En la sociedad de la información, la información es poder, lo que hace que los datos que guardan las empresas en sus archivos tengan un gran valor y sean codiciados por muchos. Buena prueba de ello es que en los últimos años los ciberataques a corporaciones se han multiplicado.
Un ciberataque puede afectar a los sistemas de la empresa, haciendo que la misma pase horas o incluso días sin poder volver a operar con normalidad. También implica que puede haber acceso a los datos personales que la empresa está encargada de proteger (de clientes, de proveedores, de trabajadores, etc.) lo que es un gran perjuicio y obliga a poner en marcha el protocolo para reducir los daños. Y lo más importante, un hacker puede entrar en los sistemas de la empresa, coger la información estratégica, y vendérsela a su competencia.
Todo esto hace que la ciberseguridad no sea hoy en día un capricho ni un lujo propio de grandes compañías, sino una auténtica necesidad para todo tipo de empresas, con independencia de su tamaño o su sector de actividad.
Ahora bien, ¿cómo podemos hacer que una empresa sea más segura desde el punto de vista de la informática y los sistemas? Desde Red Autónomos proponemos varias medidas para mejorar la ciberseguridad de la empresa:
Normativa y compliance
Cumplimiento legal
La empresa es un sujeto de Derecho y como tal debe respetar el ordenamiento jurídico. Esto implica que en su actividad debe cumplir aquellas normas que de forma directa o indirecta están relacionadas con la ciberseguridad.
Las más importantes son:
-
Ley Orgánica de Protección de Datos, que afecta a todas las empresas.
-
Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, para empresas que se dedican la comercialización online de productos o servicios.
-
Ley de Propiedad Intelectual, que afecta a todas las empresas y permite la protección de proyectos, desarrollos u obras que sean fruto de la actividad empresarial.
Compliance
El compliance es un conjunto de normas o buenas prácticas que se aplican adentro de la empresa y permiten un adecuado cumplimiento de la legislación y mejorar la seguridad a todos los niveles.
Aplicado a la ciberseguridad, el compliance ayudará a los empleados a conocer las pautas de actuación que deben seguir para evitar ataques informáticos. Por ejemplo, no abrir correos de destinatarios desconocidos, apagar la sesión después de terminar de trabajar o las formas correctas de almacenamiento de la información.
Control de acceso
Si pensamos en la seguridad física nos damos cuenta de que es importante no dejar entrar en las dependencias de la empresa a cualquiera, y con los sistemas informáticos deberíamos actuar igual.
Hoy en día gracias a los servicios de almacenamiento de información en la nube podemos ver los datos que necesitamos desde cualquier dispositivo y lugar del mundo, pero esto no implica que cualquiera pueda tener acceso. Se hace imprescindible contar con un sistema de control de acceso, de forma que cada empleado tenga su propio usuario y clave. Esto nos permitirá saber quién ha accedido a la información en cada momento.
Si se quiere reforzar todavía más la seguridad se puede establecer más de un sistema de autenticación. Por ejemplo, una clave de acceso y reconocimiento biométrico.
Podemos mejorar todavía más la seguridad si además clasificamos la información y determinamos de antemano que trabajadores pueden acceder a cada tipo de información. Por ejemplo, que solo el personal de Recursos Humanos pueda acceder a los expedientes de los trabajadores.
Copias de seguridad
Puede ocurrir que el ataque a los sistemas informáticos venga desde fuera, pero a veces se producen fallos en el propio sistema sin necesidad de una intromisión ilegítima. En cualquiera de estas circunstancias es posible que nos tengamos que enfrentar a una pérdida de datos.
La información es la gasolina que hace funcionar a la empresa, si esta desaparece la actividad productiva se va a paralizar, con la pérdida de dinero y competitividad que esto supone.
Por suerte, este tipo de problemas se pueden evitar. O al menos se pueden minimizar los efectos de una pérdida de información. Para ello tenemos las copias de seguridad. La frecuencia de las mismas depende mucho del tipo de empresa de que se trate y de la cantidad de datos que se actualicen al día.
Es importante contar con una política de copias de seguridad que determine: cómo vamos a hacerlas, cada cuanto tiempo, qué soportes se van a usar, cómo se va a custodiar esa información y durante cuánto tiempo se va a conservar.
Y si la información que contiene la copia de seguridad es confidencial, siempre es recomendable cifrarla para evitar que sea posible acceder a la misma.
Por último, es aconsejable guardar una copia de seguridad de la información fuera de las dependencias de la empresa para garantizar que se tendrá acceso a la misma incluso en caso de robo, incendio, inundación, etc. Existen empresas especializadas que ofrecen servicios de guarda y custodia, ellas se encargan de proteger los soportes que contienen información.
Protección antimalware
Quien quiera robar la información de una empresa ni siquiera tiene que acceder físicamente a sus instalaciones, tampoco a sus dispositivos (móviles, portátiles, etc.) Un hacker puede acceder a la información desde cualquier lugar del mundo.
El malware es un software malicioso que se instala en el ordenador y es capaz de extraer la información del mismo o incluso destruir todos los datos. Este tipo de programas se instalan sin que el usuario sea consciente.
Es cierto que podemos tomar medidas para evitar estos ataques, como establecer una política de compliance en la que expliquemos a nuestros trabajadores que no deben descargar archivos que provengan de remitentes desconocidos. Pero estas medidas nunca son suficientes, así que conviene apoyarse e la tecnología y contar con un buen sistema de protección frente a los virus y el malware.
