Medidas para proteger la información: defiende el principal activo de tu empresa

Medidas básicas para proteger tu principal activo: la información

Cuando hablamos de información en la empresa nos referimos a uno de los activos más importantes que estas poseen. El trabajo de las organizaciones está basado en el uso y gestión que se hace de esta, siendo crucial en el día a día de una empresa. 
La información debe estar rigurosamente catalogada y ser accesible para así poder consultarla y clasificarla fácilmente según las necesidades. Así pues, debe estar salvaguardada y controlada para evitar que algún agente externo pueda acceder a ella, modificándola o destruyéndola.
Si la información de la empresa cayera en manos de individuos malintencionados, podría conllevar resultados fatales. Por lo tanto, se recomienda que tenga un ciclo de vida, eliminándose de forma segura cuando deje de ser de utilidad. Pero, mientras esa información sea útil y tenga una razón de ser conservada, deberá estar protegida, siguiendo buenas pautas para ello.
A continuación, se muestran una serie de medidas básicas para la protección de este activo vital para los intereses de las organizaciones:

1. Control de acceso a la información

Limitar el acceso a la información es una de las prácticas más relevantes. Se debe a que cuantas menos personas tengan acceso a una información, menor es el riesgo de que esta se comprometa. Toda empresa debe seguir el principio del mínimo privilegio, es decir, un usuario debe tener acceso a la información estrictamente necesaria para realizar sus funciones. Para ello, se deben seguir los siguientes pasos:

• Definir los tipos de información existentes en nuestra empresa, como pueden ser: datos, contabilidad, clientes, marketing, producción, etc.
• Designar quién puede acceder a las diferentes informaciones.
• Asignar quién y cómo puede autorizar el acceso a determinada información.

Para más información, consultar el documento con la política de seguridad para la pyme: Control de acceso.

2. Actualizaciones de seguridad

Es crucial contar con un software integral de seguridad, como un antivirus, antiespía o firewall, para evitar cualquier ataque. Es importante que tanto el software integral de seguridad como los programas y sistemas operativos instalados dentro del ordenador estén actualizados.

Para más información, consultar el documento con la política de seguridad para la pyme: Actualizaciones de software.

3. Copias de seguridad

La creación de copias de seguridad es un método de salvaguardas básico para la protección de la información.
El soporte elegido para almacenar la copia de seguridad debe ser fiable. Hay tres variables a tener en cuenta a la hora de crear la copia de seguridad:

1. Analizar con un software integral de seguridad la información de la que se va a realizar la copia, de los sistemas y de los repositorios donde se encuentra.
2. Deben hacerse pruebas de restauración periódicas con el fin de garantizar que no haya problemas en caso de tener que recuperar la información.
3. Debe llevarse un control de los soportes de copia mediante un etiquetado y registro de la ubicación de los soportes.

Para más información, consultar el documento con la política de seguridad para la pyme: Copias de seguridad.

4. Utilización de contraseñas robustas

Se deben proteger todos los accesos posibles, tanto a dispositivos móviles como a equipos y documentación sensible. Siempre que sea posible se establecerán contraseñas elaboradas, que cuenten con múltiples caracteres, mayúsculas y minúsculas, símbolos… Y se cambien de forma periódica.  Es una de las primeras barreras de seguridad; por lo tanto, debe ser difícil de «atravesar».

Para más información, consultar el documento con la política de seguridad para la pyme: Contraseñas.

5. Acceder a páginas web y compras seguras

Con el objetivo de asegurar esta práctica, una medida puede ser comprobar la información legal del comercio. En el apartado de información de la tienda online, a causa de diferentes normas legales, deben figurar: «Aviso legal», «Términos de uso» y/o «Política de privacidad». 

Otra medida para garantizar la seguridad es comprobar que se están realizando comunicaciones seguras, denominadas HTTPS. Hay que comprobar que la página web envía información en modo seguro HTTPS. La función de este protocolo es proteger la información intercambiada durante la compraventa, garantizando que viaja de forma segura, libre de intercepciones por parte de terceros.

Además, los sellos de confianza son otro método que proporcionan las tiendas online para verificar la seguridad de la venta. Las tiendas que poseen estos sellos proporcionan a los consumidores confiabilidad en el comercio electrónico, así como un código de conducta.

Para más información, consultar la nota de prensa con consejos para realizar una compra cibersegura.

6. Protección del correo electrónico

El correo electrónico es una de las principales herramientas de una empresa. Por ello, se debe añadir filtros antispam y sistemas de encriptado de mensajes más confidenciales, con el fin de asegurar la protección y privacidad de la información de la compañía.

Estos son algunos de los procedimientos recomendados para elevar la seguridad de correo electrónico:

• Impartir formación y concienciación periódicamente a los empleados para minimizar el riesgo humano.
• Implantar una normativa de uso de correo electrónico. 
• Instalar medidas de seguridad tanto en el servidor de correo electrónico como en los equipos.
• Implantar una autenticación multifactor (MFA) para evitar poner en peligro las cuentas.

Para más información, consultar el documento con la política de seguridad para la pyme: Uso del correo electrónico. 

7. Almacenamiento en la nube, red y local

La tecnología de almacenamiento en la nube consiste en un servicio ofrecido por distintos proveedores de Internet que funciona de manera similar a la de un disco duro remoto. Su principal característica es la capacidad de acceder desde cualquier lugar y dispositivo.

Permite contar con un lugar común de trabajo donde almacenar información y poder compartirla entre los distintos usuarios de la empresa. Otra alternativa son los servidores de almacenamiento en red.

Por otro lado, también existe la opción de almacenar información en discos duros de los equipos locales. Se considera sistema de almacenamiento local el guardar la información en tabletas, dispositivos móviles…

Será tarea de la empresa decidir qué información guardar en qué tipo de soporte, en función de las políticas de seguridad a las que estén adscritos.

Para más información, consultar los documentos con la política de seguridad para la pyme:

• Almacenamiento en la nube
• Almacenamiento en la red corporativa
• Almacenamiento en los equipos de trabajo

8. Protección del puesto de trabajo

El acceso a la información, servicios y redes de la empresa se realiza desde el puesto de trabajo. Por ello, es de vital importancia implantar una normativa que regule el uso de estos equipos.

Se recomienda, entre otras cosas, hacer uso de la política de mesas limpias y bloquear sesión cuando no se esté presente en el puesto de trabajo durante la jornada laboral.

Para más información, consultar el documento con la política de seguridad para la pyme: Protección del puesto de trabajo.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).