Inicio / Protege tu empresa / Blog / Decálogo de ciberseguridad en la información de tu empresa

Decálogo de ciberseguridad en la información de tu empresa

Publicado el 29/04/2015, por INCIBE
Decálogo de ciberseguridad en la información de tu empresa

Casi a diario aparecen noticias sobre incidentes de ciberseguridad ocurridos en empresas, como son robo de datos, o fugas de información en empresas. A veces, estos incidentes son ocasionados por el propio personal de la empresa, motivado por una mala práctica en el tratamiento de la información, aunque en otras ocasiones son ataques realizados por empleados malintencionados o por ciberdelincuentes desde el exterior. Sin embargo, podemos evitar estas situaciones si seguimos las buenas prácticas en el tratamiento de la información.

¿Por dónde comenzar cuando queremos proteger la información de nuestra empresa? Esta pregunta tiene muchas posibles respuestas pero en la mayor parte de los casos el punto de partida debería ser analizar cuál es la información más importante y crítica de nuestra organización.

Por norma general, las organizaciones abordan en primer lugar la adaptación a la LOPD ya que se trata de un requisito de carácter obligatorio si las empresas tratan datos de carácter personal (situación habitual en la mayor parte de las empresas). Pero dejando a un lado este tipo de información, pensemos en otros casos en las que manejemos información sensible, por ejemplo pongámonos en la piel del Responsable de Seguridad de la Escudería Ferrari… ¿cuál sería para nosotros la información crítica?

Aun sin conocer en profundidad un sector de negocio tan específico como es la fórmula 1, podemos intuir que la información técnica del diseño de los F1, tiene un valor altísimo en comparación con los datos personales de sus ingenieros. Una fuga de esta información relativa a dichos diseños podría afectar directamente a los resultados obtenidos por la escudería en las diversas competiciones con el consiguiente impacto económico. Este es un claro ejemplo sobre la importancia que tiene la confidencialidad de la información en un sector determinado.

Pit stop F1

Para llevar a cabo el análisis sobre la criticidad de la información que manejamos, puede sernos útil abordar las primeras fases de un Plan Director de Seguridad. No obstante, para ir abriendo boca te recomendamos seguir las pautas y buenas prácticas recogidas en el siguiente decálogo:

  1. Política y normativa de seguridad de la información.

    Es muy importante definir, documentar y difundir una política de seguridad que demuestre el compromiso de la organización con la seguridad así como el desarrollo de normativas que recojan las obligaciones a las que están sujetos los usuarios en lo que respecta al tratamiento y seguridad de la información. Como por ejemplo: uso del equipo, uso de dispositivos o sistemas de almacenamiento externo, mesas limpias, teletrabajo, uso de dispositivos móviles, uso del correo electrónico, etc.

  2. Controles para el acceso lógico.

    Algo tan sencillo como disponer de una política de contraseñas robusta para el acceso al sistema operativo y a las aplicaciones corporativas, nos servirá para evitar accesos no autorizados a nuestra información. Debemos tener en cuenta aspectos como la longitud de las contraseñas, obligación de cambio periódico, bloqueo de la cuenta por intentos de acceso fallidos, etc.

    Por otra parte, cada vez es mayor la oferta de soluciones dirigidas a la protección de la información. En este campo se incluyen tanto productos cuya funcionalidad gira principalmente en torno al cifrado de la información como herramientas que permiten disponer de mecanismos de identificación y autenticación más seguros. La elección de una solución u otra no es excluyente y cada empresa debe valorar la conveniencia de su implantación.

  3. Copias de seguridad.

    No seriamos los primeros en perder nuestra información por una avería en el disco duro de nuestro equipo o servidor, o que algún empleado eliminara la información existente en la carpeta compartida. Esta amenaza de perdida de datos se puede limitar en gran medida realizando copias de seguridad periódicas. Es recomendable hacer una copia semanalmente de la información más importante y verificar periódicamente que podemos restaurarla y recuperar los datos correctamente. Además, es aconsejable que la copia de seguridad la mantengamos en un soporte distinto al que alberga los datos originales.