Un buen antimalware debe ser capaz de reconocer todo tipo de amenazas y hacerlo además en tiempo real. Con protección antiphishing y antispam para el email y análisis de páginas web para detectar URLs maliciosas.
Además de instalarlo y tenerlo actualizado a la última versión, conviene que de vez en cuando se programen análisis periódicos que revisen el sistema mucho más en profundidad.
Actualización de aplicaciones
Acabamos de ver la importancia de tener actualizado el sistema antimalware, pero en realidad esto resulta aplicable a cualquier herramienta digital o app que usemos en la empresa.
Casi cada día aparecen nuevos programas maliciosos y virus que pueden suponer un riesgo para la seguridad de los datos que tiene la empresa en sus sistemas informáticos. Con un acción tan sencilla como mantener actualizados todos los programas y herramientas digitales utilizados se puede conseguir aumentar el nivel de protección.
Las últimas versiones de software no solo mejoran la funcionalidad, sino que suelen incluir parches de seguridad.
En este sentido, conviene mantener vigilado el estado de actualización de todos los dispositivos y configurar las actualizaciones para que se lleven a cabo de forma automática en un horario que no afecte a los trabajadores.
Si la empresa tiene software antiguo que ya no se actualiza, lo más conveniente es sustituirlo por una alternativa más moderna que esté en actualización. Esto implica hacer un desembolso económico, pero a la vez es una inversión en seguridad.
Seguridad de la red
Si es importante proteger los ordenadores y el software, también lo es conseguir que la red corporativa sea segura y esté a salvo de posibles ataques e injerencias.
Para ello conviene restringir lo máximo posible el acceso a la red y asegurarse de que los nuevos equipos están bien configurados y con el software actualizado. Una forma sencilla de evitar exposición a virus y amenazas y evitar a la vez distracciones en los empleados es limitar el acceso a Internet más allá de aquellas páginas que sea necesario visitar por motivos laborales.
También se recomienda eliminar el guardado de usuarios y contraseñas por defecto y monitorizar todas las actividades en red para conocer mejor cómo se utilizan los recursos.
Por otro lado, tampoco hay que olvidarse de proteger la WiFi haciendo que la red no sea visible, cambiando la contraseña que tenga el router por defecto y además variándola de forma periódica por otra personalizada.
Información en tránsito
Cada vez en más habitual que los empleados trabajen de forma deslocalizada y necesiten acceder a la información desde fuera de la oficina. En muchos casos ese acceso se da a través del móvil y, aunque esto tiene ventajas en términos de productividad, también supone un riesgo para la seguridad.
Aquí pueden ser de nuevo de mucha ayuda las medidas de compliance, instruyendo a los trabajadores sobre cómo debe ser su uso del móvil para evitar que información confidencial pueda acabar en manos de terceros. Se pueden establecer normas como no conectarse a redes WiFi públicas, no dejar el móvil desatendido en un lugar público, instalar un antivirus en el dispositivo y mantenerlo actualizado y usar conexiones VPN para enviar y recibir información sensible.
Gestión de soportes
Las empresas manejan cada vez más información que deben guardar en soportes físicos o virtuales que también deben ser protegidos.
Es importante llevar un control de los soportes de almacenamiento de información que se están usando en la empresa. De modo que todos ellos estén etiquetados y su uso esté controlado.
Los soportes extraíbles como las memorias USB son una importante fuente de infección de equipos informáticos. Aunque limitar su uso puede parecer demasiado estricto, en las empresas con datos muy sensibles ya se está optando por el bloqueo de los puertos y las unidades de lectura y grabación de soportes ópticos en los equipos de trabajo.
Por último, conviene hacer siempre un borrado seguro de la información de aquellos soportes que vayan a darse de baja.
Registro de actividad
A la empresa le resulta fundamental conocer los parámetros de uso y rendimiento de los sistemas de información, y para ello debe recurrir a la monitorización. A través de este procedimiento se pueden recopilar datos, detectar posibles anomalías y analizar la información para conseguir un sistema más eficiente y seguro.
También conviene revisar el estado y funcionamiento de los soportes físicos. Si hay problemas de sobrecalentamiento, velocidad de respuesta, etc. Esto permite hacer cambios en los equipos antes de que los mismos lleguen a fallar.
La ciberseguridad es un tema complejo que implica actuar en diferentes ámbitos. Sin embargo, tiene una importancia fundamental en el correcto desarrollo de la actividad empresarial, por lo que es algo que no conviene tomarse a la ligera.
La información, las redes y los equipos informáticos de una empresa deben estar bien protegidos para evitar que se puedan producir ciberataques o robos de información. Para ello, nada como contar con la ayuda de especialistas en ciberseguridad.
Formación en seguridad informática
Como usuarios de nuevas tecnologías todos deberíamos tener unos conocimientos mínimos en seguridad informática, y conocimientos específicos según las áreas de desempeño de cada trabajador. Actualmente existen varios planes de formación subvencionada en materias relacionadas con la seguridad informática en la empresa. Desde Red Autónomos recomendamos los cursos gratuitos de ciberseguridad de SmartMind Formación. Son cursos gratuitos, en modalidad online y de diferentes temas orientados adiferentes niveles de conocimientos, desde seguridad informática básica para usuarios, hasta planificación de la seguridad en la empresa o el comercio electrónico.