La ciberseguridad en las empresas ya no es cosa solo de películas, como hasta hace poco tiempo, en el que los ataques de virus informáticos y los robos de información de las empresas eran uno de los argumentos principales de estas.
Y aunque en el cine las cosas acaban habitualmente bien, la realidad no suele ser tan feliz, en un entorno tecnológico tan cambiante la ciberseguridad se convierte en un aspecto prioritario para todo tipo de entidades, adaptándose a los objetivos y circunstancias propias.
El Instituto Nacional de Ciberseguridad de España (INCIBE) es la entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de los ciudadanos y las empresas y tiene a disposición del público un número de teléfono gratuito de atención e información, el 017, todos los días del año y de 9 a 21 horas.
Para asesorar a los empresarios el INCIBE, sociedad dependiente del Ministerio de Economía y Empresa a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, establece una guía de diez puntos a abordar el tema de la ciberseguridad en las empresas de una manera integral.
Repasaremos en este artículo los cinco primeros y en una próxima entrega, dedicada también a la ciberseguridad, analizaremos más profundamente los otros cinco: seguridad de la red, información en tránsito, comunicaciones inalámbricas, gestión de los soportes, registro de actividad y continuidad de negocio.
– Política de seguridad propia
Este decálogo comienza por la adopción de una política de seguridad propia en cada empresa, esto es, el establecimiento de un Plan Director de ciberseguridad que establezca el punto de partida inicial, los riesgos a evitar y el nivel de seguridad a conseguir.
Muy unido a esto se encuentran los productos o servicios de seguridad informática que se vayan a utilizar y una normativa interna de buenas de prácticas entre empleados, técnicos y colaboradores.
No se puede olvidar incluir en este apartado todo lo relativo al cumplimiento legal referido al cumplimiento al Reglamento General de Protección de Datos (RGPD), la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) y la Ley de Propiedad Intelectual, así como la seguridad interna con los empleados, mediante el establecimiento de un listado de usos aceptables y no aceptables; la utilización de software legal, aplicaciones permitidas y normas de uso de dispositivos personales y portátiles.
– Control de accesos de los usuarios
Actualmente las posibilidades tecnológicas permiten accesos que facilitan el trabajo a distancia pero no todo el mundo debe acceder a todos los archivos de una empresa, así se deben identificar esos usuarios con credenciales (ID y contraseña), establecimiento de permisos, derechos y atributos, etc.
– Copias de seguridad
Como tercer punto se establece la necesidad de establecer copias de seguridad como mecanismo de protección de la información corporativa y de los clientes, y también el cifrado de la misma, el control de acceso a la citada información y si es necesario su destrucción.
En este sistema de copias hay que analizar lo que se debe copiar, las versiones a realizar y si dichas copias tienen carácter total, incremental o deben existir copias diferenciales.
Es conveniente hacer pruebas de restauración periódicas y control de los soportes de copia y también tener una copia de seguridad fuera de la organización ante eventos extraordinarios tales como incendios o inundaciones o cualquier otra desgracia.
No está de más que se documente este proceso y sus características en una especie de “libro blanco de instrucciones” para poder recuperar la información tras alguna contingencia grave o ausencia de los trabajadores encargados habitualmente de estas tareas.
– Protección antimalware
El cuarto aspecto a abordar respecto a la ciberseguridad se refiere a la protección antimalware en todos los equipos de la empresa con elementos de seguridad que protejan y que detecten las amenazas en tiempo real, con análisis y actualizaciones periódicas .
También es conveniente disponer de sistemas antiphishing y antispam para los emails y analizar de páginas web y se realicen comprobaciones automáticas de seguridad en la descarga de ficheros, así como filtrar páginas webs y aplicaciones permitidas
– Las actualizaciones
Tanto de los equipos como de las aplicaciones y también de los gestores de contenidos de nuestras webs que vayan aumentando la seguridad de todos nuestros dispositivos disminuyendo sus vulnerabilidades.