El help desk es uno de los elementos más importantes en la prestación de servicios de IT en una organización. Es el primer punto de contacto y el espacio para resolver un problema cuando los empleados o clientes se enfrentan a cualquier dificultad. Por lo tanto, contar con un help desk seguro es un paso básico para garantizar la eficacia y evitar los costosos tiempos de inactividad.
Además de prevenir los ciberataques, un software de help desk robusto te ayudará a cumplir con las normas del sector.
En este artículo, exploraremos qué implica un help desk seguro y las nueve formas de conseguirlo.
Vamos a profundizar sobre el tema.
¿Por qué necesitas un help desk seguro?
En toda organización, el help desk es la interfaz entre los equipos de tecnología de la información que prestan los servicios y los usuarios finales que los utilizan. Además, suele ser la primera línea de defensa en caso de un ciberataque: al estar conectado con esos usuarios finales y monitorear la infraestructura de seguridad, es probable que el equipo de help desk identifique primero una amenaza y tome las medidas para mitigarla.
A la vez, como tiene acceso a las estaciones de trabajo, los dispositivos móviles, los routers y los servidores, así como a todo el sistema del puesto de trabajo digital y los datos asociados a él, el help desk representa una gran superficie de ataque.
La ausencia de medidas sólidas de ciberseguridad pone en riesgo estos datos e incluso los dispositivos de los clientes. Además, puede hacer que toda la organización se detenga repentinamente. Y no olvidemos que una violación de datos afectará significativamente a la reputación de la marca. Incluso causará daños financieros.
¿Cómo garantizar que tu help desk cumple con las normas de seguridad del sector?
Para asegurarte de que tu help desk cumple con la normativa del sector, el primer paso es identificar las leyes vinculadas con el rubro.
Aparte de las normas de seguridad generales -como la Ley General de Protección de Datos y las certificaciones ISO-, necesitarás conocer las específicas de tu sector. Por ejemplo, si te dedicas a la tecnología financiera, debes saber del cumplimiento de la PCI (Payment Card Industry), mientras que la HIPAA (Health Insurance Portability and Accountability Act) es una regulación que involucra a las organizaciones que procesan datos de pacientes.
El siguiente paso es realizar una auditoría de software independiente para averiguar los puntos débiles de cumplimiento en tu gestión de servicios de TI (ITSM). Esto te ayudará a comprender en qué punto te encuentras, a qué riesgos te enfrentas y qué cambios debes realizar.
Ahora que tienes tu lista de ajustes, desarrolla un plan integral para cumplir con la normativa, asignar los cambios a los miembros del equipo y ponerlos en práctica. No olvides documentar cada actividad de ITSM e incluirla en la estrategia de cumplimiento.
Después de la implementación, es crucial desarrollar mecanismos para realizar auditorías periódicas, de modo que puedas asegurarte de que tu empresa sigue acatando las normas.
Sin embargo, el cumplimiento no es sinónimo de seguridad. Por ello, veamos las acciones necesarias para garantizar un help desk seguro.
Los nueve factores más importantes para garantizar un help desk seguro
1. Evita el restablecimiento de contraseñas por teléfono
Otro método beneficioso para proteger los datos sensibles es evitar la posibilidad de solicitar el restablecimiento de contraseñas por teléfono. Hay formas de realizarlo: desde una pantalla de inicio de sesión de Windows a través del sistema IAM, una práctica ampliamente aceptada por razones de seguridad y experiencia de usuario.
La interfaz de InvGate Service Desk se destaca en este aspecto, ya que tiene una amplia gama de opciones para iniciar sesión de manera segura y un robusto sistema de restablecimiento de contraseñas que permite que todos estén al tanto si se produce algún gasto extraño o actividad sospechosa durante un proceso de restablecimiento de contraseñas.
2. No utilices puntos de acceso wi-fi públicos
Evitar los puntos de acceso de wi-fi públicos. Este consejo se aplica como regla general de ciberseguridad con el help desk y también en la navegación diaria por Internet. Es que se trata de puntos muy vulnerables, ya que quien los gestiona puede ver en lo que estás trabajando así como a tus datos de acceso.
La precaución más sencilla es no conectarse a Internet a través de hotspots desconocidos; en su lugar, utiliza tu red móvil 3G o 4G, que tiene seguridad incorporada. También puedes usar las redes privadas virtuales (VPN), una técnica que encripta tus datos antes de enviarlos a través de Internet.
3. Hacer copias de seguridad de los datos
Otro consejo clásico que a menudo puede pasarse por alto cuando se intenta mantener un help desk seguro. En una empresa, las copias de seguridad de los datos deberían ser la norma, al punto de que tendrían que programarse mensualmente o incluso diariamente, dependiendo de las necesidades de la empresa y del nivel de sensibilidad de esos datos.
Cómo y dónde se pueden almacenar las copias de seguridad de los datos es otro tema. Una forma posible de hacerlo es en un sistema de copia de seguridad basado en la nube, donde se ponen en juego medidas de seguridad adicionales.
Otra forma fiable es físicamente en servidores o dispositivos que son extremadamente difíciles de vulnerar. Puede ser tan sencillo como almacenar los discos rígidos en espacios cerrados con llave dentro de las instalaciones de la empresa.
4. Bloquea las herramientas no autorizadas en el lugar de trabajo digital
Con las rápidas iniciativas de transformación digital que se están llevando a cabo en todo el mundo, el shadow IT es una de las amenazas más acuciantes a las que se enfrentan las organizaciones. Los empleados suelen utilizar herramientas que no están aprobadas por el service desk para llevar a cabo sus actividades diarias. Estos instrumentos presentan riesgos desconocidos para la organización; incluso si son seguros, sus políticas de recopilación y almacenamiento de datos pueden no estar alineadas con las de tu negocio.
