El Instituto Nacional de Ciberseguridad de España (INCIBE) ha publicado recientemente el “Decálogo ciberseguridad para empresas”(1), una guía donde los empresarios pueden encontrar lo que INCIBE llama “los diez mandamientos en ciberseguridad” que han de tener en cuenta para poder proteger la información de sus empresas.
1- Política y normativas de Ciberseguridad
Para garantizar la seguridad de la información del negocio de cualquier empresa es vital llevar a cabo una gestión planificada de actuaciones en materia de ciberseguridad e implementar un Plan Director de CiberSeguridad (PDCS), definido en base a la estrategia de negocio de la empresa y sus especificidades, que permitirá hacer frente a aquellos riesgos de la ciberseguridad que puedan llegar a atacar la continuidad de la empresa. De esta manera empezando por un análisis de riesgos de ciberseguridad y realizando una auditoría externa, llegaríamos a disponer de la Política de ciberseguridad de la empresa.
Finalmente, es muy importante concienciar, formar e informar a los empleados en materia de ciberseguridad: realizar cursos de formación sobre ciberseguridad, informar sobre las guías y directrices a seguir, cuál es la Política de ciberseguridad de la empresa, el rol de cada uno, y como hay que gestionar un incidente de seguridad, todo ello acompañado de reuniones periódicas que permitan revisar y actualizar todas las medidas y controles de seguridad existentes.
En este primer punto también hay que tener presente la seguridad legal, es decir, que se cumplan todas la normativas y leyes que afectan a nuestros sistemas de información, algunas de ellas serían: la Ley Orgánica de Protección de Datos (LOPD), la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI) (2), y la Ley de Propiedad Intelectual (LPI).
2- Control de acceso
A partir de la política y normativas establecidas en el primer punto habrá que establecer una política de control de acceso lógico que permita gestionar los diferentes tipos de usuarios que pueden acceder a los sistemas de nuestra empresa, cada cuanto habrán de cambiar las contraseñas, los requisitos que estas han de tener para poder ser lo suficientemente fuertes, etc.
También habrá que determinar a que tipo de información tiene acceso cada perfil de usuario, para que únicamente accedan a la necesaria para desarrollar su trabajo dentro de la empresa, y así proteger nuestros sistemas y evitar cualquier incidente intencionado o no de fuga de información, borrado, etc.
3- Copias de seguridad
Ante cualquier incidente de ciberseguridad que sufra nuestra empresa es de vital importancia disponer de copias de seguridad de la información que trata la empresa, de esta manera podremos garantizar su disponibilidad, integridad y confidencialidad, es decir, nos permitirán recuperarnos del daño causado por el ciberincidente o ciberataque.
En el Decálogo de INCIBE(1) podéis consultar los tipos de copias de seguridad que pueden realizarse.
4- Protección antimalware
En las empresas la seguridad antimalware ha de aplicarse no solamente a todos los equipos y dispositivos que esta tenga, sino también a los USB, discos duros portátiles, etc.
Es útil instalar aplicaciones específicas, aunque también es muy importante concienciar, formar e informar a nuestros trabajadores como ya he comentado en el primer punto. Un buen antimalware junto a unos empleados conscientes de los riesgos asociados a la ciberseguridad son la mejor manera de protegernos ante el malware.
5- Actualizaciones
Es muy importante mantener actualizado el software de nuestros equipos y dispositivos móviles, para garantizar la seguridad de las aplicaciones que manejan la información de la empresa y evitar que un ciberdelincuente pueda entrar en nuestro sistema.
6- Seguridad de la red
Es muy importante garantizar la seguridad de la red de la empresa para evitar que sea objeto de atacantes o intrusos, así como de la configuración de nuestra wifi. También es clave concienciar a nuestros empleados del riesgo de acceder desde los dispositivos móviles corporativos a los sistemas e información de la empresa cuando están usando una wifi pública abierta (como puede ser un aeropuerto, restaurante, etc).
7- Información en tránsito
Hace falta definir una política de uso de dispositivos personales o corporativos fuera de la empresa, para garantizar la seguridad de nuestra información. Hay que concienciar a los empleados del riesgo que supondría el robo de su dispositivo, la pérdida de credenciales o información sensible, etc.
8- Gestión de soportes
Hace falta analizar y escoger que tipo de dispositivos de almacenamiento se usaran en la empresa dentro de los existentes: almacenamiento local, servidores de almacenamiento en red o en la nube, y dispositivos externos. En el Decálogo de INCIBE(1) hacen una comparativa de algunos de ellos.
También es básico realizar una gestión de dichos soportes identificándolos y controlando su uso para garantizar la seguridad de la información que éstos contienen.
9- Registro de actividad
Hemos de monitorizar los eventos en nuestros sistemas de información para poder detectar errores o deficiencias en el sistema de información de la empresa. Dicha monitorización se compone de tres fases (recolección de la información, detección de posibles anomalías y análisis de la información) y permitirá identificar fallos de seguridad o situaciones de riesgo que podrían derivar en un incidente de seguridad.
10- Continuidad de negocio
Tras un incidente de seguridad la empresa ha de estar preparada para poder recuperarse en un plazo de tiempo razonable que no repercuta en el negocio. Así pues es necesario definir cuál será el Modelo de continuidad del negocio de la empresa, el conjunto de tareas orientadas a conseguir dicha recuperación.
Formación profesional relacionada
Fundamentos de Ciberseguridad: En este curso aprenderás los conceptos fundamentales de la ciberseguridad, la seguridad lógica y de la información. Estos conocimientos, te servirán para poder adoptar y mejorar las medidas a adoptar con respecto a esta materia, además de establecer los límites que establece la legislación y poder aplicarlos independientemente de la organización.
Fuentes referenciadas
(2) https://www.lssi.gob.es/paginas/Index.aspx