Educar a sus usuarios para que contribuyan a proteger su organización
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Explicar qué es una política de contraseñas segura.
- Describir cómo evitar ser víctima de los emails de phishing.
- Definir el enfoque de "menor privilegio posible" para los permisos de usuario.
Los usuarios tienen acceso a datos valiosos
Como vimos en la unidad anterior, hoy en día los objetivos más habituales de los ciberdelincuentes son los empleados. Los empleados que tienen acceso a datos confidenciales, como los registros financieros o datos sanitarios, son objetivos muy valiosos para los hackers. Por eso, educar a sus usuarios de Salesforce para que tengan un comportamiento seguro puede contribuir en gran medida a proteger su implementación y garantizar la seguridad de los datos.
Cada usuario individual desempeña un papel vital en la protección de los datos. Informarles sobre su papel en el mantenimiento de la seguridad de los datos de Salesforce tiene su recompensa a largo plazo. El activo más importante con el que puede contar una compañía es la confianza de sus clientes. Y es responsabilidad suya mantener seguros sus datos para conservar confianza día tras día.
Hable con sus colegas u otros administradores de Salesforce sobre los métodos creativos que probaron con sus usuarios para que sean más conscientes y estén más motivados para colaborar en la protección de los datos. Buscar formas divertidas de formar a los usuarios sobre la seguridad, como organizar juegos o concursos para ver quién es capaz de registrarse más rápido en la autenticación de múltiples factores (MFA), hará que los usuarios estén más abiertos a adoptar comportamientos seguros. También puede adoptar un enfoque más sistemático y asociarse con los equipos de TI o ciberseguridad para realizar pruebas periódicas de phishing que formen a los usuarios sobre cómo estar alerta frente a los emails de phishing de los hackers.
Prestar atención a las contraseñas
Las contraseñas son su primera línea de defensa contra un acceso no autorizado a su implementación de Salesforce. Como mínimo, establezca los requisitos de historial, longitud y complejidad de las contraseñas para mejorar su seguridad, y especifique qué hacer si los usuarios olvidan su contraseña.
Para aumentar la protección de las cuentas de usuario, también solicitamos a los clientes que utilicen la MFA para acceder a Salesforce. La MFA conlleva tener varias formas de autenticación para tener acceso, y suele componerse de algo que sabe el usuario, como una contraseña, y algo que tiene el usuario, como un código en una aplicación de autenticación móvil.
El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) publica periódicamente directrices para la gestión de la autenticación de la identidad digital y su ciclo de vida. Estas sencillas mejores prácticas contribuyen a reducir las amenazas para las contraseñas, con independencia de que utilice o no tecnologías adicionales como la MFA y el inicio de sesión único (SSO) para aplicar una protección adicional.
Use contraseñas únicas
Todos lo hicimos alguna vez: usar la misma contraseña para distintos sitios web (¿le suena Yo1234?). Si bien esto hace que la contraseña sea fácil de recordar, debido a que el esquema es muy común, probar pequeñas variaciones es lo primero que hacen los atacantes cuando intentan obtener una contraseña. El uso de contraseñas poco seguras de este modo a menudo permite a los atacantes acceder a información importante cuando un sitio web o plataforma se ve comprometida (hackeada), y las credenciales de los usuarios se hacen públicas o se venden online. Si la contraseña empleada para el sitio web comprometido se usa también para algo importante, como su banca online o el acceso a la base de datos corporativa, esto puede acarrear graves problemas. Si usa la misma contraseña con pequeñas variaciones, los atacantes pueden conseguir el acceso a muchos sitios tan solo probando con alternativas parecidas.
Use contraseñas complejas
Pida siempre que las contraseñas tengan, al menos, 10 caracteres, aunque si son más largas es incluso mejor. Anime a los usuarios a que creen frases de seguridad (un conjunto de palabras reales sin espacios entre ellas), ya que son más fáciles de recordar, y que agreguen al menos un número y un carácter especial. Un ejemplo de contraseña segura sería: "PerroVerde$Ventana9783Nueva."
Cambie las contraseñas cada año
Pida a los usuarios que restablezcan sus contraseñas cada año.
No comparta las contraseñas
Recuerde a sus usuarios que nunca comuniquen su contraseña (ni siquiera su contraseña de Salesforce) a nadie, ya sea online o por teléfono.
Use un gestor de contraseñas
El uso de un gestor de contraseñas, como LastPass o 1Password, es una de las mejores formas de asegurarse de que sus contraseñas son fuertes y seguras. Su organización puede proporcionarle un gestor de contraseñas, aunque, si no lo hace, siempre puede elegir una. Los gestores de contraseña le permiten almacenar la información de inicio de sesión para cualquier sitio web, generar contraseñas seguras y almacenarlas en una base de datos segura sin que tenga que recordar contraseñas complejas y difíciles para cada servicio que use. También le recomendamos activar la MFA para su gestor de contraseñas, de modo que sea aún más seguro.
