+34 96 145 25 55

Decálogo del COIICV de Seguridad Informática para empresas

El COIICV (Colegio de Ingenieros Informáticos de la Comunidad Valenciana) ha publicado hoy un Decálogo de Seguridad Informática para las empresas valencianas que, con motivo del Día Mundial de Internet, se presentó este pasado martes en el marco de una Jornada especial sobre Transformación Digital de la Empresa en la Confederación de Organizaciones Empresariales de la Comunidad Valenciana (CIERVAL). Una serie de consejos para garantizar la seguridad de la infraestructura informática de las empresas, especialmente las pymes, que suelen ser las más expuestas a amenazas como los malwares o los virus. Son los siguientes.

seguridad-informatica-en-las-empresas

Conoce el entorno

A través de Internet podemos vernos expuestos a diversas amenazas como phishing (engaño a usuarios para conectar a servicios fraudulentos y obtener información de pago o credenciales de acceso), malware (tales como pueden ser virus, spyware, adware, rootkits, gusanos, etc), botnets (permite a los ciberdelincuentes realizar ataques empleando recursos del equipo «víctima»). Para protegernos podemos emplear certificados digitales en los servicios que expongamos en Internet (https), concienciando a los usuarios sobre su uso, para evitar el phishing; instalar sistemas antivirus para protegernos del malware, mantenerlos actualizados y monitorizarlos para comprobar su correcto funcionamiento; comprobar conexiones no solicitadas que realizan nuestros sistemas para descartar que pertenezcamos a una botnet; y mantenernos informados sobre amenazas y vulnerabilidades en foros especializados, listas de correo, etc.

Protege tus dispositivos (PC’s, tablets, móviles…)

Puesto que los dispositivos son cada vez más importantes, tanto en nuestra vida privada como en el trabajo, la necesidad de protegerlos contra nuevas amenazas también aumenta. Intenta mantener siempre actualizado el sistema operativo de los dispositivos de tu empresa, establece políticas de seguridad (para el bloqueo de terminal en caso de pérdida o robo, listas de aplicaciones blancas o negras, conexión a redes wifi públicas), procura comunicarlas para que todos los empleados sean conscientes. Además es importante utilizar servicios de gestión remota de dispositivos para garantizar su cumplimiento y desplegar un servicio de protección móvil que cubra los tres vectores de ataque –aplicación, red y exploits de dispositivo- y te salvaguarde tanto de amenazas conocidas como de ataques día cero.

Protege tus datos y tu información

La información y los datos son el activo más valioso de una empresa. La pérdida o robo de información afecta a la productividad y al negocio. ¿Qué pasa con la información  que no vemos? Todos los archivos tienen metadatos. Cuando difundimos archivos ofrecemos a otras personas información confidencial sobre nosotros, sobre la organización, por ello es muy importante proteger los entornos documentales mediante el análisis, filtrado y tratamiento de metadatos e incorporar un sistema preventivo automatizado o semiautomático contra la fuga de información. Es importante realizar una labor de concienciación a los empleados sobre los peligros de la fuga de información y cómo prevenirla.

Vigila y evalúa el estado de tu seguridad

Para gestionar el estado de nuestra seguridad debemos, entre otras cosas, comprobar el estado de actualización de nuestros sistemas con las versiones oficiales de los fabricantes, priorizando las actualizaciones de seguridad; realizar análisis periódicos de vulnerabilidades, utilizando herramientas especializadas, que nos den una visión del estado de nuestra seguridad; monitorizar los logs de los sistemas más críticos empleando herramientas de correlación de eventos y alertas para agilizar la tarea de revisión; monitorizar las comunicaciones y los posibles ataques a nivel de red con sistemas de detección de intrusiones (IDS); y además, realizar tests de penetración llevados a cabo por expertos que actúan como atacantes reales, que complementen el resto de medidas y nos muestren el estado real de nuestra seguridad.

Protege tu reputación y tu negocio en Internet

Las empresas deben resolver los retos a los que se enfrentan en el mundo digital. Los ataques cibernéticos pueden afectar al normal funcionamiento de su actividad empresarial, además de menoscabar su reputación o su imagen de marca o ser susceptibles de derivar en acciones fraudulentas contra los intereses de la compañía. Es por ello que debes identificar aquellas amenazas o actividades sospechosas en la red que puedan afectar a tus  activos, tanto tecnológicos como físicos para adelantarte a posibles ataques.

