¿Cuáles son los pasos básicos para una buena ciberhigiene?

Como individuo, es probable que tenga buenos hábitos de higiene, que le inculcaron cuando era joven. Por ejemplo, le enseñaron a lavarse las manos, ducharse, cepillarse los dientes, etc.

De alguna manera adquiriste los hábitos establecidos y te acompañarán por el resto de tu vida. Ahora bien, ¿puedes aplicar hábitos de higiene en el uso de la computadora y de internet?

Los entrenamientos y actos que constituyen la ciberhigiene son bastante similares a los que definen la higiene personal diaria. En esta guía, pretendemos describir las mejores prácticas de higiene cibernética mientras lo guiamos a través de los pasos clave para desarrollarlas.

¿Qué es la ciberhigiene?

Los principales organismos de seguridad de Internet y las organizaciones de ciberseguridad definen la higiene cibernética como los medios o prácticas empleados para proteger las computadoras y mantener los sistemas de TI.

Para los usuarios, por higiene cibernética, nos referimos al buen comportamiento que las personas muestran en sus computadoras cuando realizan actividades como enviar correos electrónicos, navegar por sitios y páginas, etc. Para las organizaciones, por ciberhigiene nos referimos al buen comportamiento que debe cumplir el personal para evitar ciberataques e infracciones y mitigar riesgos.

Los buenos hábitos de higiene personal implican utilizar productos que se adapten a tus necesidades de higiene, realizar correctamente las tareas de higiene y establecer y mantener una rutina. Por lo tanto, la higiene cibernética se trata de que te entrenes para pensar y actuar de manera proactiva con respecto a la ciberseguridad. De esta manera, puede resistir las amenazas cibernéticas, mitigar riesgos graves y evitar problemas de seguridad.

¿Por qué es importante la ciberhigiene?

Según las estadísticas de delincuencia, la gran mayoría de los ciberataques (más del 95 %) se deben a errores humanos. Las personas cometen errores cuando usan contraseñas débiles para sitios y aplicaciones, hacen clic en enlaces maliciosos, abren archivos adjuntos incorrectos, completan sus datos en formularios falsos o páginas fraudulentas, etc.

Un programa malicioso no encuentra su camino en una computadora por sí solo; alguien generalmente proporciona malware con una vía para ingresar (inadvertidamente o no). Del mismo modo, los actores de amenazas rara vez atacan los sistemas de frente; los piratas suelen buscar puntos débiles y explotarlos en su beneficio.

Esencialmente, usted, como individuo, constituye la mayor defensa contra las ciberamenazas. Y, al mismo tiempo, también puedes ser el eslabón más débil. Lo mismo vale para su computadora.

Por lo tanto, al practicar buenos hábitos de higiene cibernética, se posiciona como una defensa muy fuerte, si no la más fuerte, contra todas las formas de amenazas.

¿Cuáles son los beneficios de practicar una buena higiene cibernética?

Al mejorar su higiene cibernética y desarrollar buenos hábitos cibernéticos, puede reducir significativamente el riesgo de que usted o su computadora sean víctimas de ataques. De esta manera, puede evitar la pérdida de datos, la pérdida financiera y otros eventos negativos asociados con los ataques cibernéticos y las filtraciones de datos.

Ciberhigiene para todos

La gente todavía no se toma la ciberseguridad tan en serio como debería, pero tal vez las cosas se están moviendo en la dirección correcta ya que está leyendo este artículo para saber qué debe hacer. Idealmente, debe establecer prácticas sólidas de ciberhigiene que, con el tiempo, deberían volverse tan rutinarias como cepillarse los dientes.

1. Obtenga las herramientas adecuadas para la higiene cibernética y utilícelas:

Por ejemplo, para cepillarte los dientes, usas un cepillo de dientes. Probablemente te cepillas los dientes al menos una vez al día, y esta actividad forma parte de tu rutina. Bueno, lo mismo ocurre con la higiene cibernética. Debe identificar la herramienta adecuada y usarla, y usarla con regularidad.

