Stonesoft tiene muy claro que los medios sociales están creciendo en importancia. Tanto es así que de acuerdo con Gartner, alrededor del 20% de los usuarios empresariales van a utilizar los llamados servicios de redes sociales como sus herramientas de comunicación más importantes en el año 2014. Sin embargo, al mismo tiempo los directores de las empresas y los de TI muestran una creciente preocupación por la falta de seguridad alrededor de ellos.
Ese temor ha llevado a que estudios recientes muestren que hasta un 25% de las empresas ha prohibido el uso de las redes sociales, aunque otras fuentes incluso sitúan esta cifra en el 50%. Y es que los problemas de seguridad limitan el enorme potencial que los medios sociales pueden ofrecer a los departamentos de marketing, ventas y comunicación corporativa. Con este panorama, Stonesoft ofrece diez consejos que ayudarán a las organizaciones a utilizar estos medios sociales sin comprometer la seguridad.
Diez consejos para el uso seguro de los medios sociales:
1. Aumentar la concienciación de los empleados. Los usuarios pueden cambiar la forma en que actúan en las redes sociales sólo si son conscientes de los riesgos de seguridad. Por lo tanto, las organizaciones deben informar a sus empleados sobre esos peligros y concienciarles de que algo que aparentemente es inofensivo puede revelar mucha información sobre la compañía o sobre las vidas privadas de las personas. Así pues, proporcionar información continua sobre las nuevas amenazas y mantener normas de conducta puede ayudar en esta labor. Es más, resultará útil nombrar a un experto en estos temas que actúe como un contacto permanente con los empleados.
2. Establecer procesos estables y firmes. Los administradores necesitan mantenerse al día acerca de los riesgos más recientes existentes en la Web. Por lo tanto, conviene establecer procesos estables que son sistemáticamente vinculados a los flujos de trabajo diario. Por ejemplo, dichos administradores tendrán que asegurarse de descargar las últimas actualizaciones de seguridad, ya que estos mecanismos aparentemente mundanos permiten identificar ataques a la red a tiempo y evitarlos por completo.
3. Mantener un conjunto sólido de normas. Con guías de comportamiento internas, los administradores pueden definir las zonas de la red y las aplicaciones a las que determinadas personas pueden tener acceso en momentos específicos. Esto hace posible el control y la monitorización del acceso a datos críticos, así como el rastreo de dicho acceso, reduciendo el riesgo de que la información caiga en malas manos a través de canales no autorizados. Las empresas también deben tener en cuenta los requisitos de cumplimiento, pues lo importante es mantener estas políticas al día.
4. Bloquear sitios web infectados. Que alguien haga clic en un sitio web infectado y descargue un troyano puede suceder a pesar de haber formado y concienciado a los empleados. Para solventarlo, los filtros de URL permiten a las empresas bloquear el acceso a malware conocido, websites de phishing e incluso a cualquier otro sitio sospechoso de Internet. Esta función de filtro se mantiene continuamente actualizada mediante el mantenimiento de listas negras y listas blancas.
5. El uso de firewalls de próxima generación. Las organizaciones deben mantener los elementos de seguridad actualizados en todo momento. Por ejemplo, los firewalls modernos ofrecen un análisis global de todos los datos de tráfico. Una profunda inspección posibilita el seguimiento de cualquier tipo de dato, de navegación web y de aplicaciones peer-to-peer de cara a encriptar el tráfico de datos en un túnel SSL. Así, en el proceso conocido como inspección SSL, el firewall descifra el flujo de datos SSL para su inspección y lo cifra de nuevo antes de la transmisión de los datos a la red. Esto protege de manera efectiva estaciones de trabajo, redes internas y servidores contra ataques dentro de los túneles SSL.
6. Definir el acceso a las aplicaciones empresariales. Los usuarios móviles, partners y mayoristas a menudo necesitan tener acceso a la red empresarial desde el exterior. Dentro de este grupo, el uso de medios sociales puede ser controlado sólo de un modo muy limitado. Esto hace aún más importante asignar derechos para definir cualquier acceso a la red de forma centralizada, por ejemplo, utilizando un portal SSL VPN. Al mismo tiempo, a nivel de usuario una fuerte autenticación a través de Single Sign-On hace el trabajo del administrador más fácil. Como resultado, una sola contraseña (login) permite a los usuarios el acceso únicamente a las áreas para las que están autorizados.
7. Proteger contra las vulnerabilidades. Las vulnerabilidades representan un reto especial para cualquier red. Además, los ataques a través de los servicios de red sociales que se aprovechan de ellas están aumentando. En este caso, una solución IPS (Intrusion Prevention System) como StoneGate IPS puede actuar como barrera protectora. De hecho, un IPS automáticamente previene de las amenazas de gusanos, virus u otros malware. Una vez que un ataque ha sido identificado, el IPS inmediatamente lo detiene y evita que se propague por la red. El sistema también permite el parcheado virtual de servidores y servicios.
8. Asegurar la intranet. La intranet de cada empresa contiene información muy delicada. Las áreas que la albergan deben ser aisladas del resto de la red interna mediante la segmentación de la intranet con firewalls, de tal modo que permita a la compañía separar departamentos, como Finanzas o Contabilidad, del resto y así prevenir que las infecciones penetren en estos segmentos críticos.
9. Incluir los dispositivos móviles en la política de seguridad. Muchos usuarios navegan por redes sociales con dispositivos móviles tales como ordenadores portátiles, PDAs y teléfonos inteligentes –los mismos que utilizan para acceder a la red corporativa–. Los administradores, por lo tanto, necesitan incluirlos en sus políticas de seguridad. Esto puede hacerse, por ejemplo, con la función de evaluación, que comprueba el log-in del dispositivo y detecta la presencia de paquetes de software de seguridad adecuados. Esta función comprueba, entre otros aspectos, si el firewall está instalado de forma adecuada o si el sistema operativo y el antivirus están al día, así como todos los parches. Si alguno de estos criterios no se cumple, se niega o se limita automáticamente el acceso del dispositivo. Es más, si es necesario los dispositivos móviles pueden ser enviados directamente a un página web que contiene las actualizaciones necesarias.
10. Utilizar una gestión centralizada. La gestión centralizada permite a los administradores supervisar y configurar la red y los dispositivos que utilizan una única consola. También hace posible la visión de informes en los que se muestran quién ha accedido a los datos en cada momento. Esto ayuda a dichos administradores a evitar los ataques de un modo más eficaz, además de proporcionar una protección más eficiente para aplicaciones en riesgo. Al mismo tiempo, una consola central de gestión permite desplegar y mantener directrices estándar de seguridad para toda la red empresarial.
«El uso creciente de medios sociales presenta riesgos adicionales para las redes corporativas. La formación continua de los trabajadores es limitada, así como su capacidad para evitar nuevos riesgos. Por esa razón, la existencia de mecanismos internos de protección de red que identifican y eliminan ataques al instante son cada vez más importante. Así pues, con una estrategia de seguridad adecuada que combine formación y concienciación de los empleados con las más nuevas tecnologías, las organizaciones de todos los tamaños podrán beneficiarse de las ventajas de las redes sociales «, afirma Klaus Majewski, Vicepresidente de Marketing de Stonesoft.
