Nancy Deol es responsable de marketing de Advanced Kiosks, una empresa que confía en LastPass Enterprise. Hoy participa en nuestro blog como invitada para hablarnos de la importancia de la gestión de las contraseñas en el mundo de la empresa, un tema de plena actualidad. Últimamente muchas marcas —y también CEO— han sido protagonistas involuntarios de titulares a causa de incidentes relacionados con la ciberseguridad, pero lo cierto es que muchas empresas no saben por dónde empezar en su cruzada por resolver los problemas de seguridad con las contraseñas. De la mano de Nancy descubrirá cuáles son los primeros pasos que debería dar y también cómo puede ayudarle LastPass a acabar con las peores prácticas en materia de contraseñas.
En Advanced Kiosks no nos tomamos el cibercrimen a la ligera. Trabajamos con muchas administraciones públicas y organizaciones del sector sanitario. Proteger sus datos no es solo una prioridad, es una línea roja irrenunciable. Cuando una empresa nos elige para un proyecto de quioscos interactivos, explicamos al responsable (antes siquiera de que nos lo pregunte) que el servicio incluye nuestro software de gestión de quiosco preinstalado para proteger los quioscos de manipulaciones maliciosas. Este software, llamado Zamok, protege la pantalla táctil y evita el acceso de los hackers al quiosco interactivo y también la navegación por Internet no deseada. Además, garantiza que la persona que está usando el quiosco no tiene acceso a la información del usuario anterior. Hay mucha información personal que pasa al software o a la aplicación, y nosotros tomamos las medidas necesarias para que su confidencialidad no corra peligro. Y no solo eso. También protegemos los archivos y los ajustes de los administradores para impedir que personas externas puedan acceder a ellos.
Si nos tomamos tantas molestias para proteger nuestros productos, ¿por qué no hacer lo mismo con los ordenadores de nuestro lugar de trabajo?
Las grandes empresas no son las únicas que corren peligro
Estar al día de los nuevos tipos de cibercrímenes y las mejores prácticas para evitarlos es una de las prioridades que tenemos en Advanced Kiosks. IBM y Ponemon Institute revelaron los resultados de su Estudio sobre el coste de las violaciones de datos 2015 y, entre sus conclusiones, destacaba que el coste total de una sola violación de datos ascendía ni más ni menos que a 3,79 millones de USD. Después de leer estas estadísticas, seguro que muchos piensan que esto no va con ellos, que estas cosas solo les pasan a las empresas realmente grandes. Pero la realidad va por otros derroteros. Cuando pensamos en el cibercrimen, nos vienen a la cabeza grandes nombres como Target, LinkedIn, Ashley Madison, Sony o NASDAQ, porque son los que copan los titulares, pero lo cierto es que 1 de cada 40 pequeñas empresas corre el riesgo de convertirse en objetivo de los ciberdelincuentes. Los ataques contra pymes crecen a un ritmo alarmante. El Informe sobre seguridad en Internet de 2016 realizado por Symantec nos revela cuáles son los tipos de ataques más habituales: ataques baratos y fáciles de ejecutar, como la reutilización de contraseñas y el phishing. La protección de sus activos y de los activos de sus clientes tiene que estar en lo más alto de su lista de prioridades, sobre todo si su empresa vende SaaS (como es nuestro caso) o si sus clientes tienen que proporcionar datos personales, financieros u otro tipo de información confidencial. Mi percepción es que la mayoría de las empresas pequeñas no dedican suficiente atención a este tema, y la falta de previsión crea una situación de vulnerabilidad a posibles ataques con repercusiones directas para ellas y para sus clientes.¿Por qué hay tantas empresas que no hacen nada para protegerse de los cibercrímenes?
