Más vale prevenir que curar: por qué merece la pena invertir en la gestión de contraseñas

By August 15, 2016 Sin categorizar No Comments

Nancy Deol es responsable de marketing de Advanced Kiosks, una empresa que confía en LastPass Enterprise. Hoy participa en nuestro blog como invitada para hablarnos de la importancia de la gestión de las contraseñas en el mundo de la empresa, un tema de plena actualidad. Últimamente muchas marcas —y también CEO— han sido protagonistas involuntarios de titulares a causa de incidentes relacionados con la ciberseguridad, pero lo cierto es que muchas empresas no saben por dónde empezar en su cruzada por resolver los problemas de seguridad con las contraseñas. De la mano de Nancy descubrirá cuáles son los primeros pasos que debería dar y también cómo puede ayudarle LastPass a acabar con las peores prácticas en materia de contraseñas.

En Advanced Kiosks no nos tomamos el cibercrimen a la ligera. Trabajamos con muchas administraciones públicas y organizaciones del sector sanitario. Proteger sus datos no es solo una prioridad, es una línea roja irrenunciable. Cuando una empresa nos elige para un proyecto de quioscos interactivos, explicamos al responsable (antes siquiera de que nos lo pregunte) que el servicio incluye nuestro software de gestión de quiosco preinstalado para proteger los quioscos de manipulaciones maliciosas. Este software, llamado Zamok, protege la pantalla táctil y evita el acceso de los hackers al quiosco interactivo y también la navegación por Internet no deseada. Además, garantiza que la persona que está usando el quiosco no tiene acceso a la información del usuario anterior. Hay mucha información personal que pasa al software o a la aplicación, y nosotros tomamos las medidas necesarias para que su confidencialidad no corra peligro. Y no solo eso. También protegemos los archivos y los ajustes de los administradores para impedir que personas externas puedan acceder a ellos.

Si nos tomamos tantas molestias para proteger nuestros productos, ¿por qué no hacer lo mismo con los ordenadores de nuestro lugar de trabajo?

Las grandes empresas no son las únicas que corren peligro

Estar al día de los nuevos tipos de cibercrímenes y las mejores prácticas para evitarlos es una de las prioridades que tenemos en Advanced Kiosks. IBM y Ponemon Institute revelaron los resultados de su Estudio sobre el coste de las violaciones de datos 2015 y, entre sus conclusiones, destacaba que el coste total de una sola violación de datos ascendía ni más ni menos que a 3,79 millones de USD.

Co8Z2p1WcAA-dxB

Después de leer estas estadísticas, seguro que muchos piensan que esto no va con ellos, que estas cosas solo les pasan a las empresas realmente grandes. Pero la realidad va por otros derroteros. Cuando pensamos en el cibercrimen, nos vienen a la cabeza grandes nombres como Target, LinkedIn, Ashley Madison, Sony o NASDAQ, porque son los que copan los titulares, pero lo cierto es que 1 de cada 40 pequeñas empresas corre el riesgo de convertirse en objetivo de los ciberdelincuentes. Los ataques contra pymes crecen a un ritmo alarmante. El Informe sobre seguridad en Internet de 2016 realizado por Symantec nos revela cuáles son los tipos de ataques más habituales: ataques baratos y fáciles de ejecutar, como la reutilización de contraseñas y el phishing.

La protección de sus activos y de los activos de sus clientes tiene que estar en lo más alto de su lista de prioridades, sobre todo si su empresa vende SaaS (como es nuestro caso) o si sus clientes tienen que proporcionar datos personales, financieros u otro tipo de información confidencial. Mi percepción es que la mayoría de las empresas pequeñas no dedican suficiente atención a este tema, y la falta de previsión crea una situación de vulnerabilidad a posibles ataques con repercusiones directas para ellas y para sus clientes.

¿Por qué hay tantas empresas que no hacen nada para protegerse de los cibercrímenes?

«Eso nunca me pasará a mí»

Una de las principales razones es que muchas empresas piensan que no son un objetivo suficientemente apetitoso y que es imposible que sean las próximas víctimas. Pero la realidad de los ciberataques dista mucho de esta visión, por lo que este posicionamiento es cuanto menos arriesgado, porque como bien dice el refrán: cuando las barbas de tu vecino veas pelar, pon las tuyas a remojar.

Los datos ponen de manifiesto que los ciberdelicuentes son oportunistas: a menudo eligen sus víctimas al azar y su único objetivo es conseguir dinero fácil. Por desgracia, las pequeñas empresas son presas fáciles. Según Small Business Trends, «estos ataques de phishing van dirigidos sobre todo a los responsables de finanzas de pequeñas empresas», una información basada en parte en el estudio de Symantec. Si era de los que pensaba que estaba a salvo porque no era no tiene la talla de Target ni de Sony, ha llegado el momento de cambiar de mentalidad y reconocer los riesgos que tiene delante, porque son muchos y reales.

«No tengo tiempo»

Está muy extendida la idea de que poner en marcha las medidas de prevención correctas va a llevar demasiado tiempo. Y no deja de sorprenderme, porque si se la juega y pierde el coste será muchísimo más elevado, sobre todo si tenemos en cuenta un informe de Experian publicado recientemente, que revela que el 60% de las pequeñas empresas que sufren una violación de sus datos desaparecen en seis meses.

Es innegable. Hay que dedicar una cierta cantidad de tiempo a:

  • Encontrar la tecnología adecuada para la empresa
  • Aprender la tecnología
  • Implementar la tecnología
  • Formar a los empleados en el uso de la tecnología.

Como no todas las empresas de SaaS son iguales, el tiempo de implementación puede variar mucho. En Advanced Kiosks llegamos a la conclusión de que LastPass Enterprise era la solución perfecta para nuestra empresa después de analizar todos los factores detallados arriba, y estamos convencidos de que es la solución de gestión de contraseñas ideal para cualquier compañía que disponga de poco tiempo.

LastPass es tremendamente fácil de usar. Se trata de una solución de autoservicio, es decir que cualquier empleado puede aprender a utilizarla en muy poco tiempo (aunque no sea un crack de la informática). A nosotros nos va como anillo al dedo, porque somos una empresa de tecnología de autoservicio. Además, LastPass Enterprise es una solución escalable: puede empezar con unos pocos miembros de su equipo y desplegarla en toda la organización cuando considere que ha llegado el momento.

«Confío en que mis empleados toman las medidas para protegerse»

Sinceramente no creo que se trate de una cuestión de confianza y, además, es imposible saber a ciencia cierta si están haciendo lo que deben sin un sistema que nos confirme si están siguiendo las prácticas recomendadas o no. Las primeras preguntas que debemos plantearnos (y responder) son: ¿Sé cuáles son las prácticas recomendadas para la protección de contraseñas frente a los ataques de los cibercriminales? ¿Mis empleados tienen las herramientas necesarias para aplicarlas?

Si la respuesta a las dos preguntas es sí, le felicito por su buen hacer en ciberseguridad. Es un terreno importantísimo para su empresa. Si no está seguro, aquí estoy yo para darle la información que necesita.

El artículo How do you protect your passwords? (¿Cómo proteger las contraseñas?) de Tech Talks nos da las claves. Estas son las ideas básicas:

  • Es preferible una contraseña larga a un más corta y compleja. Combinar símbolos, números, letras, etc. es aconsejable, pero lo vital es que la contraseña sea larga. Dicho esto, no vale repetir los números del 0 al 9 dos veces, o similar. 01234567890123456789 no es una contraseña segura. El orden aleatorio siempre da un plus de seguridad.
  • No conviene usar expresiones muy habituales en una cultura determinada. Los ciberdelincuentes saben que a mucha gente le gusta usar como contraseña una frase graciosa o muy conocida. «Hasta luego, Lucas» no sería precisamente un ejemplo de contraseña segura.
  • Hay que evitar usar dos veces la misma contraseña, por muy buena que sea. Quizás los cibercriminales no consigan descifrarla, pero sí pueden robarla de otro servicio que utilicemos.

Aunque los empleados conozcan estas pautas, sin un sistema que lo controle es imposible saber si las están aplicando y se están protegiendo. El ataque que sufrió LinkedIn nos da una información muy interesante en este sentido y es que las tres contraseñas más habituales entre los usuarios de este servicio eran 123456, linkedin y password. Solo este dato debería disparar ya todas las alarmas, porque LinkedIn es una plataforma social para empresas, y usted tiene una empresa. Y los empleados que están en esta red social son sus empleados.

LastPass se lo pone muy fácil para saber si sus empleados están tomando las medidas adecuadas para proteger sus contraseñas en el trabajo. Con este servicio, podrá saber en todo momento si sus trabajadores están usando contraseñas seguras y únicas. Sin un sistema que controle y le dibuje un mapa de la situación, ¿cómo puede saber lo que está ocurriendo realmente?

¿Es más caro prevenir o curar?

Si no protege su empresa frente a los cibercriminales, puede tener que enfrentarse a tres tipos de costes. Y como los datos demuestran que no solo las grandes empresas son vulnerables a los ataques, llega el momento de valorar cuáles pueden ser los costes de seguir por el mismo camino que hasta ahora, es decir, sin tomar medidas de protección.

Estos son los tres tipos de costes a los que puede enfrentarse:

  • Costes financieros: la consecuencia inmediata de un ciberrobo suele ser una pérdida de ingresos. Lo peor es que esta sustracción de activos financieros no solo tendrá un impacto en sus resultados, sino que puede deteriorar la confianza entre sus clientes potenciales y, por lo tanto, impedirle cerrar nuevos tratos y asegurarse nuevos ingresos. Además, tendrá que asumir la inversión necesaria en tiempo y recursos para volver a poner las cosas en su sitio y tapar los agujeros que propiciaron el ataque. Los costes financieros son los que primero nos vienen a la cabeza al pensar en el cibercrimen, pero no son los únicos.
  • Costes de tiempo: ahora cree que contratar una solución de protección de contraseñas le robará mucho tiempo, ¿pero qué hay del tiempo que tendrá que invertir si sufre un ataque? Piense en todas las horas que usted y sus empleados tendrán que dedicar para revertir las consecuencias de un ciberataque. Tendrán que ponerse en contacto con cuerpos policiales y judiciales, instituciones financieras, creditores, proveedores y clientes. Y todo eso sin contar el tiempo necesario para identificar la causa de la vulneración, corregirla y restablecer las contraseñas de todos los empleados de la empresa.
  • Costes de imagen: en función de lo que ocurra después de un ciberataque, el impacto negativo para su marca puede ser más que considerable. Para empezar, puede perder su trabajo o su empresa. Y también sus empleados y clientes, que pueden abandonarle para irse a la competencia. Si está al frente de una empresa pequeña o mediana, o está muy especializado en un sector, debe ser consciente de que la voz corre muy rápido y la reputación de su marca puede sufrir las consecuencias enseguida.

Si no protege su empresa de los ciberataques, la está poniendo en una situación muy delicada. En Advanced Kiosks nos dimos cuenta de que la prevención era la clave y que la inversión inicial compensaba con creces, por lo que apostamos por LastPass Enterprise.

«La gestión de contraseñas es, sin lugar a dudas, la inversión de tiempo y dinero más importante para garantizar la protección de los datos.»

– Robert Siciliano, CEO de IDTheftSecurity.com

Por qué fue LastPass Enterprise la solución elegida por Advanced Kiosks

password_manage_3-2

LastPass Enterprise era la opción perfecta para nuestra empresa de tecnología de autoservicio por muchas razones. Estas son las principales funciones y ventajas de esta fantástica solución de protección de contraseñas.

  • La razón más importante: somos una empresa de tecnología de autoservicio fundada por un ingeniero que es un firme defensor de la minimización del riesgo. ¿Puede haber razón más importante?
  • Precio: LastPass Enterprise tenía el precio correctopara nuestro equipo y, además, es escalable. Podemos añadir más miembros con el tiempo y también reducir la implementación llegado el caso. Los precios son flexibles y se ajustan a las limitaciones presupuestarias de las pymes.
  • Recursos de formación: para los miembros de nuestro equipo es muy útil tener acceso a todo de recursos de formación, desde el blog de LastPasshasta screencasts, entre otros muchos materiales creados por LastPass para ayudar a sus clientes a familiarizarse con la solución.
  • La Bóveda: la interfaz de usuario, llamada Bóveda, es intuitiva y facilita enormemente la gestión de las contraseñas. Inmersos en el frenético ritmo del día a día, nos sería imposible ponernos a descifrar cómo funciona una interfaz de usuario complicada y poco práctica, pero con la Bóveda todo es sencillo.
  • Compartir contraseñas: en la Bóveda puede tener una carpeta con contraseñas compartidas por otros usuarios, aunque no podrá editarlas. Por ejemplo, mi jefe puede darme acceso a distintas plataformas de software sin revelarme ninguna de las contraseñas necesarias para iniciar sesión. De este modo, si algún día dejo mi puesto de trabajo, puede retirarme el acceso a las contraseñas y cambiarlas. Por mi parte, yo puedo dar acceso a mis contraseñas a personas del equipo de marketing y retirárselo cuando considere oportuno. Cuando pregunté a Howard, mi jefe, qué pensaba de esta función, no lo dudó ni un instante:

«¡Me encanta la función de compartir contraseñas!». Y añadió: «Cada día me pasaba 30 minutos buscando contraseñas y ahora he recuperado ese tiempo precioso».

  • Consola de administración centralizada: este componente es muy importante porque ahorra muchísimo tiempo, sobre todo en empresas en crecimiento. Con la consola de administración centralizada, nuestro jefe puede dar acceso a sitios web y apps en pocos minutos, algo muy útil cuando se incorpora alguien nuevo a la plantilla. Además, existe la opción de precargar las bóvedas de los empleados para que tengan todos los datos de acceso que necesitarán para usar LastPass.
  • Seguridad: otro de los motivos por los que elegimos LastPass fue porque es una solución muy segura. LastPass utiliza los algoritmos de cifrado más avanzados, no guarda las contraseñas en sus servidores y emplea la autenticación de doble factor para añadir una capa más de seguridad. Esta es solo una pequeña muestra de las medidas de seguridadque LastPass emplea para proteger a sus clientes.
  • Sentido común: es más fácil que los empleados recuerden una contraseña compleja que 20. Un argumento con una lógica aplastante.

Ahora que ya sabe por qué prevenir es mejor que curar o, en este caso concreto, por qué una pequeña inversión en ciberseguridad puede ahorrarle millones de dólares en pérdidas, le animo a tomar cartas en el asunto hoy mismo. Recuerde: el cibercrimen no deja de crecer. Según un estudio reciente de Security Intelligence, el cibercrimen será un problema de 2,1 billones de USD en 2019. Ha llegado el momento de proteger su empresa con una pequeña inversión que puede darle algo de incalculable valor: tranquilidad.