Una de las más grandes preocupaciones de las empresas es la protección de sus datos y la información de sus clientes. No solo por la Ley de Protección de Datos, si no por el hecho de poder realizar análisis para conocer tanto a sus propios clientes, como el estado mismo de la organización.
La posibilidad de algún ataque o violación de esta privacidad es una de las grandes preocupaciones de muchas de las pequeñas y medianas empresas en México, sobre todo ahora que el SaaS (Software as a Service), es una realidad y es cada vez es mayor el número de plataformas que ofrecen acceso a través de la nube.
Y si bien hay que reconocer que cualquier fuente de datos que se encuentre o tenga acceso a Internet, esta expuesta a que cualquier persona ajena a la organización intente acceder; la mayor amenaza de para la información se encuentra en el interior de las empresas.
La realidad es que el mayor riesgo de seguridad para las empresas se encuentran sus trabajadores; de hecho, 4 de cada 5 casos de vulnerabilidad de la información es causada por errores humanos o de procesos.
Estas vulnerabilidad pueden incluir perdida o robo de información, correos electrónicos enviados a la persona equivocada o inseguridad en paginas web.
El uso de herramientas tecnológicas dentro de las empresas, y el aumento en el número de ataques por parte de personas que buscan acceder a los servidores, para actividades sospechosas, hacen necesario que las empresas hagan consientes a sus trabajadores de los riesgos significativos y los retos que esto representa.
Algunas medidas que las empresas pueden implementar son:
Identificar correos maliciosos
Los correos maliciosos que descarguen algún tipo de virus o malware en los equipos en uso son de los ataques más comunes y sencillos que hay, por lo que es importante saber como identificarlos a tiempo. Este tipo de correo se están volviendo cada vez más sofisticados para burlar la atención del receptor pretendiendo ser un correo personal de algún cliente o prospecto.
La mayor parte de estos correos incluyen archivos adjuntos que pretenden ser cualquier tipo de documento legal, facturas, cotizaciones, etc. que la mayoría de las veces es de donde se descargan los archivos maliciosos.
Es importante hacer consientes a los empleados de esta realidad, para que verifiquen los enlaces, los remitentes y las direcciones web a las que redirigen los correos electrónicos.
No permitir el acceso de los trabajadores a datos sensibles
Permitir el acceso a información sensible o al corazón de las herramientas tecnológicas no solo expone los datos contra cualquier ataque que pueda venir, por ejemplo, de un correo malicioso.
Un empleado resentido también representa una seria amenaza. He conocido casos en los que el día que despiden a un trabajador se desquita eliminando registros de sus sistema de gestión ERP, o altera la configuración de la herramienta.
Es importante que la empresa cuente con una estrategia de acción en caso de despidos o termino de contrato, y que, en el momento en que esto pase sean eliminados todos los accesos, cuentas de usuario y contraseñas no solo de las instalaciones físicas, también de cualquier software y/o dispositivo.
Permisos de usuario
Independientemente de si el trabajador es permanente o temporal una de las ventajas más importantes que ofrecen herramientas como los sistemas ERP, es la capacidad de limitar el acceso a la información y/o los datos para que la persona solo pueda visualizar los que son indispensables para que lleven a cabo sus actividades.
Estos permisos de usuario también se pueden aplicar a las tareas y/o actividades del usuario limitando los permisos para crear o modificar datos.
Se trata de una estrategia muy útil no solo para proteger la información, también sirve para evitar cualquier tipo de mal entendido por parte de algún trabajador que, basado en el acceso a datos que no le corresponden, llegue a suponer cosas de la empresa que le lleve a realizar cualquier acción que acabe dañando a la organización.
Un plan B
Las empresas necesitan tener algún plan de contingencia tan pronto como tengan la sospecha de que ha habido algún acceso no deseado o algún trabajador ha hecho mal uso de la información.
Estas acciones pueden ir desde, implementar herramientas de monitoreo de acceso, seguimiento de la información, etc. o incluso coordinar con algún asesor legal para asegurar la privacidad de la información, la protección de datos y las acciones legales en caso de violación.
Por parte del trabajador que incurra en estas actividades se debe bloquear el acceso a las herramientas, suspensión de labores o rotarlo a otro departamento mientras dura la investigación.
Verificar la procedencia de los trabajadores
Durante un proceso de selección de personal, es importante que se considere la solicitud de antecedentes no penales, causas de termino de contrato en los trabajos anteriores, etc., con el fin de validar que la persona que se esta contratando cuenta con valores éticos y morales.
Es importante que las empresas sean consientes de la importancia que tiene tanto la protección de la información sensible de sus clientes, como los datos generados en sus actividades diarias y que implementen las medidas necesarias para garantizar su seguridad.
Cualquier perdida de información no solo puede representar un daño para la organización en cuanto a tener que volver a capturar datos perdidos. También podrían enfrentar acciones legales por parte de un cliente inconforme, o incluso por parte de la autoridad por cuestiones de la Ley Anti-Lavado.
Incluso un empleado falsamente acusado de dañar la integridad de la información de un empresa también puede emprender acciones legales contra la organización.
Si tu empresa no cuenta aun con una estrategia de protección de la información, es un buen momento para empezar a planearla y ponerla en marcha antes de que sea demasiado tarde.
Si quieres conocer como funcionan los accesos limitados de permisos para los usuarios en un sistema ERP o cuales son algunas de las estrategias para evitar ataques de fuerza bruta en tu sistema ERP o servidor envíanos un correo a info@openpyme.mx o a través de este formulario.