Fallas típicas de ciberseguridad de las empresas de reciente creación.
En Internet hay más de un millón de consejos sobre cómo mantener a flote una startup. Lo común es que los asesores resalten los problemas en la planeación de negocios, la estrategia de marketing, la atracción de inversión adicional, etc., pero pocas veces se habla sobre el problema de desarrollar un sistema de ciberseguridad sólido. Sin embargo, la falta de un entendimiento claro de las amenazas puede costarle a una startup un negocio potencialmente exitoso. Por esto, decidimos hablar sobre la mayoría de los errores de ciberseguridad más comunes, y lo que es más importante, cómo evitarlos.
Esta es una historia típica de una startup: tú y tu amigo tienen una idea brillante, la analizan con sus amigos más cercanos, y reúnen a un grupo de entusiastas para conformar a su equipo ideal. Así es como comenzaron las historias de Airbnb, Pinterest, Twitter, Uber y muchos otros proyectos.
Sin embargo, los problemas surgen cuando la startup pasa de ser una idea inicial a desarrollar flujos de trabajo reales y contratar personal adicional. En este punto, el pequeño grupo de personas afines se extiende y se convierte en un equipo de desconocidos con diferentes puntos de vista y diferentes experiencias de vida. Es este equipo, es posible que los empleados tengan un entendimiento muy diferente sobre la información que se consideraría confidencial y cómo protegerla.
Este es un ejemplo: un empleado decide que sería conveniente escribir la contraseña para un servicio online en un pizarrón; su razonamiento es que quien la necesite puede encontrarla rápida y fácilmente. Otro miembro del personal publica en una red social una selfie en la oficina con la descripción “¿quién escribiría algo confidencial en el pizarrón, donde todo el mundo puede verlo?” Este tipo de malentendido es uno de los motivos por los que las startup nuevas pueden tener problemas de ciberseguridad. El problema puede resolverse solo al desarrollar una cultura de ciberseguridad corporativa.
Al mismo tiempo, las personas que llegan a trabajar a las startups son, con frecuencia, entusiastas y aventureros, quienes rápidamente se enamoran de la idea, y que muchas veces cambian rápidamente de interés y se van. Además, es muy común que las startups dependan de especialistas de TI, quienes tienden a ir de empresa en empresa durante varios años.
La combinación de estos dos hechos puede crear un alta tasa de rotación de personal. En estas condiciones, es posible que fácilmente se multipliquen varios errores, especialmente los relacionados con ciberseguridad. Por lo tanto, es fácil pasar por alto una ciberamenaza que fácilmente podría evitarse.
Imaginemos esto: no te diste cuenta cuando tu pequeña startup se convirtió en una empresa hecha y derecha. ¿Qué errores de ciberseguridad podrías haber cometido hasta ahora?
Con frecuencia, cuando un empleado de una startup necesita acceso a recursos corporativos o servicios, inmediatamente obtiene derechos de administrador. La persona que comparte estos derechos de acceso usualmente piensa que es más fácil dar acceso a todo de una sola vez, sin entender las necesidades reales de un empleado específico y sus responsabilidades, que tener nuevas solicitudes de acceso cada semana. Pero mientras más derechos de acceso tenga un empleado, la probabilidad de error es más grande. Si quieres minimizar la cantidad de ciberincidentes, cada participante del flujo de trabajo debe tener solo los derechos de acceso que son necesarios para sus tareas.
En general, es malo para cualquier empresa. Pero en una startup, debido a la ya mencionada rotación de personal, es posible que un día ya no puedas encontrar archivos de trabajo importantes. Lo más probable es que estén en algún lado, pero es un misterio saber exactamente dónde. Un becario de desarrollo o marketing sabía dónde estaban, pero se fue de la empresa y no le dijo a nadie.
Otro problema común son las contraseñas olvidadas para las redes sociales corporativas u otros servicios con muy poco uso. Tal vez un nuevo miembro del personal abre una cuenta en Facebook o LinkedIn para ayudar a promover la empresa, pero no comparte los detalles de esta con otros miembros del personal; después cambia de puesto, entonces adiós a las credenciales de inicio de sesión y con poca probabilidad de recuperarlas.
Algunas personas podrían pensar que con una tasa de rotación de personal alta serían una buena idea utilizar cuentas compartidas. Pero mientras más personas conozcan una contraseña, es mucho más probable que se filtre debido a phishing, negligencia o malas intenciones. Además, esto complica mucho más la investigación de un incidente, cuando llegan a suceder. Vamos a suponer que alguien obtuvo acceso a una cuenta; los expertos sospechan que la contraseña fue interceptada por malware y quieren revisar la computadora de un empleado que tuvo acceso. ¡Solo para enterarse que todos tuvieron acceso!
Otro error relacionado con contraseñas es almacenarlas en algún archivo en Google Docs, lo que usualmente significa que está configurado para ser accesible para cualquiera que tenga el enlace. La ventaja obvia es que para transferir la información necesaria a todos los empleados, es muy conveniente y suficiente poner todas las contraseñas necesarias en un documento y enviar un enlace. Sin embargo, estos documentos de Google pueden ser indexados por los motores de búsqueda. En otras palabras, el archivo con todas tus contraseñas podría caer en las manos equivocadas.
Algunos de los problemas asociados con las contraseñas serían menos peligrosos si las startups no se olvidarán de la autenticación de dos factores en sus cuentas de trabajo, ya que esto te permite proteger datos importantes de varios métodos de robo, como por ejemplo del phishing. En primer lugar, la protección de dos pasos debe estar presente en todos los servicios financieros, como en Upwork.
Para evitar los errores ‘típicos’ que muchas pequeñas empresas y startups cometen, intenta seguir estos pasos:
Se puede evitar una gran cantidad de amenazas con Kaspersky Small Office Security. Esta solución no solo protege los dispositivos de tus empleados de ransomware y otras ciberamenazas comunes, sino que también incluye un administrador de contraseñas.