Salesforce nunca hará contacto con usted ni sus usuarios por email ni por teléfono para pedirles su contraseña. Si alguien hace contacto con usted diciendo trabajar para Salesforce y le pide su contraseña o cualquier otra información confidencial (por ejemplo, el número de la seguridad social), reporte de inmediato el incidente a security@salesforce.com.
No se deje engañar por el phishing
En la mayoría de los ataques de phishing se utiliza malware (software malintencionado) para infectar una computadora con código diseñado para robar contraseñas y datos o para desestabilizar una computadora o una red por completo. Por suerte, no hace falta ser un experto en ciberseguridad para detectar un email de phishing.
Busque el asunto o el remitente del email en un motor de búsqueda
Recuerde que los ataques de phishing están diseñados para aprovecharse de los comportamientos humanos normales y engañarle para que haga clic en un vínculo malintencionado o descargue un archivo adjunto. Pueden ser muy creíbles y basarse en supuestos plausibles, como indicarle que se le va a entregar un paquete o que su cheque está listo. A menudo, la dirección de email del remitente puede hacer saltar las alertas porque no coincide con el nombre de compañía del remitente real. Si no sabe con seguridad si un email es legítimo, pruebe a escribir la línea de asunto o la dirección de remitente del email en un motor de búsqueda para ver si alguien más reportó que se trata de un intento de phishing.
Valore el origen y verifique los vínculos antes de hacer clic
Nunca haga clic en un vínculo ni abra el archivo adjunto de un email que parezca sospechoso o que proceda de un remitente desconocido. Indique a sus usuarios que se paren y evalúen atentamente cualquier email de un remitente desconocido antes de hacer clic. Otro buen truco para verificar si los vínculos del email son o no legítimos es pasar el ratón por encima para validar si se les está redirigiendo a otro sitio. Por ejemplo, si email le pide que haga clic en un vínculo para ir a un documento técnico de marketing de Salesforce, pase el ratón sobre el vínculo para ver si la URL termina por salesforce.com.
Comprobar con Salesforce
Si no está seguro de que un email procede de Salesforce, reenvíelo a los expertos en ciberseguridad o equipo de TI de su compañía. Como el equipo de seguridad necesitará los encabezados de email, es importante que reenvíe una copia del email sospechoso como archivo adjunto a security@salesforce.com. Incluya las palabras "phish" o "malware" en la línea de asunto para indicar que sospecha que el email es un intento de phishing.
El equipo de seguridad de su compañía colabora estrechamente con el equipo de seguridad de Salesforce para identificar emails malintencionados. Además, puede consultar security.salesforce.com para ver una lista de las amenazas de email recientes identificadas por el equipo de Salesforce.
Implicar a los usuarios en la seguridad
Los ligeros cambios en el comportamiento de un usuario pueden tener una repercusión importante. Cuando el equipo de seguridad de Salesforce envía emails de phishing a nuestros propios empleados, observamos que los usuarios que participaron en nuestra capacitación sobre seguridad solo tienen la mitad de probabilidades de hacer clic en vínculos de phishing y casi dos veces más probabilidades de reportarlo en comparación con los empleados sin esta capacitación. Considere la posibilidad de realizar pruebas de phishing en su propia compañía, y recuerde periódicamente a los usuarios que sigan las mejores prácticas de seguridad.
Distribuir derechos con moderación
Una práctica de seguridad clave es proporcionar a los usuarios el acceso mínimo necesario para hacer su trabajo, lo que se conoce como el principio del privilegio mínimo posible.
Por ejemplo, un analista de negocio no necesita ver la información de facturación para los clientes. Una de las mejores prácticas es limitar el número de usuarios con derechos de administrador (por lo general, recomendamos no tener más de cinco), y comprobar periódicamente si esas personas siguen necesitando permisos de administrador. También puede limitar la visibilidad y los permisos a nivel de campo. El acceso que cada persona necesita a cada cosa suele variar con el tiempo, por lo que es importante tener un mecanismo establecido para comprobar bien y periódicamente los privilegios de acceso.
Recursos
- Blog de Salesforce: Sea un administrador concienciado con la seguridad
- Sitio externo: Publicación especial del NIST 800-63B: Directrices para la identidad digital
- Trailhead Live: El código, si breve, siempre es mejor: mantenga segura su organización y amplíela con confianza
- Trailhead Live: Mejores prácticas para administradores Evite los riesgos de seguridad de su organización con una auditoría a los usuarios
- Trailhead: Autenticación de usuarios
- Seguridad de Salesforce: Recursos de seguridad de Salesforce