«Eso nunca me pasará a mí»
Una de las principales razones es que muchas empresas piensan que no son un objetivo suficientemente apetitoso y que es imposible que sean las próximas víctimas. Pero la realidad de los ciberataques dista mucho de esta visión, por lo que este posicionamiento es cuanto menos arriesgado, porque como bien dice el refrán: cuando las barbas de tu vecino veas pelar, pon las tuyas a remojar. Los datos ponen de manifiesto que los ciberdelicuentes son oportunistas: a menudo eligen sus víctimas al azar y su único objetivo es conseguir dinero fácil. Por desgracia, las pequeñas empresas son presas fáciles. Según Small Business Trends, «estos ataques de phishing van dirigidos sobre todo a los responsables de finanzas de pequeñas empresas», una información basada en parte en el estudio de Symantec. Si era de los que pensaba que estaba a salvo porque no era no tiene la talla de Target ni de Sony, ha llegado el momento de cambiar de mentalidad y reconocer los riesgos que tiene delante, porque son muchos y reales.«No tengo tiempo»
Está muy extendida la idea de que poner en marcha las medidas de prevención correctas va a llevar demasiado tiempo. Y no deja de sorprenderme, porque si se la juega y pierde el coste será muchísimo más elevado, sobre todo si tenemos en cuenta un informe de Experian publicado recientemente, que revela que el 60% de las pequeñas empresas que sufren una violación de sus datos desaparecen en seis meses. Es innegable. Hay que dedicar una cierta cantidad de tiempo a:- Encontrar la tecnología adecuada para la empresa
- Aprender la tecnología
- Implementar la tecnología
- Formar a los empleados en el uso de la tecnología.
«Confío en que mis empleados toman las medidas para protegerse»
Sinceramente no creo que se trate de una cuestión de confianza y, además, es imposible saber a ciencia cierta si están haciendo lo que deben sin un sistema que nos confirme si están siguiendo las prácticas recomendadas o no. Las primeras preguntas que debemos plantearnos (y responder) son: ¿Sé cuáles son las prácticas recomendadas para la protección de contraseñas frente a los ataques de los cibercriminales? ¿Mis empleados tienen las herramientas necesarias para aplicarlas? Si la respuesta a las dos preguntas es sí, le felicito por su buen hacer en ciberseguridad. Es un terreno importantísimo para su empresa. Si no está seguro, aquí estoy yo para darle la información que necesita. El artículo How do you protect your passwords? (¿Cómo proteger las contraseñas?) de Tech Talks nos da las claves. Estas son las ideas básicas:- Es preferible una contraseña larga a un más corta y compleja. Combinar símbolos, números, letras, etc. es aconsejable, pero lo vital es que la contraseña sea larga. Dicho esto, no vale repetir los números del 0 al 9 dos veces, o similar. 01234567890123456789 no es una contraseña segura. El orden aleatorio siempre da un plus de seguridad.
- No conviene usar expresiones muy habituales en una cultura determinada. Los ciberdelincuentes saben que a mucha gente le gusta usar como contraseña una frase graciosa o muy conocida. «Hasta luego, Lucas» no sería precisamente un ejemplo de contraseña segura.
- Hay que evitar usar dos veces la misma contraseña, por muy buena que sea. Quizás los cibercriminales no consigan descifrarla, pero sí pueden robarla de otro servicio que utilicemos.
¿Es más caro prevenir o curar?
Si no protege su empresa frente a los cibercriminales, puede tener que enfrentarse a tres tipos de costes. Y como los datos demuestran que no solo las grandes empresas son vulnerables a los ataques, llega el momento de valorar cuáles pueden ser los costes de seguir por el mismo camino que hasta ahora, es decir, sin tomar medidas de protección.Estos son los tres tipos de costes a los que puede enfrentarse:
- Costes financieros: la consecuencia inmediata de un ciberrobo suele ser una pérdida de ingresos. Lo peor es que esta sustracción de activos financieros no solo tendrá un impacto en sus resultados, sino que puede deteriorar la confianza entre sus clientes potenciales y, por lo tanto, impedirle cerrar nuevos tratos y asegurarse nuevos ingresos. Además, tendrá que asumir la inversión necesaria en tiempo y recursos para volver a poner las cosas en su sitio y tapar los agujeros que propiciaron el ataque. Los costes financieros son los que primero nos vienen a la cabeza al pensar en el cibercrimen, pero no son los únicos.