  4. Protección frente a malware.

    Una de las principales amenazas a las que se encuentra expuesta cualquier empresa es la infección de sus equipos por virus. Para esto, la mejor medida es disponer de un antivirus debidamente configurado tanto en los equipos personales como en los servidores. Este antivirus se deberá actualizar periódicamente para proporcionarnos la mejor protección posible. Podrás obtener recursos y más información al respecto a través del area protege tu empresa.

  5. Actualizaciones.

    A diario se descubren numerosas vulnerabilidades en sistemas operativos, aplicaciones u otro tipo de software que ponen en riesgo nuestra información. Estas no suponen un peligro siempre y cuando mantengamos una política de actualizaciones automatizadas que permitan tener todos nuestros sistemas con los últimos parches de seguridad aplicables. En la práctica no siempre es posible implantar una solución automatizada como la descrita. Si este es el caso, debemos aplicar medidas compensatorias para mitigar los riesgos asociados. En este sentido, lo más conveniente es definir, documentar e implantar un procedimiento para la gestión de vulnerabilidades que incluya tanto la revisión periódica como las comunicaciones, requisitos y aspectos a tener en cuenta para el despliegue de las actualizaciones de seguridad que las corrigen.

  6. Controles para la seguridad de nuestra red.

    Desde el mismo momento en que nuestra información esté almacenada en equipos y dispositivos conectados a internet, se encuentra expuesta a ciberdelincuentes que tratarán de acceder a ella. Por ello, debemos implementar diversas medidas de seguridad que protejan estos accesos, como es el caso del firewall. Por otra parte, si disponemos de redes Wifi, debemos configurarlas a través de protocolos seguros, como es el caso de WPA2.

  7. Medidas de seguridad para la transmisión de información.

    Atrás queda cuando enviábamos nuestra información en CD, DVD o dispositivos de almacenamiento USB, ahora la mayor parte de información la compartimos a través de internet. Por eso debemos proteger todos los canales por los que compartimos información sensible de nuestra organización, ¿cómo? Mediante cifrado, ya sea en los correo electrónicos, el uso de sistemas de almacenamiento online que implemente protocolos seguros como SFTP, o simplemente haciendo uso de SSL en nuestra página web (en este caso además garantizaremos la autenticidad de nuestra página).

  8. Gestión de soportes.

    Los soportes extraíbles constituyen una de los principales amenazas de fuga de información, así como de infección por malware. Limitar la utilización de dispositivos USB, quizá sea una medida demasiado drástica. No obstante, debemos evaluar la posibilidad de bloquear estos puertos y eliminar las unidades lectoras/grabadoras de soportes ópticos de los equipos de usuarios.

    Por otra parte, para incrementar la seguridad de la información en tránsito debemos cifrarla. Por último, cabe señalar la importancia de hacer un borrado seguro de la información una vez que esta ya no vaya a ser necesario y/o vamos a retirar el soporte en cuestión.

  9. Registro de actividad.

    Habilitar registros de actividad para el acceso a la información (a través del sistema operativo, ficheros o a aplicaciones), nos permite mantener una trazabilidad de todas las acciones llevadas a cabo. Además, nos proporciona un mecanismo válido para demostrar posibles acciones fraudulentas, siempre y cuando podamos garantizar la autenticidad de estos registros.

  10. Continuidad de negocio.

    Qué pasaría si… A menudo nos hemos planteado la forma en la que actuaríamos si pasara algo grave a nuestros sistemas de información. El término «Continuidad de negocio», supone pensar y disponer de un Plan B en el caso de que suceda un desastre en nuestra organización, por ejemplo, si perdiéramos nuestros servidores y no pudiéramos acceder a la información almacenada en ellos. Al respecto deberíamos, como mínimo, documentar este plan B, para que llegado el caso, tengamos claros los pasos que hay que seguir para volver a la normalidad lo antes posible. Asimismo, en la medida de lo posible, deberíamos hacer pruebas de continuidad para confirmar que los planes se encuentran debidamente actualizados y que nuestro “Plan B” es eficaz.

Este decálogo de buenas prácticas en el tratamiento de la información de nuestra empresa, no solamente nos garantiza unos niveles mínimos de seguridad, si no que también sienta las bases para establecer una cultura de seguridad en nuestra organización.

Ahora que sabes cómo tratar adecuadamente tu información, ¡ponte en marcha!