La ciberseguridad no es solo un asunto real, que llena las páginas de la prensa e incluso pone titulares en los medios generalistas. Todas las empresas están siendo atacadas constantemente, ya sea porque alguien internamente comete alguna imprudencia, porque se usa un programa infectado, o porque le ha tocado un ataque “aleatorio”, todas las empresas están expuestas y bajo ataque.
De las grandes empresas se espera que tengan sistemas muy complejos, que hagan grandes inversiones, y que contraten a los ingenieros de tecnología más listos, los que más saben de ciberseguridad. Entre otras, esta es una razón por la que generalmente las PYME se sienten en desventaja. Lo digo por experiencia propia cuando converso con el dueño de una PYME, que le parece una montaña insuperable el asunto de la seguridad y la ciberseguridad, y no tiene por qué ser así.
“Existen dos tipos de empresas: las que saben que han sido atacadas y las que no lo saben”
Es verdad que el asunto de los ataques, los virus, los sistemas espías, y los secuestros de datos asustan; y este año asustan mucho más puesto que la nueva reglamentación en materia de protección de datos ha incluido penalizaciones importantes por comprometer los datos, así que no es posible ponerse en el papel de víctima cuando se sufre un robo de datos, o cuando se exponen los datos, al menos no hay tiempo, hay que actuar cuanto antes.
Si bien hay que ser conscientes y prácticamente aceptar que se tendrá problemas de seguridad, tampoco hay que pasar a la resignación, porque hay mucho que se puede hacer. Existen dos tipos de empresas: las que saben que han sido atacadas y las que no lo saben, la clave está en pertenecer al primer grupo.
La seguridad completa no existe, pero hay mucho que puede hacer para que un posible ataque no le afecte e incluso no requiera una recuperación complicada, ni costosa.
Me gustaría darle tres consejos para la seguridad de la información que no le costará grandes cantidades de dinero ni esfuerzo, de hecho ahorrará siguiéndolos.
Involucrarse en la TI y la Ciberseguridad
Empecemos con el eslabón débil, las personas. Seguramente lo ha escuchado muchas veces, las personas somos el eslabón débil de la seguridad, es cierto, lo somos. En vez de asumirlo podemos trabar en ello, en crear una cultura organizacional que haga la diferencia.
Ensayamos cómo salir de un edificio para que el día que haya una emergencia sepamos como actuar, es un ejercicio de seguridad, la analogía es la misma en ciberseguridad. Las personas necesitan guías y mucha práctica para no caer en las trampas de los ciberdelincuentes, trampas muy bien diseñadas, ensayadas, y perfeccionadas.
Mi consejo para los directivos es que se involucren en la ciberseguridad, y no pido nada diferente a lo que ya hacen con la seguridad de los activos importantes. Las empresas tienen procedimientos para guardar efectivo, o vehículos, o equipos de importancia para prevenir daños, sustracciones, o pérdidas; los datos son también activos valiosos, y los sistemas de la información son motores de la empresa.
Haga preguntas básicas al departamento de tecnología o al responsable de tecnología. Algunos ejemplos:
- ¿Cómo nos aseguramos de tener claves de seguridad seguras?
- ¿Cómo nos aseguramos de que no escriban ni compartan las claves de seguridad?
- ¿Qué empresas o personal accede a nuestros datos o sistemas de forma externa? ¿cómo los monitorizamos? ¿cómo guardamos trazabilidad de lo que hacen?
- ¿Qué método utilizamos para las copias de seguridad?
- Pida que le enseñen las copias de seguridad y que le hagan una prueba
- ¿Cuál ha de ser el protocolo en caso de robo de datos, o de situación de posible violación de datos, o en caso de incendio, o en caso de robo de los equipos?
- ¿Tenemos antivirus? ¿está actualizado? ¿cómo se gestiona? ¿cómo se prueba?
Hay muchas más preguntas que podría hacer, pero empiece con estas pocas, el solo hecho de involucrarse hará que cambien las cosas si es que necesitan cambiar.
Una política de software
A los datos se accede mediante interfaces, estas interfaces están en manos del software, un concepto simple y en teoría fácil de gestionar. Las PYMES tienden a usar software gratuito o en pruebas para ahorrar dinero, el caso es que existe software de distribución gratuita que funciona de maravilla, pero hay mucho más que no.
No confíe sus datos a un desconocido, persona, empresa, o software. Esta debería ser una regla fácil de seguir, pero si me lo permite le ayudaré con unas guías:
- No se descargue software que no conoce. La empresa no es para hacer pruebas. El software que entre en su empresa tendrá acceso a datos, y se instalará pidiendo permiso a los administradores.
- No descargue software de sitios que no sean la página oficial. Hay webs que acumulan programas para descarga, por regla general vienen acompañados de malware.
- Si usa software gratuito asegúrese de usar productos que sean conocidos, que aparezcan en listas de revisión, que tengan soporte y una web con información para ayuda. Descargue la política de uso y guárdela, algunas veces confunde el mensaje que envían algunos fabricantes que dicen que es “gratis para instalarlo”, sin embargo no incluye el uso comercial.
No use software sin licencia. Quién estaría interesado en esforzarse por romper la seguridad de un producto, crear una clave de acceso, y distribuirlo “sin beneficios”, por el bien de la humanidad. Esta situación no existe, esta es una puerta para comprometer su empresa.
Asegúrese de que existe una política de software, que específica el software que está aprobado para instalarse en la empresa, con las versiones respectivas. Así mismo, incluye las condiciones para aprobar la instalación de un nuevo software, el cual pasará a formar parte de la lista de productos aprobados.
Muévase a la Nube
A partir de la década de 2010 la informática se revolucionó por tercera vez. La primera vez ocurrió cuando fue posible hacer software para dispositivos “personales” esto ocurrió principalmente en 1990, la segunda con la llegada de Internet en el año 2000, y una década después con Cloud Computing.
El uso de la computación en la nube no solo tiene ventajas de productividad y competitividad, también incluye beneficios en la seguridad de la información.
La seguridad de la información tiene tres pilares, mantener el acceso a quienes estén autorizados, mantener la información sin comprometer su integridad, y mantener la disponibilidad. Estas condiciones son más fáciles de cumplir haciendo uso de Cloud Computing en sus diferentes modelos, ya sea contratando computación, almacenamiento, o aplicaciones.
¿Es más seguro Cloud Computing que mis propios servidores en mi edificio? Esta pregunta resulta muy fácil de responder, de qué tamaño tendría que ser su empresa y cuánto tendría que invertir para compararse contra las empresas que ofrecen servicios basados en la nube. Sin dudarlo, es más seguro el modelo en la Nube.
Por otro lado, ahora son los especialistas quienes se encargan de las copias de seguridad y de la recuperación ante emergencia. Su trabajo ahora consiste en cuidar los dispositivos con los que se accede, y volvemos al tema de las contraseñas.
Muy importante, no cualquier Cloud, uno que le ayude a cumplir también las normas de privacidad y la reglamentación vigente; puesto de otra forma un almacenamiento en la India no cumple, le deja en peor situación.
Siguiente lectura recomendada
Ciberespionaje en la cadena de suministro: Amenazas y soluciones para empresas
Subscríbete a la newsletter de Sage Advice
Recibe nuestros consejos más recientes directamente en la bandeja de entrada de tu correo electrónico.