Por ejemplo, si va a almacenar información personal confidencial, hará bien en obtener una unidad externa, configurar un sistema de cifrado sólido y guardar los datos allí de forma segura. Seguramente no querrías exponer detalles confidenciales en Internet para que todos los vean.

En general, para practicar una buena higiene cibernética, necesitará un buen programa antivirus o antimalware, un firewall para su red, un administrador de contraseñas sólido para administrar y recordar contraseñas complejas y otros programas y configuraciones para diferentes propósitos, dependiendo de lo que haga en su computadora.

2. Aprende a hacer las cosas bien:

Ahora que sabe que necesita las herramientas adecuadas, como una utilidad de protección, para el trabajo, ¿cómo hace para usarlas? Por ejemplo, si decide que ya no necesita los archivos que guardó en una unidad, ¿cómo debe eliminar los archivos?

En términos de prácticas serias de higiene cibernética, simplemente hacer clic derecho en los archivos no deseados y seleccionar Eliminar no es suficiente. E incluso borrar los archivos eliminados de la papelera de reciclaje no funcionará. Si desea deshacerse permanentemente de los archivos que contienen datos confidenciales, deberá ir un paso más allá y usar un programa de borrado de datos para limpiar las cosas.

Lo mismo ocurre con el uso de contraseñas. Hay que repensar las cosas. Ya no se le permite actuar de manera irresponsable. No puede darse el lujo de usar contraseñas simples o usar las mismas contraseñas en varios sitios. Ahora, debe usar solo contraseñas únicas y complejas para todo. Sí, aquí es donde un administrador de contraseñas resulta útil.

3. Haga que las prácticas de higiene cibernética sean parte de su rutina:

Una práctica solo se convierte en un hábito si la mantienes. Si desea mantener una buena higiene cibernética, debe aprender a ejecutar siempre las operaciones necesarias o realizar las tareas necesarias. Y si quieres que algo se pegue, debes hacerlo de forma rutinaria y repetir las cosas una y otra vez.

Puede comenzar configurando una alarma o creando un recordatorio recurrente para una serie de tareas. Por tareas nos referimos a las siguientes:

• hacer que su antivirus escanee su sistema en busca de amenazas;
• verificar, descargar e instalar actualizaciones para programas y el sistema operativo que se ejecuta en su máquina; y
• limpiando regularmente su disco duro.

En cualquier caso, una vez que repita las tareas necesarias las veces suficientes para que se mantenga una determinada rutina, lo que significa que desarrolla los hábitos necesarios, la higiene cibernética se convertirá en una segunda naturaleza para usted. Además, le resultará más fácil mantener una buena higiene cibernética basada en hábitos ya existentes.

Pasos clave y consejos para una buena higiene cibernética para las personas

Describiremos los pasos y consejos esenciales que usted, como persona, debe seguir para mantenerse seguro tanto fuera de línea como en línea.

1. Instale un buen programa antivirus o antimalware:

Un programa antivirus o antimalware es una aplicación diseñada para encontrar amenazas (como virus, troyanos, spyware y otros elementos maliciosos) y eliminarlas. Una aplicación de este tipo es un componente vital de cada configuración de protección.

RECOMENDADO

Proteja la PC de amenazas con Anti-Malware

Verifique su PC en busca de malware que su antivirus pueda pasar por alto y elimine las amenazas de manera segura con Auslogics Anti-Malware

Auslogics Anti-Malware es un producto de Auslogics, desarrollador de aplicaciones Microsoft Silver certificado

DESCARGAR AHORA

Le recomendamos que obtenga Auslogics Anti-Malware. Este programa realiza las siguientes tareas en su computadora:

• Programación y ejecución de escaneos automáticos.
• Exploración de ubicaciones, controladores, carpetas o archivos específicos.
• Eliminación de elementos y programas maliciosos.
• Supervisar la salud del sistema y la configuración de defensa de la computadora.

2. Utilice un cortafuegos:

Un cortafuegos es una configuración o programa que filtra las conexiones entrantes y salientes y luego las permite o las bloquea en función de un conjunto determinado de reglas. Un firewall es una línea de defensa importante en la seguridad de su red porque puede evitar que los actores autorizados usen su conexión para acceder a sitios web, servidores, etc.

Puede usar el firewall integrado en Windows, pero tendrá que modificar su configuración para que funcione mejor. Alternativamente, puede usar la función de firewall proporcionada por su aplicación antivirus o antimalware.

3. Actualice todas las utilidades y su sistema operativo:

Aquí, le recomendamos que actualice todas sus aplicaciones, como navegadores web, juegos, aplicaciones de redes sociales y otras, para asegurarse de que siempre usen el código más reciente que esté libre de agujeros de seguridad o vulnerabilidades. Los desarrolladores mejoran constantemente sus programas mediante la introducción de nuevas funciones o la mejora de las funciones existentes y la adición de parches para eliminar errores y fallas.

Los piratas informáticos, cuando atacan a través de aplicaciones regulares, generalmente aprovechan las vulnerabilidades, por lo que si hace todo lo posible para mantener esos agujeros cerrados actualizando siempre sus programas, las posibilidades de que su computadora sea víctima de un ataque se reducen. Es posible que algunos desarrolladores ni siquiera informen a los usuarios que repararon una falla crítica en una actualización, por lo que hará bien en obtener e instalar todas las actualizaciones y no solo las que considere importantes.

Las mismas recomendaciones y pautas se aplican al sistema operativo (Windows, por ejemplo) que alimenta su máquina. Si usa Windows 10, entonces su computadora probablemente esté configurada para buscar e instalar actualizaciones automáticamente, si no jugó con las cosas.

De todos modos, en Windows, es probable que la configuración de actualización automática (ajustada con la función de horas activas, por ejemplo) lo ayude a mantener su sistema actualizado, si lo permite. De lo contrario, si ya eliminó la configuración de actualización automática, siempre debe recordar descargar e instalar las actualizaciones de Windows manualmente, pero esta estrategia requiere un nivel de compromiso decente.

4. Use contraseñas únicas y complejas en todas partes:

Todas sus contraseñas para sitios, aplicaciones y servicios deben ser complejas y únicas.

Por complejo, queremos decir que sus contraseñas deben ser demasiado difíciles de adivinar o descifrar para cualquier ser humano. Lo ideal es que contengan al menos 12 caracteres y consten de números, símbolos y letras mayúsculas y minúsculas. Y por únicos, queremos decir que deben diferir entre sí. No debe usar la misma contraseña en más de un sitio, aplicación o servicio. Idealmente, debe obtener un buen administrador de contraseñas para ayudarlo con las cosas.

5. Utilice la autenticación de dos factores:

Con la autenticación de dos factores, obtiene una capa adicional de protección para su cuenta o perfil en un sitio, aplicación o servicio. Si configura la autenticación de dos factores, siempre tendrá que proporcionar un código único (junto con su contraseña y nombre de usuario, por supuesto) para acceder a su perfil y datos. Bueno, lo mismo ocurre con los piratas informáticos potenciales que pueden intentar acceder a su cuenta o perfil.

Básicamente, incluso si los delincuentes de alguna manera logran obtener su contraseña única y compleja, las puertas permanecerán cerradas para ellos porque no pueden obtener el código único necesario para iniciar sesión. Este código de autenticación único es lo que define la autenticación de dos factores. Por lo general, se envía como un SMS a su teléfono inteligente.

6. Usar encriptación:

Si tiene dispositivos o sistemas que contienen datos confidenciales, como computadoras portátiles, teléfonos inteligentes, almacenamiento en la nube y unidades extraíbles, hará bien en configurar el cifrado para ellos. O es posible que desee cifrar sus datos antes de guardarlos.

