Conozca el decálogo de la seguridad informática que debe respetar su empresa

El caso Wikileaks y las recientes intrusiones a bases de datos de prestigiosas empresas como Sony han ubicado al tema de la fuga de información entre los más discutidos y controversiales de la agenda de los medios.

La cuestión, incluso, aumentó en gravedad en los últimos días con los ataques que sufrieron el Citigroup y el Fondo Monetario Internacional.

Si bien no se trata de una problemática nueva, estos hechos han contribuido a que las empresas tomen mayor conciencia sobre el valor de su información y la importancia de la privacidad y confidencialidad de la misma.

“La existencia misma del caso Wikileaks determinó un antes y un después en cuanto a lo que a fuga de información se refiere. No es que antes no ocurriera, sino que -en la mayoría de las ocasiones-  las fugas no se hacen públicas para salvaguardar la imagen de las empresas e instituciones. Además, el incidente permitió entender que si este tipo de incidentes puede sucederle a organizaciones tan grandes y preparadas, podría ocurrirle también a empresas y organizaciones más pequeñas”, aseguró Federico Pacheco, Gerente de Educación e Investigación de ESET Latinoamérica, un fabricante de software de seguridad informática.

Con el objetivo de contribuir con la educación e información de las empresas, para alcanzar una mejor política de seguridad de la información, los especialistas de esta firma elaboraron un listado con las 10 reglas de la seguridad corporativa:

1.- Defina una política de seguridad
Es el documento que rige toda la seguridad de la información en la compañía. Se recomienda que no sea muy extenso (ningún empleado podrá comprometerse con uno excesivamente largo), que sea realista (para pedirle a los empleados cosas posibles para mantener la credibilidad) y que se les de valor. 

Es preferible, además, que sea entregado a los empleados por los altos cargos o por el departamento de Recursos Humanos, en lugar del soporte técnico de TI, para que se le asigne mayor importancia.

2.- Utilice tecnologías de seguridad
Es la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta antispam estará demasiado expuesta como para cubrir la protección con otros controles.

Según fue presentado en el ESET Security Report Latinoamérica, el 38% de las empresas de la región se infectaron con malware el último año.

3.- Eduque a sus usuarios
Los usuarios técnicos o del departamento de TI suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas.

Según las estadísticas de ESET, el 45% de los ataques informáticos detectados en la región utiliza técnicas de ingeniería social- es decir, que atentan contra el desconocimiento del usuario para infectarlo. Por ello, es fundamental que toda la compañía forme parte de los procesos de educación y capacitación.

4.- Controle el acceso físico a la información
La seguridad de la información no es un problema que deba abarcar sólo los datos virtuales, sino también los soportes físicos donde están almacenados. ¿Dónde están los servidores? ¿Quién tiene acceso a éstos? Sin lugar a dudas, el acceso físico es fundamental.

También deben ser considerados, en este aspecto, los datos impresos, el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.) o el acceso a las impresoras.

5.- Actualice tu software
Las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica elaborado por ESET, el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades.

Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.

6.- No utilice a TI como tu equipo de seguridad informática
Es uno de los errores más frecuentes, por lo que es importante recordar que la seguridad no es un problema meramente tecnológico.

Debe existir un área cuyo único objetivo sea la seguridad de la información para que ésta no pueda ser relegada por otros objetivos asociados a la usabilidad, como, por ejemplo, la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.

7.- No use usuarios administrativos
De esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo.

8.- No invierta dinero en seguridad sin un plan adecuado
La seguridad debe ser concebida para proteger la información y, por ende, el negocio.

Hacer inversiones en ella, sin medir el valor de la información que se está protegiendo y la probabilidad de pérdidas por incidentes, puede derivar en dinero mal invertido o, básicamente, perdido.

9.- No termine un proyecto en seguridad
La seguridad debe ser concebida como un proceso continuo, no como un proyecto con inicio y fin.

Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información es una necesidad permanente del negocio que debe encontrarse en mejora continua.

10.- No subestima a la seguridad de la información
Entender el valor que asigna al negocio tener la información protegida es clave.  Muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de los datos.

“Todas las empresas están preparadas para afrontar el desafío de proteger su información. Para comenzar con ello, consideramos que conocer e implementar estos principios es un muy buen primer paso que ayudará con la implementación de correctas metodologías para cuidar la información de su compañía. Es fundamental entender que cuidarla es, sencillamente, cuidar el negocio”, agregó Sebastián Bortnik, coordinador de Awareness & Research de la firma.