La #ciberseguridad no es solo un asunto real que llena las páginas de la prensa e incluso pone titulares en los medios de información general. Todas las empresas están siendo atacadas constantemente, ya sea porque alguien que internamente comete alguna imprudencia, porque se usa un programa infectado o porque, simplemente, ha sucedido un ataque “aleatorio”. Todas las empresas están expuestas y bajo un posible ataque.
De las grandes empresas se espera que tengan sistemas muy complejos, que hagan grandes inversiones y que contraten a los ingenieros de tecnología más experimentados, los que más saben de ciberseguridad. Entre otras, esta es una razón por la que generalmente las PYME se sienten en desventaja.
“Existen dos tipos de empresas: las que saben que han sido atacadas y las que no lo saben”
Es verdad que el tema de los ataques, los virus, los sistemas espías, y los secuestros de datos asustan; y este año asustan mucho más dado que la nueva reglamentación en materia de protección de datos incluyó penalizaciones importantes por comprometer los datos, así que no es posible ponerse en el papel de víctima cuando se sufre un robo de esta índole, o cuando se expone la información. Al menos no hay tiempo, se debe actuar cuanto antes.
Si bien uno debe ser consciente y prácticamente aceptar que se tendrá problemas de seguridad, tampoco hay que resignarse, porque hay mucho que se puede hacer. Existen dos tipos de empresas: las que saben que han sido atacadas y las que no lo saben, la clave está en pertenecer al primer grupo.
La seguridad completa no existe, pero hay mucho que por hacer para que un posible ataque no te afecte e incluso no requiera una recuperación complicada ni costosa.
Tres consejos para la seguridad de la información
No costarán grandes cantidades de dinero ni esfuerzo, de hecho se ahorrará siguiendolos.
Involucrarse en la TI y la Ciberseguridad
Comenzar con el eslabón débil, las personas. Seguramente se ha escuchado muchas veces que las personas son el eslabón débil de la seguridad, y es cierto. En vez de asumirlo se puede trabajar en ello. En crear una cultura organizacional que haga la diferencia.
Ensayar cómo salir de un edificio para que el día que haya una emergencia todos sepan cómo actuar, es un ejercicio de seguridad, la analogía es la misma en ciberseguridad. Las personas necesitan guías y mucha práctica para no caer en las trampas de los ciberdelincuentes, trampas muy bien diseñadas, ensayadas, y perfeccionadas.
El consejo principal para los directivos es que se involucren en la ciberseguridad, y no nada diferente a lo que ya hacen con la seguridad de los activos importantes. Las empresas tienen procedimientos para guardar efectivo, o vehículos, o equipos de importancia para prevenir daños, sustracciones, o pérdidas; los datos son también activos valiosos, y los sistemas de la información son motores de la empresa.
Preguntas básicas al departamento de tecnología o al responsable de tecnología:
- ¿Cómo garantizamos que tenemos claves de seguridad óptimas?
- ¿Cómo aseguramos que nadie escriba ni comparta las claves de seguridad?
- ¿Qué empresas o personal accede a datos o sistemas propios, de forma externa? ¿Cómo se los monitoriza? ¿Cómo se guarda trazabilidad de lo que se hace?
- ¿Qué método se utiliza para las copias de seguridad?
- ¿Se debe pedir que se muestren las copias de seguridad y que se hagan pruebas?
- ¿Cuál será el protocolo en caso de robo de datos, o de situación de posible violación de datos, o en caso de incendio, o robo de los equipos?
- ¿Se posee antivirus? ¿Está actualizado? ¿Cómo se gestiona? ¿Cómo se prueba?
Hay muchas más preguntas que se podrían hacer, pero se puede empezar con estas pocas, y el solo hecho de involucrarse hará que cambien las cosas, si es que necesitan cambiar.
Una política de software
A los datos se accede mediante interfaces, estas interfaces están en manos del software, un concepto simple y en teoría fácil de gestionar. Las PYME tienden a usar software gratuito o en pruebas para ahorrar dinero, el caso es que existe software de distribución gratuita que funciona de maravilla, pero hay muchos que no.
No confíes tus datos a un desconocido, persona, empresa, o software. Esta debería ser una regla fácil de seguir, no obstante esta guía puede ayudar:
- No descargar software desconocido. La empresa no es para hacer pruebas. El software que entre en tu empresa tendrá acceso a datos, y se instalará pidiendo permiso a los administradores.
- No descargar software de sitios que no sean oficiales. Hay webs que acumulan programas para descarga, por regla general vienen acompañados de malware.
- Si se usa software gratuito hay que asegurarse de usar productos que sean conocidos, que aparezcan en listas de revisión, que tengan soporte y una web con información para ayuda. Descargar la política de uso y guardarla, algunas veces confunde el mensaje que envían algunos fabricantes que dicen que es “gratis para instalarlo”, sin embargo no incluye el uso comercial.
- No usar software sin licencia. ¿Quién estaría interesado en esforzarse por romper la seguridad de un producto, crear una clave de acceso, y distribuirlo “sin beneficios”, por el bien de la humanidad? Esta situación no existe, esta es una puerta para comprometer su empresa.
- Asegurate de que existe una política de software, que especifica el software que está aprobado para instalarse en la empresa, con las versiones respectivas. Así mismo, incluí las condiciones para aprobar la instalación de un nuevo software, el cual pasará a formar parte de la lista de productos aprobados.
Moverse a la Nube
A partir de la década de 2010 la informática se revolucionó por tercera vez. La primera vez ocurrió cuando fue posible hacer software para dispositivos “personales”. Esto ocurrió principalmente en 1990, la segunda con la llegada de Internet en el año 2000, y una década después con Cloud Computing.
El uso de la computación en la nube no solo tiene ventajas de productividad y competitividad, también incluye beneficios en la seguridad de la información.
La seguridad de la información tiene tres pilares: mantener el acceso a quienes estén autorizados, mantener la información sin comprometer su integridad y mantener la disponibilidad. Estas condiciones son más fáciles de cumplir haciendo uso de Cloud Computing en sus diferentes modelos, ya sea contratando computación, almacenamiento, o aplicaciones.
¿Es más seguro Cloud Computing que los propios servidores en el edificio de la empresa? Esta pregunta resulta muy fácil de responder, de qué tamaño tendría que ser su empresa y cuánto tendría que invertir para compararse contra las empresas que ofrecen servicios basados en la nube. Sin dudarlo, es más seguro el modelo en la Nube.
Por otro lado, ahora son los especialistas quienes se encargan de las copias de seguridad y de la recuperación ante emergencia. Su trabajo ahora consiste en cuidar los dispositivos con los que se accede, y volvemos al tema de las contraseñas.
Muy importante: no cualquier Cloud, uno que le ayude a cumplir también las normas de privacidad y la reglamentación vigente, dado que de otra forma un almacenamiento en la India que no cumple, te dejará en la peor de las situaciones.
Fuente: Sage.com/blog