Para evitar activos no autorizados, lo mejor es asegurarse de que el service desk procese rápidamente las solicitudes de las nuevas herramientas y asegure de que los empleados tienen los instrumentos apropiados para hacer su trabajo.
5. Utiliza tanto software antivirus como firewalls
El consejo obvio es mantener actualizado tu antivirus y los firewalls activos siempre que estés navegando y utilizando la interfaz del help desk.
El software antivirus debería usarse en todas las computadoras y laptops. A menudo se incluye de forma gratuita en los sistemas operativos más populares, por lo que solo necesitas hacer clic en "activar" en tu equipo de oficina.
Los firewalls crean una "zona de seguridad" entre tu red interna y las externas (como Internet). La mayoría de los sistemas operativos populares lo incluyen, por lo que sólo hay que activarlos.
6. Mantén los dispositivos actualizados
Los teléfonos y tablets de tu organización deben estar actualizados. Todos los fabricantes (por ejemplo, Windows, Android e iOS) lanzan actualizaciones periódicas que contienen los updates de seguridad. Este proceso es rápido, fácil y gratuito; pero deberías configurar automáticamente los dispositivos para que las ejecuten cuando sea posible.
7. Utiliza la automatización
Con la amplia gama de amenazas a las que se enfrentan las organizaciones hoy en día, es inviable descubrirlas y defenderse de ellas en forma manual. Con una sólida solución de help desk, puedes automatizar en gran medida la gestión de amenazas.
También es posible utilizar la automatización para garantizar que los dispositivos obtengan los últimos parches de seguridad y actualizaciones de software a tiempo y que los activos funcionen dentro de las políticas de seguridad de la organización.
8. Formación de los empleados del help desk
Uno nunca está preparado para hacer frente a posibles fallos de seguridad. De hecho, el analfabetismo en ciberseguridad puede ser el primer paso hacia un desastre. No es la piratería de software lo que a menudo permite a los hackers obtener información sensible, sino las estafas de ingeniería social cuidadosamente tejidas, como el phishing y otras elaboradas.
Proporcionar una formación constante a todos tus empleados del help desk es crucial para reconocer los ataques de ingeniería social que podrían poner en peligro toda la infraestructura de IT. Mantén a los agentes atentos a los nuevos trucos y tácticas impartiendo periódicamente cursos de ciberseguridad, simulacros de juego de rol, talleres, técnicas de gamificación y pruebas de penetración.
9. Sé consciente de tu huella digital
Los atacantes utilizan la información disponible públicamente sobre tu organización y tu personal para hacer más convincentes sus técnicas de estafa de ingeniería social. En ocasiones, suelen extraerla de tu sitio web y de tus cuentas en las redes sociales. Pero hay formas de evitar esto:
- Comprender el impacto de la información que se comparte en el sitio web y en las redes sociales de tu organización. ¿Qué necesitan saber los visitantes de tu web y qué detalles son innecesarios (pero podrían ser útiles para los atacantes)?
- Ser conscientes sobre qué dan a conocer tus socios, contratistas y proveedores sobre tu organización en Internet.
- Concientiza a tu personal sobre los riesgos de compartir información personal tanto para ellos como para tu organización. No se trata de esperar que las personas eliminen todo su rastro en Internet. En lugar de ello, ayúdalos a gestionar su huella digital, configurando su perfil para que les sirva a ellos y a la organización.
Puntos clave
Hay muchas maneras de mantener un help desk seguro. Pero las acciones aisladas, no son suficientes. Tu empresa necesita una sólida estrategia de ciberseguridad para protegerse (y proteger el help desk) de forma proactiva, y no sólo reaccionar para mitigar los daños cuando se producen incidentes.
No olvides incluir en esta estrategia el elemento humano. Aunque los ciberataques a través de software malicioso constituyen una amenaza real y no deben subestimarse, las tácticas de phishing representan la amenaza más importante. Si no están formados en ciberseguridad, los empleados pueden convertirse en eslabones débiles.
Y por último, pero no por ello menos importante, es necesario contar con la herramienta adecuada para poder aplicar todas estas medidas sin problemas.
Preguntas frecuentes
¿Por qué es importante la seguridad de la información del help desk?
Las plataformas ITSM son los ojos y los oídos de IT. Tu herramienta de help desk -y más ampliamente la del service desk- es la principal interfaz entre la empresa de IT y los usuarios finales que trabajan con tus servicios. Por lo tanto, el personal de soporte técnico es el único que entiende la situación actual. Si reciben la formación adecuada, servirán como primera línea de defensa y lucharán contra numerosas infracciones de seguridad.
¿Cuáles son las consecuencias de una solución de help desk que no cumple las normas?
El incumplimiento de las normas de seguridad de la información generan pérdidas significativas de dinero, clientes y reputación. En Estados Unidos, por ejemplo, van desde sanciones directas de 5.000 dólares hasta más de 50.000 dólares. Sumado a estos costos, los clientes ya no confiarán en tu marca.
Además, el personal no querrá trabajar con el riesgo cierto de un robo de identidad personal. Al fin y al cabo, una empresa media con cien usuarios puede perder unos 190.000 dólares por ignorar la normativa de cumplimiento de las IT. Eso es el equivalente a tres empleados del help desk a tiempo completo en ese país.
