Inicio / Protege tu empresa / Blog / Las buenas prácticas en ciberseguridad ya no son una opción en la empresa

Las buenas prácticas en ciberseguridad ya no son una opción en la empresa

Publicado el 18/08/2014, por INCIBE
imagen certificado

Las buenas prácticas y estándares en materia de seguridad han sido hasta el momento recursos opcionales de gran valor para empresas de todo tipo y sector. Sin embargo, de un tiempo a esta parte, el término «opcional» ha ido diluyéndose o, mejor dicho, transformándose en otros términos como «necesario», «imprescindible» u «obligatorio». Si nos preguntamos qué ha propiciado este cambio, encontraremos más de un motivo.

 

Buenas prácticas, ¿requisito opcional u obligatorio?

 

Por un lado debemos tener en cuenta que, nosotros mismos, siendo conscientes de la importancia que tienen la seguridad de la información tiene para la continuidad de nuestro negocio, nos hemos autoimpuesto seguir las buenas prácticas correspondientes.

En otros casos, esas buenas prácticas han pasado a tener carácter obligatorio por estar contempladas en leyes como es el caso de la Ley Orgánica de Protección de Datos, el Esquema Nacional de Seguridad, etc. Asimismo, cada vez más, son los clientes quienes «exigen» que nuestros productos o servicios se lleven a cabo siguiendo las buenas prácticas.

 

Beneficios derivados de la implantación de buenas prácticas

 

Son muchos los beneficios que obtendremos si implantamos buenas prácticas en nuestra empresa. A continuación describimos los más reseñables:

  • Mejorar la confianza de los clientes internos y externos de la organización.
  • Mejorar la imagen corporativa, tanto interna como externamente.
  • Objetivizar y racionalizar las decisiones e inversiones en sistemas tecnológicos, legales y organizacionales.
  • Controlar y gestionar los incidentes de seguridad, esto es, los incidentes en la disponibilidad, la integridad y la confidencialidad de la información manejada por la organización.
  • Evitar pérdidas de servicio derivadas de la caída o mal funcionamiento de los sistemas de información.
  • Optimizar la correcta ejecución de los procesos y procedimientos de la organización.
  • Disponer de información que permita dimensionar recursos humanos y técnicos para la correcta gestión de la seguridad de los sistemas de información, plataforma clave para la ejecución de procedimientos del negocio.
  • Disminuir a corto, medio y largo plazo el número de los incidentes de seguridad y principalmente la repercusión que estos tienen caso de materializarse.
  • Conocer de antemano los riesgos a los que la organización se enfrenta, teniendo estos valorados y acotados en probabilidad de ocurrencia, impacto potencial y repercusión para la organización.
  • Disponer de un sistema de gestión que permita actuar rápida y eficazmente ante incidentes de seguridad, minimizando o eliminando los impactos de dichos incidentes.

 

Equilibrio funcionalidad/seguridad

 

A la hora de implantar o seguir las buenas prácticas en materia de seguridad, es fundamental que mantengamos un adecuado equilibrio entre funcionalidad y seguridad. En caso de no hacerlo, el resultado puede ser contraproducente. Por ejemplo, si nuestras medidas de seguridad no son suficientes podemos tener una sensación de «falsa» seguridad cuando en realidad los procesos críticos de nuestra organización están expuestos a un alto riesgo.

Imagen de sello de certificacionImaginemos que para garantizar el suministro eléctrico de nuestro departamento de informática, únicamente disponemos un SAI convencional cuya capacidad es insuficiente para abastecer los equipos críticos del departamento. En caso de que ocurriera un corte de suministro eléctrico prolongado, nuestros procesos críticos se podrían ver gravemente afectados. Ni que decir tiene que, mejor es disponer de un «poco» de seguridad, que no haber implantado ninguna medida. No obstante, debemos evitar caer en un estado de confianza absoluta por haber implantado determinadas medidas de seguridad.

Asimismo, la seguridad por exceso también puede ser contraproducente ya que puede suponer un factor que limite o incluso bloquee nuestros procesos operativos. Por ejemplo, imaginemos que nuestro sistema de control de acceso solicitase cada quince minutos la introducción de varias contraseñas robustas. Este control de acceso no haría sino entorpecer la operativa diaria de nuestros empleados.

 

Certificaciones

 

Además de seguir las buenas prácticas en materia de seguridad de la información, algunas empresas pueden decidir certificar su sistema de gestión. Obtener la certificación por parte de una entidad certificadora puede suponer un aspecto diferencial respecto a la competencia. En este sentido, la certificación en materia de seguridad de la información más extendida es la asociada al estándar ISO 27001.

La seguridad de la información es un aspecto cada vez más importante para las empresas y, por consiguiente, también lo es seguir las buenas prácticas en materia de seguridad de la información. Asimismo, también resulta recomendable obtener certificaciones que acrediten que nuestros métodos de trabajo siguen los estándares pertinentes.

Por último, conociendo la importancia de la seguridad de la información y habiendo analizado los beneficios derivados de la implantación de las buenas prácticas, sólo nos queda animar a nuestros lectores a que sigan las buenas prácticas en materia de seguridad de la información, con independencia del tamaño o sector en el que operen sus empresas.

Etiquetas: 
Área de informática
Buenas prácticas
Empresa
Artículos relacionados
Lupa buscando personas
INCIBE | 21/02/2023
Qué es el egosurfing y cómo practicarlo en mi empresa
Imagen con fondo azul y circulo con imagenes de colores
INCIBE | 14/02/2023
El riesgo ciber, máxima prioridad para pymes y autónomos
teclado con palabra keylogger en rojo
INCIBE | 31/01/2023
¡Cuidado! Un keylogger podría estar registrando tus contraseñas