Enseñar a los usuarios a proteger su organización
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Explicar las políticas de una contraseña segura.
- Describir cómo evitar ser víctima de correos electrónicos de phishing.
- Definir el enfoque de menos privilegio en los permisos de usuario.
Los usuarios tienen acceso a datos valiosos
Como vimos en la unidad anterior, el objetivo de los delitos cibernéticos de hoy en día son, a menudo, los empleados. Los empleados que tienen acceso a datos confidenciales, como registros financieros o datos sanitarios, son objetivos valiosos para los hackers. Por ello, enseñar a los usuarios de Salesforce los comportamientos seguros puede hacer mucho por la seguridad de la implementación y por conservar la seguridad de los datos de los clientes.
Un usuario individual juega un papel importante en el proceso de conservar la seguridad de los datos. Enseñar a los usuarios la importancia de su papel a la hora de mantener la seguridad de los datos de Salesforce resultará beneficioso. El activo más valioso que puede tener una empresa es la confianza de los clientes. Es su responsabilidad mantener la seguridad de los datos a fin de ganarse la confianza de los clientes día a día.
Hable con sus compañeros de trabajo o con otros administradores de Salesforce sobre las maneras creativas que les han funcionado con sus usuarios para hacer que sean más conscientes y estén más motivados a la hora de desempeñar su papel a fin de mantener los datos seguros. Encontrar maneras divertidas para concienciar a los usuarios sobre la seguridad, como llevar a cabo competiciones o juegos a fin de averiguar quién puede registrar más rápido la autenticación de múltiples factores (MFA), hará que los usuarios se muestren más abiertos a la adopción de comportamientos seguros. También puede optar por un enfoque más sistemático y colaborar con los equipos de TI o ciberseguridad para llevar a cabo pruebas de phishing habituales que formen a los usuarios para que permanezcan alerta en cuanto a los correos electrónicos de phishing de los hackers.
Prestar atención a las contraseñas
Las contraseñas son su primera línea de defensa contra el acceso no autorizado de su implementación de Salesforce. Como mínimo, establezca requisitos de historial de contraseñas, longitud y complejidad para mejorar la seguridad de la contraseña y especificar lo que los usuarios tienen que hacer si olvidan su contraseña.
A fin de aumentar la protección de las cuentas de usuario, también le pedimos a los clientes que utilicen la MFA para acceder a Salesforce. MFA significa que tiene varias formas de autenticación para conseguir acceso, normalmente es algo que conoce, como una contraseña, y algo que tiene, como un código en una aplicación de autenticación móvil.
The National Institute of Standards and Technology (NIST) (Instituto Nacional de Estándares y Tecnología) publica, a menudo, guías para la autenticación de identidad digital y la gestión del ciclo de vida. Estas sencillas prácticas recomendadas ayudan a reducir las amenazas en cuanto a las contraseñas, independientemente de si utiliza, o no, tecnologías adicionales, como la MFA y el inicio de sesión único (SSO), para conseguir más protección.
Utilizar contraseñas exclusivas
Todos hemos utilizado alguna vez la misma contraseña para varios sitios web (¿alguien ha utilizado alguna vez Maria123?). Aunque esto hace que la contraseña sea fácil de recordar, puesto que se trata de un esquema muy común, lo primero que prueban los atacantes cuando intentan descifrar una contraseña es agregar algunas modificaciones. El uso de contraseñas no seguras como esta es una manera común para los atacantes de acceder a información importante cuando un sitio web o una plataforma se ven afectados (hackeado) y las credenciales de usuario se hacen públicas o se venden en línea. Si la contraseña utilizada para el sitio web afectado también se utiliza para algo importante, como para las operaciones bancarias en línea o para acceder a bases de datos corporativas, puede causar serios problemas. Si utiliza la misma contraseña con menos variaciones, los atacantes pueden conseguir acceso a muchos sitios simplemente haciendo pruebas.
Utilizar contraseñas complejas
Haga que las contraseñas sean de al menos 10 caracteres; cuanto más larga sea la contraseña, mejor. Anime a los usuarios a que creen una frase de contraseña (un conjunto de palabras hiladas entre sí) para hacer que resulte más sencillo recordarla, combinada con al menos un número y un carácter. Un ejemplo de contraseña segura podría ser el siguiente: "CouchEagle$Window9783Fan".
Cambiar las contraseñas anualmente
Pida a los usuarios que restablezcan las contraseñas de forma anual.
No compartir las contraseñas con nadie
Recuerde a los usuarios que nunca compartan con nadie una contraseña, incluyendo la contraseña de Salesforce, ya sea en línea o por teléfono.
Utilizar un gestor de contraseñas
El uso de un gestor de contraseñas, como LastPass o 1Password, es una de las mejores maneras de mantener las contraseñas seguras. Es posible que su organización le proporcione un gestor de contraseñas pero, si no lo hiciera, puede elegir uno usted mismo. Los gestores de contraseñas le permiten guardar información de inicio de sesión de cualquier sitio web, generar contraseñas seguras y almacenarlas en una base de datos segura sin tener que memorizar contraseñas complejas para cada servicio que utilice. También es recomendable activar la MFA para su gestor de contraseñas a fin de hacerlo más seguro.
