viernes, 5 de junio de 2020

Sugerencias de seguridad para el equipo donde haces trabajo remoto, y para video-conferencias

A continuación una lista de sugerencias de seguridad para el equipo donde estás haciendo trabajo remoto.

Y otras más para tus video-conferencias que tengas. 

Claro que lo primero es que te enteres de las políticas de seguridad de tu organización sobre estos aspectos y las cumplas. Puede ser que algo de lo que yo diga vaya en contra de alguna política de tu organización.

Estas sugerencias no son exhaustivas, son algunas de mis ideas. Para algo más "formal" deberás buscar en otra parte.


EQUIPO DONDE HACES TRABAJO REMOTO:

- No instales dos antivirus para "mayor protección", puede resultar en problemas de operación.

- Actualiza tu sistema operativo y sus aplicaciones, al menos revisa si hace faltan updates una vez al mes si esto no sucede automáticamente.

- Reduce o elimina el uso de dispositivos USB, propagan malware. O al menos deshabilita la auto-ejecución de estas memorias. No pongas ahí datos sensibles.

- La contraseña robusta de tu red inalámbrica debe ser conocida solo por los integrantes de tu hogar, y entre menos la sepan, mejor.

- Tu equipo debe estar protegido por contraseña para iniciar sesión.

- Habilita navegación privada y navegación segura en tu navegador. Cuidado con el phishing, correos no solicitados y estar ingresando a todo tipo de páginas web. 

- Si vas a almacenar información de la empresa en tu equipo y eso está en línea con la política, es buena idea cifrar el contenido del disco duro. Y en el mismo sentido, si hay un método de respaldo que provea tu empresa, úsalo.

 SUGERENCIAS DE VIDEOCONFERENCIAS:

- Envía el enlace solo a los interesados.

- Los datos de la videoconferencia como liga, hora, contraseña y demás detalles no debe de ser expuesta en redes sociales o foros públicos.

- Ponle contraseña a tu reunión si no viene por default.

- Si la plataforma lo permite, habilita que apruebes el acceso de los participantes previo a su ingreso.

- Comparte tu escritorio hasta verificar que tienes abierto solo lo que piensas exponer y evitar que muestres “otro” tipo de información.

- Ten cuidado al abrir tu micrófono y/o habilitar la cámara para no exponerte a escenas vergonzosas; si sabes que no tendrás ese cuidado entonces compórtate como lo harías en persona. 
 
- Ten en cuenta que la sesión podría estar siendo grabada por un participante o que saquen fotos. Si tú la organizas y la vas a grabar, así dilo al grupo antes de hacerlo.

- Tapa la cámara web cuando no la uses, o al menos fíjate que la luz junto a la cámara esté apagada.

- Es ideal que la plataforma cifre de punto a punto (end to end), de otro modo y dependiendo de tu organización y funciones, piensa la conveniencia de tratar ese tema sensible.

martes, 5 de mayo de 2020

Técnica para redactar correos

Empieza con la conclusión. En una frase o máximo 3 oraciones debes de incluir "toda" la información que necesita el destinatario, sobre todo si es un directivo que recibe decenas de correos por día (¿o cientos?), apreciará saber lo importante de tu correo a las de ya.

También es útil cuando quieres un dato de alguien y así evitar que tenga que leer todo el mensaje para que desentierre lo que le estás solicitando.

Asume que el destinatario no seguirá leyendo tu correo si ya le dijiste lo que necesita saber.

Como es posible que el destinatario solo lea las primeras líneas de tu mensaje, asegúrate de que escribes con claridad; no "cifres" la información de tal manera que sea necesario leer varias veces lo que intentas decir, mira: 
  • No debemos incumplir la negativa de la decisión de no seguir con la recomendación...
Lee todo varias veces, evita el error de escribir y mandar. Redacta y regresa a leer lo que estás diciendo; ajusta lo que debas. Elimina palabras o expresiones innecesarias:
  • Más sin en cambio.
  • Ahora bien.
  • De nueva cuenta vuelvo a enfatizar la importancia.
  • Actualmente el estado al día de hoy.

Después de esa introducción donde expresaste todo lo que debes de decir, entonces ya puedes hablar de los detalles del correo en caso de que el lector tenga interés/tiempo en seguir adelante con tu mensaje.

A continuación algunos ejemplos de cómo iniciar el correo en el entendido de que después vendrían los detalles:

Ejemplo 1 (te hacen una pregunta).
No, no di el visto bueno. La decisión de no habilitar esa característica en Windows la tomó él, y ni yo ni  mi equipo de trabajo le dimos un visto bueno ni nada que se le parezca.

Ejemplo 2 (necesitas algo)
Buen día, necesito de favor conocer la cantidad de nuevos empleados que tendrá tu área el siguiente año para yo poder presupuestarles licencias de antivirus. De no recibir respuesta para el 20 de abril, asumiré que no tendrás nuevos empleados y por lo tanto no requieres más licencias. 

Ejemplo 3.
El reporte del escaneo adjunto lista 7 debiliades críticas que debes de solucionar aplicando parches en máximo 3 días hábiles.

Ejemplo 4 (mandaron correo a varios destinatarios y de ti solamente piden un punto e informas a tu superior).
Me piden el VoBo para que un servidor tenga acceso a internet, revisé la solicitud y estoy de acuerdo; si tú también entonces así responderé. La petición de acceso es puntual a ciertos sitios y cumple con el resto de lo que dicta la política de seguridad.

lunes, 4 de mayo de 2020

Balance de seguridad y requerimientos de negocio

Si no tienes claridad en qué requiere el negocio para operar, está difícil que definas la seguridad requerida porque no sabes exactamente lo que hay que proteger. Hasta aquí es algo obvio.

También necesitas saber qué va a pasar "arriba de los fierros", para entender al negocio y no solo estar protegiendo bits y bytes sin saber qué está pasando "arriba". De otra forma puedes proteger de más o al contrario: de menos.

Así pues, el primer paso es que se tenga una definición de lo que un área de negocio necesita para que una TI le funcione, y ya luego el área de seguridad puede evaluar ese requerimiento y definir los controles de seguridad para proteger esa nueva infraestructura tomando en cuenta diversos factores como riesgo, políticas internas y cumplimiento de un tercero, controles existentes, etc.

Al final hay que tener un balance entre el requerimiento de negocio y la seguridad definida, y ante un choque entre ambos mundos, tener identificado a alguien o un área que asuma el riesgo por tener algo que le funcione al negocio con baja seguridad, o un esquema que no cumple al 100 con los requerimientos del negocio pero con una seguridad adecuada.