En algunos dispositivos y sistemas, el cifrado es estándar; algunas aplicaciones usan cifrado de extremo a extremo; algunos servicios cifran los datos en su máquina antes de subirlos a la nube. En general, es posible que desee tomar nota de todas las funciones de encriptación (donde existan y cuándo funcionen) para aprovecharlas.

Si no desea que los datos confidenciales caigan en manos equivocadas, el cifrado es imprescindible para literalmente todo.

7. Cree copias de seguridad regularmente:

Si desea proteger sus datos, debe crear copias de seguridad para ellos. Crea copias de todo lo que importa. Sabemos que estamos recomendando consejos para ayudarlo a evitar ataques o pérdida de datos, pero prepararse (constantemente) para tales eventos es una de las mejores prácticas que puede adoptar.

Si los piratas informáticos de alguna manera logran acceder a su computadora o si su PC se infecta con ransomware, entonces las copias de seguridad que creó serán útiles. Y, de hecho, si realiza una copia de seguridad de sus datos con regularidad (como proponemos), podrá poner todo en marcha rápidamente incluso después de un evento de pérdida de datos.

8. Proteja su enrutador para asegurar su red inalámbrica.

9. Borre sus datos de la manera correcta. Limpia tu disco duro.

10. Usa VPN.

Pasos clave y consejos para una buena higiene cibernética para las organizaciones

Describiremos las estrategias más efectivas utilizadas para mitigar los riesgos y optimizar la respuesta a las amenazas en las empresas.

1. Identifique las prioridades de su organización y construya sobre ellas:

En primer lugar, le recomendamos que identifique los activos y actividades más importantes de su empresa. Si encuentra esta tarea demasiado difícil, es posible que deba reorganizar los servicios o productos de su organización. En cualquier caso, una vez que descubra las cosas más críticas, debe construir su estrategia de gestión de riesgos de ciberseguridad en torno a ellas e implementar las políticas de protección necesarias.

2. Examine y estudie cuidadosamente los riesgos que enfrenta su organización:

Para mitigar los problemas potenciales, debe obtener una comprensión adecuada de los riesgos para las operaciones, los activos o incluso las personas importantes de su empresa. Una vez que descubra los riesgos, podrá implementar estrategias de respuesta en términos de mitigación, aceptación y monitoreo. De esta manera, también puede realizar cambios que reducen significativamente las posibilidades de que ocurra un mal evento y disminuyen el impacto de tales incidentes.

Según los servicios que brinde su empresa o los productos que venda, es posible que deba proteger la información del cliente, la información financiera y/o la PI (propiedad intelectual), ya que estos datos suelen ser los más confidenciales y valiosos. Si sus clientes usan información de inicio de sesión, por ejemplo, entonces tiene la responsabilidad de proteger sus contraseñas lo mejor que pueda.

3. Desarrolle un plan de respuesta a incidentes y apéguese a él:

La respuesta a incidentes se refiere al plan o proceso a través del cual las organizaciones manejan los ataques cibernéticos o las filtraciones de datos. Se define en términos de los métodos o procedimientos que utilizan las empresas para gestionar las consecuencias de un “incidente”. La respuesta a incidentes implica que las organizaciones deben prepararse, detectar, contener y recuperarse de un ciberataque o violación de datos.

Un buen plan de respuesta a incidentes generalmente contiene procedimientos y métodos para escalar, establece claramente los roles y responsabilidades individuales y describe los procesos de coordinación para manejar las interrupciones. Desde la perspectiva de los componentes, un buen plan de respuesta a incidentes tiene componentes técnicos, legales y administrativos.

Desafortunadamente, las descripciones completas de los planes, procesos y métodos de respuesta a incidentes están más allá del alcance de nuestro trabajo en esta guía.