Salesforce nunca se pondrá en contacto con usted o con sus usuarios a través del correo electrónico o por teléfono para pedirle la contraseña. Si alguien se pone en contacto con usted haciéndose pasar por alguien de Salesforce y le pide una contraseña o cualquier tipo de información confidencial (por ejemplo, el número de la seguridad social), informe sobre el incidente de forma inmediata en security@salesforce.com.
No caer en el phishing
La mayoría de los ataques de phishing utilizan malware (software malicioso) para infectar un ordenador con código diseñado para robar contraseñas o datos o para alterar el funcionamiento de un ordenador o de toda una red. Por suerte, ni usted ni sus usuarios necesitan la ayuda de expertos de seguridad para detectar un correo electrónico de phishing.
Buscar el asunto o el correo electrónico del remitente mediante un motor de búsqueda
Recuerde que los correos electrónicos de phishing están diseñados para aprovecharse del comportamiento normal del ser humano y hacer que usted haga clic en un vínculo o se descargue un archivo adjunto. Pueden resultar bastante creíbles y estar basados en una premisa legítima, como informar de que un paquete está en reparto o de que ya dispone de su sueldo. A menudo, la dirección de correo electrónico del remitente puede dar señales de alerta, puesto que no coincide con el nombre de la empresa del remitente. Si no está seguro de la legitimidad de un correo electrónico, intente escribir el asunto o el correo electrónico del remitente en un motor de búsqueda para comprobar si alguna otra fuente ha informado de que se trate de un intento de phishing.
Considerar la fuente y comprobar los vínculos antes de hacer clic en ellos
Nunca haga clic en un vínculo o abra un archivo adjunto procedente de un correo electrónico que resulte sospechoso o de un correo electrónico de un remitente desconocido. Indique a los usuarios que se detengan a evaluar los correos electrónicos procedentes de remitentes desconocidos antes de hacer clic en ellos. Otro truco para comprobar si los vínculos dentro del correo electrónico son legítimos es pasar el ratón sobre ellos a fin de validar a dónde nos dirigen. Por ejemplo, si un correo electrónico le pide que haga clic en un vínculo que lleva a un documento técnico de marketing de Salesforce, pase el ratón sobre el vínculo para ver si la URL termina en salesforce.com.
Comprobar con Salesforce
Si no está seguro de si un correo electrónico es de Salesforce o no, avise al equipo de TI o de ciberseguridad de su empresa. Como el equipo de seguridad necesitará el encabezado del mensaje, es importante que reenvíe una copia del correo electrónico sospechoso como archivo adjunto a security@salesforce.com. Incluya las palabras "phish" o "malware" en el asunto para indicar que se sospecha que el correo electrónico sea de phishing.
Es posible que el equipo de seguridad de su empresa trabaje estrechamente con el equipo de seguridad de Salesforce para identificar correos electrónicos maliciosos. También puede consultar security.salesforce.com para obtener una lista de amenazas recientes de correos electrónicos de las que el equipo de seguridad de Salesforce es consciente.
Involucrar a los usuarios en la seguridad
Los pequeños cambios en el comportamiento de los usuarios pueden tener un gran impacto. Cuando el equipo de seguridad de Salesforce envía correos electrónicos de phishing a sus propios empleados, nos hemos dado cuenta de que las personas que han recibido formación sobre seguridad solo tienen la mitad de probabilidades de hacer clic en vínculos de phishing, y casi el doble de probabilidades de informar sobre ellos, en comparación con los empleados que no han recibido la formación. Considere ejecutar pruebas de phishing en su empresa y recuerde a los usuarios que sigan las prácticas recomendadas de seguridad.
Repartir derechos con moderación
Una práctica de seguridad clave es proporcionar a los usuarios el acceso mínimo que necesitan para hacer su trabajo, también conocido como principio de menos privilegio.
Por ejemplo, un analista de negocios no necesita acceder a la información de facturación de los clientes. Una práctica recomendada es limitar el número de usuarios con derechos de administrador (generalmente se recomienda no tener más de cinco) y comprobarlo periódicamente para asegurarse de que esos usuarios sigan necesitando dichos permisos. También puede limitar la visibilidad y los permisos a nivel de campo. Con el tiempo, el acceso que necesitan los usuarios cambia, por lo que es importante disponer de un mecanismo para volver a comprobar los privilegios de acceso con frecuencia.
Recursos
- Blog de Salesforce: Be a Security-Minded Admin
- Sitio externo: NIST Special Publication 800-63B: Digital Identity Guidelines
- Trailhead Live: Low Code Love — Maintain a Secure Org and Scale With Confidence
- Trailhead Live: Admin Best Practices: Remove Security Risks From Your Org With a User Audit
- Trailhead: Autenticación de usuarios
- Seguridad de Salesforce: Recursos de seguridad de Salesforce