios.
Comprenda su vulnerabilidad
Las organizaciones de procesamiento de tarjetas de crédito, incluyendo Visa, MasterCard, Discover y American Express, cambiaron recientemente sus normas de responsabilidad legal. A partir del 1 de octubre de 2015, si los negocios no usan dispositivos que cumplan con EMV para aceptar transacciones con tarjetas de crédito, la responsabilidad por las transacciones fraudulentas será ahora del comercio que la acepte.
EMV es un estándar global para tarjetas de pago por débito y crédito, basado en la tecnología de tarjetas con chip. EMV son las siglas por Europay, MasterCard y Visa, las compañías que desarrollaron la norma.
−Por Mary Klest