Inicio / Protege tu empresa / Blog / ¡De este «curso» no pasa!: 10 propósitos de seguridad

¡De este «curso» no pasa!: 10 propósitos de seguridad

Publicado el 12/09/2016, por INCIBE
¡De este «curso» no pasa!: 10 propósitos de seguridad

Después de unas merecidas vacaciones, es hora de volver a la actividad normal. Suele ser habitual que después de un periodo de vacaciones se retomen algunos proyectos y se comiencen otros nuevos como quien empieza un nuevo curso.

Un nuevo ciclo empieza y es el momento de revisar como tratamos la información y si aplicamos la seguridad que necesita. ¿Sabes cómo tratarla?, ¿vas a seguir con los hábitos de antes del verano?, ¿estás preparado para evitar incidentes de seguridad en tu empresa?, ¿tiene alguno de tus sistemas estos síntomas? Este curso va a ser diferente, vamos a prepararnos para evitar tener todo tipo de problemas de ciberseguridad.

Las noticias no dejan de indicarnos de que las pymes sufren serios incidentes. Muchas veces son ocasionados por el propio personal de la empresa, por malas prácticas o descuidos. Otras veces son ataques realizados por empleados malintencionados o por ciberdelincuentes desde el exterior. Pero, ¿podemos reducir o, al menos, controlar estas situaciones? En efecto, estas situaciones se pueden reducir y controlar siguiendo unas buenas prácticas en el tratamiento de la información.

Pero, ¿por dónde comenzar cuando queremos proteger la información de nuestra empresa? Te sugerimos que te plantees estas diez preguntas:

  1. En tu empresa, ¿tenéis normas de seguridad de la información? Es muy importante definir, documentar y difundir una política de seguridad que demuestre el compromiso de la organización con la seguridad. Esta política incluirá las normativas que recogen las obligaciones a las que están sujetos los usuarios en lo que respecta al tratamiento y seguridad de la información. Como por ejemplo:
  2. ¿Utilizas controles de acceso lógico?  Algo tan sencillo como disponer de una política de contraseñas para el acceso al sistema operativo y a las aplicaciones corporativas nos servirá para evitar accesos no autorizados a nuestra información. Debemos tener en cuenta aspectos como la longitud de las contraseñas, obligación de cambio periódico, bloqueo de la cuenta por intentos de acceso fallidos, etc. Por otra parte, cada vez es mayor la oferta de soluciones dirigidas al control de accesos a la información. En este campo se incluyen herramientas que permiten disponer de mecanismos de identificación y autenticación más seguros.

  3. ¿Realizas copias de seguridad? No seriamos los primeros en perder nuestra información por una avería en el disco duro de nuestro equipo o servidor, o que algún empleado eliminara la información existente en la carpeta compartida. Esta amenaza de perdida de datos se puede limitar en gran medida realizando copias de seguridad periódicas. Es recomendable hacer una copia semanalmente de la información más importante y verificar periódicamente que podemos restaurarla y recuperar los datos correctamente. Además, es aconsejable que la copia de seguridad la mantengamos en un soporte distinto al que alberga los datos originales.

  4. ¿Tienes instalados y activados los sistemas de protección frente a malware? Una de las principales amenazas a las que se encuentra expuesta cualquier empresa es la infección de sus equipos por virus. Para esto, la mejor medida es disponer de un antivirus debidamente configurado tanto en los equipos personales como en los servidores. Este antivirus se deberá actualizar periódicamente para proporcionarnos la mejor protección posible.

  5. ¿Actualizas el software? A diario se descubren numerosas vulnerabilidades en sistemas operativos, aplicaciones u otro tipo de software que ponen en riesgo nuestra información. Estas no suponen un peligro siempre y cuando mantengamos una política de actualizaciones automatizadas que permitan tener todos nuestros sistemas con los últimos parches de seguridad aplicables. En la práctica no siempre es posible implantar una solución automatizada como la descrita. Si este es el caso, debemos aplicar medidas compensatorias para mitigar los riesgos asociados. En este sentido, lo más conveniente es definir, documentar e implantar un procedimiento para la gestión de vulnerabilidades que incluya tanto la revisión periódica como las comunicaciones, requisitos y aspectos a tener en cuenta para el despliegue de las actualizaciones de seguridad que las corrigen.

  6. ¿Proteges tu red? Como nuestra información está almacenada en equipos y dispositivos conectados a internet se encuentra expuesta a ciberdelincuentes que tratarán de acceder a ella. Por ello, debemos implementar diversas medidas de seguridad que protejan estos accesos, como es el caso del firewall o cortafuegos. Por otra parte, si disponemos de una red wifi, debemos cambiar la contraseña por defecto del router y configurarlo con protocolos seguros, como es el caso de WPA2.

  7. ¿Cifras la información en tránsito? Compartimos mucha información a través de internet. Por eso debemos proteger estos canales. Pero, ¿cómo? Implementando mecanismos de cifrado, ya sea en el correo electrónico, en sistemas de almacenamiento online o en las comunicaciones y haciendo uso de certificados SSL en nuestra página web (en este caso además garantizaremos la autenticidad de nuestra página).

  8. ¿Tomas medidas para la gestión de soportes de almacenamiento? Los soportes extraíbles, como pendrives y discos duros externos, constituyen una de las principales vías de fuga de información, así como de infección por malware. Limitar la utilización de dispositivos USB, quizá sea una medida demasiado drástica. No obstante, debemos evaluar la posibilidad de bloquear estos puertos y eliminar las unidades lectoras/grabadoras de soportes ópticos de los equipos de usuarios.

    Además, cabe señalar la importancia de hacer un borrado seguro de la información una vez que esta ya no vaya a ser necesario y/o vamos a retirar el soporte en cuestión. En esta guía tratamos todas estas cuestiones.

  9. ¿Llevas un registro de los accesos a la información y los sistemas? Habilitar registros de actividad para el acceso a la información a través del sistema operativo (por ejemplo el Visor de sucesos en Windows XP), del firewall, o de las distintas aplicaciones. Esto nos permite mantener una trazabilidad de todas las acciones llevadas a cabo. Además, nos proporciona un mecanismo válido para demostrar posibles acciones fraudulentas, siempre y cuando podamos garantizar la autenticidad de estos registros.

  10. ¿Tienes un plan de continuidad de negocio? Qué pasaría si… A menudo nos hemos planteado la forma en la que actuaríamos si pasara algo grave a nuestros sistemas de información. El término «Continuidad de negocio», supone pensar y disponer de un plan B en el caso de que suceda un desastre en nuestra organización, por ejemplo, si perdiéramos nuestros servidores y no pudiéramos acceder a la información almacenada en ellos. Al respecto deberíamos, como mínimo, documentar este plan B, para que llegado el caso, tengamos claros los pasos que hay que seguir para volver a la normalidad lo antes posible. Asimismo, en la medida de lo posible, deberíamos hacer pruebas de continuidad para confirmar que los planes se encuentran debidamente actualizados y que nuestro Plan B es eficaz.

Estas diez preguntas para el tratamiento de la información de nuestra empresa, no solamente nos garantizan unos niveles mínimos de seguridad, sino que también sientan las bases para establecer una estrategia de seguridad en nuestra organización.

Ahora estamos preparados y con un propósito: en este curso que ahora empieza nos tomamos en serio la ciberseguridad.