Con el objetivo de contribuir con la educación e información de las empresas para alcanzar una mejor política de seguridad de la información, los especialistas de ESET han elaborado los 10 mandamientos de la seguridad corporativa, entendidos como los principios básicos que deben regir la protección de la información en las compañías.
La resonancia alcanzada por el caso Wikileaks y las recientes intrusiones a bases de datos de prestigiosas empresas, como Sony, han ubicado al tema de la fuga de datos entre los más discutidos y controversiales de la agenda de medios. Si bien no se trata de una problemática nueva, su creciente difusión ha permitido a las compañías tomar mayor conciencia sobre el valor de su información y la importancia de la privacidad y confidencialidad de la misma.
Para contribuir con la educación de las empresas para alcanzar una mejor política de seguridad de la información, el equipo de especialistas de ESET Latinoamérica ha elaborado un decálogo con los consejos más importantes para proteger los datos en el ambiente corporativo.
1.Definirás una política de seguridad: Es el documento que rige toda la seguridad de la información en la compañía. Se recomienda que no sea muy extensa (ningún empleado podrá comprometerse con un documento excesivamente extenso), que sea realista (pedirle a los trabajadores cosas posibles para mantener la credibilidad) y que se le dé valor. Es preferible, además, que la misma sea entregada a los empleados por los altos cargos o por el departamento de recursos humanos, en lugar del soporte técnico de TI, para que le asignen mayor importancia.
2.Utilizarás tecnologías de seguridad: Son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta antispam, estará demasiado expuesta como para cubrir la protección con otros controles. Según lo presentado en el ESET Security Report Latinoamérica, el 38% de las compañías de la Región se infectó con malware el último año.
3.Educarás a tus usuarios: Los usuarios técnicos o del departamento de TI suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ESET, el 45% de los ataques informáticos detectados en la Región utiliza técnicas de ingeniería social, es decir, que atentan contra el desconocimiento del usuario para infectarlo. Por ello, es fundamental que toda la empresa forme parte de los procesos de educación y capacitación.
4.Controlarás el acceso físico a la información: La seguridad de la información no es un problema que deba abarcar sólo los datos virtuales, sino también los soportes físicos donde éstos son almacenados. ¿Dónde están los servidores? ¿Quién tiene acceso a éstos? Sin lugar a dudas, el acceso físico es fundamental. También deben ser considerados en este aspecto la información impresa, el acceso físico a oficinas con datos confidenciales (el gerente, el contador, etc.) o el acceso a las impresoras.
5.Actualizarás tu software: Las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica, elaborado por ESET, el 41% de los dispositivos USB está infectado y el 17% del malware utiliza explotación de vulnerabilidades. Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.
6.No utilizarás al área TI como tu equipo de seguridad informática: Es uno de los errores más frecuentes, por lo que es importante recordar que la seguridad no es un problema meramente tecnológico. Debe existir un área cuyo único objetivo sea la seguridad de la información para que ésta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo, la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.
7.No usarás usuarios administrativos: De esta forma, una intrusión al sistema estará limitada en cuanto al daño que pueda causar en el mismo.
8.No invertirás dinero en seguridad sin un plan adecuado: La seguridad debe ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en este aspecto sin medir el valor de los datos que se están protegiendo y la probabilidad de pérdidas por incidentes, puede derivar en dinero mal invertido o, básicamente, en dinero perdido.
9.No terminarás un proyecto en seguridad: La seguridad debe ser concebida como un proceso continuo, no como un proyecto con inicio y fin. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información es una necesidad permanente del negocio que debe encontrarse en mejora continua.
10.No subestimarás a la seguridad de la información: Entender el valor que asigna al negocio tener la información protegida es clave. Muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.
Acerca de ESET
Fundada en 1992, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra amenazas informáticas.
Mayor información en www.eset-la.com