Protege tus comunicaciones

Las empresas pueden sufrir amenazas de seguridad originadas tanto en la red interna como en la externa. Para estar protegido debes tener mecanismos de control de acceso que te permitan restringir el uso de la red a los usuarios autorizados. Además debes cifrar tus comunicaciones, especialmente las inalámbricas (Wi-Fi), para evitar fugas de información aunque tus comunicaciones hayan sido interceptadas. En el acceso a internet debes disponer de servicios de filtrado y limpieza de tráfico que eliminen el malware y que impidan el acceso a webs maliciosas, así como que detecten posibles intrusiones en la red. Por último, dada la criticidad de las comunicaciones para la empresa, es muy recomendable disponer de servicios de alta disponibilidad que ofrezcan una garantía de funcionamiento continuado.

Cumple con la normativa

Si recabamos datos de nuestros contactos, clientes, proveedores, etc., debemos cumplir con la LOPD. Al menos se deberán declarar los ficheros en la Agencia Española de Protección de Datos, además de elaborar un Documento de Seguridad e implantar las medidas de seguridad correspondientes (adicionalmente, cabe la posibilidad que se deban realizar auditorías bienales).

Si tenemos una página web donde ofertamos servicios de comercio electrónico, deberemos, entre otras medidas más específicas, incluir la denominación social, NIF, domicilio social, correo electrónico y datos de inscripción registral, así como los precios (incluyendo impuestos y gastos de envío) de los productos. Además, evitar el envío de SPAM y solicitar el consentimiento del usuario para instalar cookies propias en su equipo e informando en caso de utilizar cookies de terceros.

Adicionalmente debemos tomar las medidas oportunas para evitar copias ilegales de material protegido, entre las que destacamos prohibir la utilización de software sin licencia, restringir la instalación de software por los usuarios, entre otras.

Monitoriza tus aplicaciones móviles

Hoy en día las amenazas relacionadas con el mundo móvil crecen continuamente. Debes ser consciente de que en las tiendas online donde se distribuyen apps existen aplicaciones afectadas por adware agresivo, que intentan confundir al usuario suplantando las oficiales, o roban información de carácter personal de los usuarios. Por otro lado, gran parte de las empresas externalizan el desarrollo de sus apps pero se debe tener en cuenta que ciertas prácticas llevadas a cabo por desarrolladores, como la compartición de los certificados para la firma de sus aplicaciones, podrían dar lugar a la enumeración de aplicaciones con las mismas vulnerabilidades. De esta manera, debes conocer muy bien qué aplicaciones son instaladas en los dispositivos de tu empresa y, si son tuyas, tener cierto control sobre cómo son desarrolladas.

Protégete antes las vulnerabilidades de tus proveedores

Para protegernos ante las vulnerabilidades de nuestros proveedores emplearemos medidas de seguridad tales como la firma de un Contrato de Confidencialidad, indicando que el proveedor no revelará a terceros información a la que tenga acceso durante la prestación del servicio y establecerá las medidas de seguridad necesarias para protegerla; un  Contrato de Acceso a Datos Personales, que incluya instrucciones para el tratamiento de datos personales, la finalidad con la que se realice el tratamiento y las medidas de seguridad de obligado cumplimiento; Acuerdos de Nivel de Servicio, que contendrán la disponibilidad horaria, tiempo de respuesta, tiempo de resolución, personal asignado, vías de comunicación, etc., así como  revisaremos periódicamente los niveles de servicio y acuerdos, y en la finalización del servicio, se devolverá o destruirá la información, retirando los accesos físicos y telemáticos a la misma.

Protege el espacio físico de tu empresa

Para proteger el espacio físico de nuestra empresa, y según nuestros requerimientos de seguridad, contemplaremos entre otras medidas el control del acceso físico a los equipos y componentes de red, por ejemplo, mediante el uso de acceso por tarjeta a las instalaciones o control de acceso biométrico (huella digital, etc.) prestando especial atención a los usuarios que pueden acceder sin acompañamiento (limpiadoras, personal, contratistas, etc.). Debemos también disponer de un procedimiento de Visitas (acompañando e identificando a las mismas) y  revisar periódicamente los derechos de acceso.

Si disponemos de un CPD en nuestras instalaciones, deberemos además controlar la temperatura y humedad según los requerimientos de los fabricantes. Finalmente, podemos contemplar implementar sistemas de Videovigilancia con monitorización y gestión remota segura y establecer una política de protección del puesto de trabajo, como por ejemplo, dejando las mesas limpias de documentos y usando el bloqueo de pantalla de equipos.

Artículos Relacionados

Escribe un comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *