Cómo Implementar una Política de Seguridad Informática Efectiva. PARTE II

Aquí está la segunda parte de nuestra serie sobre cómo implementar una política de seguridad informática efectiva en las pequeñas y medianas empresas (pymes). En la primera parte, destacamos la importancia de la ciberseguridad y cómo incluso las empresas más pequeñas son susceptibles a ataques informáticos. La clave es no confiarse y entender que los ataques, aunque muchas veces no son personalizados, buscan una ganancia económica que incluso las pymes pueden satisfacer. Recordamos que sembrar seguridad desde el principio es esencial para cosechar tranquilidad más adelante.

En esta entrega, profundizaremos en los dos siguientes puntos que una empresa debe seguir para fortalecer la seguridad de sus sistemas informáticos. Aunque es un tema extenso y complejo, nos centraremos en problemas y soluciones específicas para las pymes, resaltando las ideas clave en un formato condensado y accesible. Cubriremos los dos siguientes pasos fundamentales:

3.Capacitación y Concientización del Personal

Una política de seguridad es efectiva solo si todos en la organización están conscientes de ella y entienden cómo aplicarla. La capacitación y la concientización del personal son esenciales.

  • Ejemplo: Organizar sesiones regulares de formación sobre seguridad informática para todos los empleados, incluyendo:
    • La gestión de contraseñas y gestión de las mismas
    • La detección de phishing y los fraudes por correo electrónico
    • Las buenas prácticas de navegación por internet.
    • Manejo responsable de la información confidencial
    • El uso de autenticación de dos factores

4.Implementación de Medidas Técnicas

Generalmente esta es la parte más difícil. Implementar medidas de seguridad suele ser complicado porque, si no se hace correctamente, puede romper la operativa de los sistemas. Para una PYME el mejor momento para hacer estos cambios es cuando hace una renovación informática. En ese momento es más fácil hacer estos cambios y hay menos riesgo de romper los sistemas. Además, si la migración se hace a un servicio Cloud bien diseñado, la implementación se vuelve mucho más sencilla puesto que este nuevo servicio ya nace con muchos de los problemas resueltos de base.

  • Ejemplo: A continuación se detallan los sistemas que conviene implementar y actualizar para optimizar la seguridad informática. La mayoría deberían ser consecuencia del inventariado y el desarrollo de políticas de los pasos anteriores.
    • Proteger la red física, especialmente la Wifi. La red cableada requiere sobre todo, bloquear los puertos de red en aquellos lugares públicos donde un posible hacker pueda conectar su equipo a nuestra red. En cuanto a la seguridad del Wifi, es importante establecer una contraseña segura y el cifrado WPA2, así como separar la red de invitados.
    • Instalar y mantener software antivirus actualizado en todos los dispositivos corporativos.
    • Actualizar los equipos obsoletos para asegurar que todos los sistemas disponen de soporte del fabricante.
    • Establecer un sistema de backup regular para proteger los datos. Seguir los parámetros definidos en la política de la empresa.
    • Implementar sistemas para proteger las copias de seguridad. Hoy día, los ataques de seguridad se centran en localizar las copias de seguridad para neutralizar su uso. Es necesario que exista una copia fuera de la organización y que esta copia esté fuera del alcance en caso de un ataque.
    • Implementar puertas de entrada seguras, típicamente firewall y sistemas de acceso remoto. Estos sistemas deben cumplir con la política de seguridad que haya establecido la empresa y por lo tanto serán más o menos restrictivos en función de esa decisión. Nuestra recomendación es implementar el “zero trust” todo lo que sea posible y no abrir ninguna puerta al exterior, al menos si tenemos la alternativa de no hacerlo.
    • Aislar adecuadamente los accesos públicos, especialmente a los servicios web que la empresa pueda estar publicando. Estos servicios son especialmente vulnerables a ataques y deben ser protegidos con las máximas precauciones. Es imperativo aislar estos sistemas del resto de la red con técnicas conocidas como DMZ. En ciertos casos, es posible que estos servicios puedan externalizarse a la nube lo cual facilitará esta separación de servicios.
    • Implementar contraseñas seguras y activar los sistemas de doble factor de autenticación que la política de seguridad haya decidido. Esto implicará posibles paradas de servicio en sistemas interconectados que no se hayan tenido en cuenta en la auditoría. Este es un punto delicado pero muy necesario.
    • No olvidar la web corporativa que requiere de los mismos cuidados que el resto de los sistemas: necesita un sistema de protección frente a taques (Firewall Web), necesita mantenerse actualizada para mitigar o corregir vulnerabilidades de software que puedan detectarse en su software y necesita de una copia de seguridad que permita recuperar su operativa ante un posible ataque informático.
    • Securizar el correo electrónico de la empresa. Para garantizar la máxima seguridad del correo es necesario hacer las siguientes actuaciones: Asegurarse que el servidor de correo tiene un buen filtro antispam y antivirus. Siguiendo la política establecida previamente, implementar reglas para bloquear ficheros que puedan contener virus o adjuntos dañinos, incluso vínculos a webs infectadas. Además, es muy recomendable configurar adecuadamente el dominio de la empresa con los mecanismos de seguridad que existen actualmente (SPF, DKIM y DMARK). Por último, es importante establecer contraseñas seguras y activar la autenticación de dos factores.

 

En conclusión, la capacitación y concientización del personal es un pilar fundamental en la implementación de una política de seguridad informática efectiva. La efectividad de las medidas técnicas depende en gran medida de la comprensión y el compromiso del personal con las prácticas de seguridad. La formación regular en temas como la gestión de contraseñas, la detección de phishing, las prácticas seguras de navegación en internet y el manejo responsable de la información confidencial son esenciales para fortalecer la primera línea de defensa de cualquier organización: sus empleados.

Por otro lado, la implementación de medidas técnicas requiere una planificación y ejecución cuidadosa, especialmente en entornos de pequeñas y medianas empresas. La actualización de software antivirus, la gestión eficiente de copias de seguridad, la implementación de firewalls y sistemas de acceso remoto, y la protección de la infraestructura web son aspectos cruciales. Estas medidas deben estar en línea con la política de seguridad de la empresa y ser lo suficientemente flexibles para adaptarse a los cambios tecnológicos y a las nuevas amenazas cibernéticas.

En resumen, la combinación de una fuerza laboral bien informada y medidas técnicas sólidamente implementadas constituye una estrategia integral de seguridad informática. Esto no solo protege los activos digitales y la información confidencial de la empresa, sino que también fomenta una cultura de seguridad que permea todos los niveles de la organización.