- Costes de tiempo: ahora cree que contratar una solución de protección de contraseñas le robará mucho tiempo, ¿pero qué hay del tiempo que tendrá que invertir si sufre un ataque? Piense en todas las horas que usted y sus empleados tendrán que dedicar para revertir las consecuencias de un ciberataque. Tendrán que ponerse en contacto con cuerpos policiales y judiciales, instituciones financieras, creditores, proveedores y clientes. Y todo eso sin contar el tiempo necesario para identificar la causa de la vulneración, corregirla y restablecer las contraseñas de todos los empleados de la empresa.
- Costes de imagen: en función de lo que ocurra después de un ciberataque, el impacto negativo para su marca puede ser más que considerable. Para empezar, puede perder su trabajo o su empresa. Y también sus empleados y clientes, que pueden abandonarle para irse a la competencia. Si está al frente de una empresa pequeña o mediana, o está muy especializado en un sector, debe ser consciente de que la voz corre muy rápido y la reputación de su marca puede sufrir las consecuencias enseguida.
Por qué fue LastPass Enterprise la solución elegida por Advanced Kiosks
LastPass Enterprise era la opción perfecta para nuestra empresa de tecnología de autoservicio por muchas razones. Estas son las principales funciones y ventajas de esta fantástica solución de protección de contraseñas.- La razón más importante: somos una empresa de tecnología de autoservicio fundada por un ingeniero que es un firme defensor de la minimización del riesgo. ¿Puede haber razón más importante?
- Precio: LastPass Enterprise tenía el precio correctopara nuestro equipo y, además, es escalable. Podemos añadir más miembros con el tiempo y también reducir la implementación llegado el caso. Los precios son flexibles y se ajustan a las limitaciones presupuestarias de las pymes.
- Recursos de formación: para los miembros de nuestro equipo es muy útil tener acceso a todo de recursos de formación, desde el blog de LastPasshasta screencasts, entre otros muchos materiales creados por LastPass para ayudar a sus clientes a familiarizarse con la solución.
- La Bóveda: la interfaz de usuario, llamada Bóveda, es intuitiva y facilita enormemente la gestión de las contraseñas. Inmersos en el frenético ritmo del día a día, nos sería imposible ponernos a descifrar cómo funciona una interfaz de usuario complicada y poco práctica, pero con la Bóveda todo es sencillo.
- Compartir contraseñas: en la Bóveda puede tener una carpeta con contraseñas compartidas por otros usuarios, aunque no podrá editarlas. Por ejemplo, mi jefe puede darme acceso a distintas plataformas de software sin revelarme ninguna de las contraseñas necesarias para iniciar sesión. De este modo, si algún día dejo mi puesto de trabajo, puede retirarme el acceso a las contraseñas y cambiarlas. Por mi parte, yo puedo dar acceso a mis contraseñas a personas del equipo de marketing y retirárselo cuando considere oportuno. Cuando pregunté a Howard, mi jefe, qué pensaba de esta función, no lo dudó ni un instante:
- Consola de administración centralizada: este componente es muy importante porque ahorra muchísimo tiempo, sobre todo en empresas en crecimiento. Con la consola de administración centralizada, nuestro jefe puede dar acceso a sitios web y apps en pocos minutos, algo muy útil cuando se incorpora alguien nuevo a la plantilla. Además, existe la opción de precargar las bóvedas de los empleados para que tengan todos los datos de acceso que necesitarán para usar LastPass.
- Seguridad: otro de los motivos por los que elegimos LastPass fue porque es una solución muy segura. LastPass utiliza los algoritmos de cifrado más avanzados, no guarda las contraseñas en sus servidores y emplea la autenticación de doble factor para añadir una capa más de seguridad. Esta es solo una pequeña muestra de las medidas de seguridadque LastPass emplea para proteger a sus clientes.
- Sentido común: es más fácil que los empleados recuerden una contraseña compleja que 20. Un argumento con una lógica aplastante.