4. Entrene/enseñe a su personal prácticas importantes de ciberseguridad:

Idealmente, para aumentar la conciencia, debe educar a su personal, desde empleados regulares hasta gerentes senior y socios, sobre las mejores prácticas de ciberseguridad. De esta manera, puede asegurarse de que desarrollen habilidades adecuadas de ciberseguridad, lo que luego se traduce en mejoras en la conciencia. Los efectos de los ataques cibernéticos y las violaciones de datos a menudo se exacerban cuando los empleados no están al tanto y no están preparados.

Cualquiera que sea el esquema de entrenamiento que elija, debe abordar las mayores amenazas o los actores maliciosos más comunes. Bueno, en caso de que no lo supiera, la gran mayoría de los ataques o infracciones comienzan con phishing o involucran un programa malicioso.

Por ejemplo, si les enseña a todos sus empleados a tener cuidado al manejar correos electrónicos y evitar hacer clic en enlaces o abrir archivos adjuntos en mensajes sospechosos, entonces puede cerrar las cosas por phishing, y esto es significativo.

5. Utilice diseños, esquemas y principios de red de mejores prácticas:

La red de comunicación de su organización es muy importante cuando se trata de defenderse contra ataques e infracciones, por lo que debe obtener suficiente protección y supervisión. Cuando tenga que configurar el perímetro y los segmentos de la red, le recomendamos encarecidamente que seleccione los mejores diseños, esquemas y principios de red, al mismo tiempo que se asegura de que la configuración en todos los dispositivos sea coherente.

En el perímetro de la red, es posible que también desee configurar algún tipo de filtro para el tráfico de la red que le permita limitar las conexiones a las necesidades de su organización. Además, a través de este esquema, puede monitorear el tráfico en busca de actividades inusuales, irregulares o maliciosas, que generalmente apuntan a una infracción, ataque o intento de infracción/ataque.

6. Utilice el control de acceso para minimizar los riesgos:

En ciberseguridad, el control de acceso es el esquema que garantiza que los usuarios son quienes dicen ser y que obtienen un acceso estructurado y apropiado a los datos relevantes. En los círculos de TI, el principio de privilegio mínimo requiere que las empresas otorguen a los sujetos (o empleados) solo los privilegios que necesitan para hacer su trabajo.

En general, si limita al personal a la menor información confidencial posible mientras siguen siendo capaces de realizar tareas, puede reducir significativamente la cantidad de formas o eventos en los que pueden entrar en juego los ataques o las infracciones. Si el acceso a los datos es tan limitado que la mayoría de las personas de su organización no tienen acceso a detalles confidenciales, los atacantes no obtendrán nada de las computadoras de sus empleados, si sus sistemas alguna vez son víctimas de un ataque o una violación.

Cuando trabaje para crear un sistema de control de acceso, debe considerar el nivel de clasificación de la información que existe en los documentos y datos guardados en los servidores. Como regla general, debe almacenar información confidencial en las áreas más seguras o sistemas protegidos y solo otorgar acceso a ella a las personas que necesitan estos detalles.

7. Supervise los cambios tecnológicos y reaccione con rapidez:

Por un lado, debe establecer configuraciones seguras estándar para todos los sistemas operativos, programas y dispositivos de hardware de su organización. Idealmente, debería utilizar procedimientos de gestión de configuración y control de cambios para esos elementos. Y si es necesario, mientras supervisa los cambios o a la luz de ciertos eventos, debe actualizar y actualizar las configuraciones en función de las amenazas, las vulnerabilidades y los vectores de ataque.

En términos más simples, queremos decir que debe descargar e instalar actualizaciones regularmente para todo lo que importa. No puede permitirse vulnerabilidades o agujeros en sus sistemas operativos, programas o dispositivos de hardware. Cuanto más espere antes de aplicar parches, más posibilidades tendrán los atacantes de atacar su organización y amenazar sus operaciones.

8. Implementar controles para la protección y recuperación de datos.

9. Supervise la exposición al malware.

10. Desarrollar e implementar un marco de ciberseguridad.