Historias reales: mi empresa crece, la seguridad también
La historia real de Pedro y su empresa de exportación internacional de frutas es un claro ejemplo de cómo las buenas prácticas en ciberseguridad le acompañaron en su proyecto de expansión del negocio.
En los últimos años la empresa de Pedro ha crecido considerablemente diversificando su actividad y llegando a otros mercados. Debido a la expansión se controlan más activos y se asumen más tareas, por lo que tuvieron que revisar todos los procesos de seguridad del Departamento de Informática para ver qué puntos se debían renovar y averiguar qué tareas no se estaban implementando aunque eran necesarias.
Empezaron por las copias de seguridad. Había que mejorar el sistema si querían asegurar la información, y por consiguiente, la continuidad del negocio. Decidieron aplicar la estrategia 3-2-1, que se basa en diversificar las copias de seguridad para garantizar que siempre haya una recuperable. De este modo, además de hacer copias de la información en los servidores de la empresa, se contrató un servicio en la nube.
En la empresa de Pedro los puestos de trabajo dependen de la temporada de recolección de frutas, por lo que la rotación de personal es alta. Por tanto, es imprescindible realizar una correcta gestión de las cuentas de los usuarios, haciendo hincapié en quién tiene permisos para acceder a la información, cómo, cuándo y con qué finalidad, además de guardar registros de dichos accesos. Decidieron que cuando un usuario deja temporalmente la empresa, la cuenta se desactiva hasta la próxima incorporación, evitando así posibles accesos no deseados cuando el usuario no forma parte de la plantilla o ya no está sujeto a los acuerdos de confidencialidad.
Pedro quería comprobar los conocimientos en ciberseguridad de los empleados, pero no sabía por dónde empezar, así que decidió contactar con la Línea de Ayuda en Ciberseguridad de INCIBE para que le echaran una mano. Los expertos de la línea le recomendaron poner a prueba a los trabajadores planteando posibles incidentes que podrían ocurrir en la empresa a través de un juego de rol.
Así, pudo comprobar que la mayor parte de los empleados de la empresa tenían pocos conocimientos en seguridad y no sabían identificar los peligros a los que estaban expuestos ni actuar de la manera correcta en caso de que ocurriera un incidente de seguridad. Pedro conoce la importancia de fomentar el concepto de cortafuegos humano y decidió apostar por que los trabajadores sean un mecanismo de defensa ante un posible ciberataque. Para que los trabajadores evolucionaran en consonancia con las nuevas exigencias del negocio, Pedro implantó un plan de formación continua para toda la plantilla.
Una de las labores más importantes del Departamento de Informática es la gestión de activos, como servidores, ordenadores personales, portátiles, teléfonos móviles corporativos, tabletas, etc., sin olvidarnos del activo más importante: la información. Después de varias reuniones entre Pedro y dicho departamento decidieron que la mejor opción era implantar políticas de seguridad, y así tener controlados cada uno de los aspectos de ciberseguridad que requiere la empresa.
Finalmente, el control de acceso era otra de las asignaturas pendientes de la organización, ya que existían zonas y aplicaciones consideradas como críticas en las que se almacenaba información confidencial y de gran importancia para la empresa, y que no estaban suficientemente protegidas. Por este motivo, se establecieron permisos de acceso para que cada empleado solo accediera a la información y las áreas de la empresa necesarias para desempeñar su trabajo.
Sin la ciberseguridad la empresa de Pedro nunca habría completado con éxito su proceso de expansión. Si como él tú también estás consiguiendo que tu negocio crezca, no te olvides de uno de los pilares fundamentales y apuesta por la seguridad.
