Actualmente, cualquier empresa trabaja con software y tecnología informática, desde la más sencilla, mandar correos, hasta la más compleja, como la utilización de software propios para el desarrollo de su actividad empresarial. Al hacer uso del internet y trabajar con herramientas tecnológicas, es importante establecer unas políticas de seguridad informática, para la prevención de ciberataques, garantizando así la seguridad de la información de la infraestructura IT.
Entendemos como políticas de seguridad informática, declaraciones formales de las reglas que deben cumplir los empleados de una organización para garantizar la seguridad de la información y los datos que manejan, tanto propios de la empresa como de sus proveedores, colaboradores, clientes, etc.
Se puede hablar de dos grupos diferenciados de políticas de seguridad informática:
Prácticas o acciones a evitar: Estas hacen referencia al tipo de comportamiento o las prácticas que no se deben llevar a cabo porque pueden poner en riesgo la infraestructura informática y toda su información. Un ejemplo de lo que no se debe hacer sería: Abrir enlaces sospechosos, descargar aplicaciones sin el permiso del departamento informático de la empresa, conectarse a Wi-Fi públicas en caso de teletrabajo, entrar en webs sin certificado SSL, entre otras prácticas que pueden poner en riesgo la seguridad de la empresa.
Prácticas obligatorias para garantizar la seguridad de un sistema: Estas políticas marcan todos los requisitos, a nivel de ciberseguridad, que se deben cumplir, así como las metodologías y procedimientos que se deben emplear en ocasiones, para garantizar dicha seguridad. Un ejemplo sería: Cifrar los archivos sensibles, realizar copias de seguridad periódicas, usar un gestor de credenciales, trabajar con VPN, implementar soluciones de ciberseguridad como: antiphishing, antivirus o cortafuegos.
Por otro lado, las políticas de seguridad deben tener unas características específicas. Encontramos que deben ser:
Concretas, es decir, tienen que poder implementarse a través de procedimientos, reglas y pautas claras.
Claras. No pueden ser ambiguas, sino que todo el mundo debe entender, de la misma forma, las responsabilidades y obligaciones que tienen los distintos tipos de usuario (empleados, administradores, proveedores, colaboradores, dirección…) para garantizar la seguridad informática de la empresa.
Obligatorias. Toda la empresa debe cumplirlas sin excepciones. Para garantizar esto, es importante poner medidas o herramientas de seguridad que faciliten este cumplimiento.
En realidad, las políticas de seguridad informática están incluídas dentro de la estrategia de ciberseguridad de la empresa. Si no hay estrategia, seguramente tampoco habrá políticas de seguridad informática, puesto que una es implícita a la otra.
Cuando hablamos de estrategia de ciberseguridad, nos referimos a todo el plan estratégico que girará en torno a mantener y garantizar la seguridad del sistema: Desde cómo se actuará en caso de ciberataque, qué medidas de prevención se implementarán, cómo se gestionarán los datos, políticas de seguridad informática a cumplir, etc.
Se trata de planificar y organizar una serie de buenas prácticas que deberán conocer todos los empleados de la organización, para un trabajo alineado y colaborativo.
Las políticas de seguridad informática tienen como objetivo velar por:
Privacidad de la información.
Integridad de los datos.
Disponibilidad de los datos e información 24/7 los 365 días del año.
Además, estas políticas, tienen la finalidad de guiar a los empleados, para que sepan en todo momento cómo actuar y cómo protegerse. La concienciación y formación es el primer paso para evitar ciberataques causados por errores de factor humano, que son los más comunes y frecuentes.
En la página web de INCIBE, el Instituto Nacional de Ciberseguridad encontrarás las principales políticas de seguridad informática para PYMEs.
Las políticas de seguridad informática pueden estar adaptadas a los diferentes departamentos que conforman la empresa, o al tipo de personal que esta tiene. Por eso, encontramos diferentes tipos. A continuación, vamos a ver algunos ejemplos de políticas de seguridad que se pueden implementar.
Privacidad en el uso de herramientas o software de trabajo.
Pautas a seguir para la compra de nuevas tecnologías o la contratación de servicios de software.
Accesibilidad de los usuarios: Definición de los derechos y privilegios para una correcta gestión y control de la información.
Responsabilidad de cada departamento y usuario dentro de la empresa en la manipulación de información.
Pasos a seguir ante un ciberataque: ¿quién es el responsable de notificar y tomar las decisiones de actuación?
Cómo actuar en caso de brecha de seguridad.
Soluciones de ciberseguridad básicas a implementar.
Soluciones de ciberseguridad avanzadas a implementar.
Para poder implementar políticas de seguridad informática, el primer paso es establecer unos objetivos de seguridad, para saber si estas políticas podrán ser más restrictivas o flexibles. El tipo de actividad empresarial influye mucho en la determinación de los objetivos de seguridad informática.
Para ello, es importante fijarse en el tipo de servicios que se ofrecen. En las empresas donde los datos de los clientes tengan un gran valor o sean muy sensibles, como por ejemplo pasa en los hospitales o empresas del sector sanitario, las políticas de seguridad establecidas serán mucho más restrictivas, que por ejemplo una empresa que se dedica a la venta física y no dispone ni de tienda online. No obstante, es importante que estas medidas de seguridad no afecten a la usabilidad ni a la eficiencia del trabajo. Cuantas más medidas, no habrá tanta inmediatez para acceder a los software o herramientas de trabajo. Por ejemplo, implementando la verificación de doble factor (2FA), que incluye tan solo un paso más para poder acceder a un programa o archivo, será suficiente para garantizar la seguridad de este.
Por último, otro factor a tener en cuenta es el coste. Implementar políticas de seguridad tiene un coste, puesto que no se trata de plasmar en un papel la intención de llevar a cabo buenas prácticas, sino que estas se deben poner en marcha, y para ello, se deberán implementar una serie de herramientas o más personal humano para garantizar su cumplimiento.
Es importante, antes de implementar cualquier política de seguridad informática, que se tenga claro el tipo de actividad empresarial, cómo estas políticas pueden afectar a la actividad empresarial de la empresa, y qué presupuesto puedes destinar a la ciberseguridad.
Las políticas de seguridad informática son una herramienta fundamental para las empresas de cualquier tipo y tamaño, sobre todo a la hora de concienciar a los empleados sobre los riesgos de seguridad y proporcionar pautas de actuación concretas que minimicen los riesgos de sufrir un ciberataque.
¿Crees que necesitas ayuda para crear una estrategia de ciberseguridad e implementar políticas de seguridad informática? En ESED, como especialistas en ciberseguridad, te ayudamos. Primero realizando una auditoría completa de tu sistema para encontrar sus vulnerabilidades y brechas de seguridad, y después, creando una estrategia de seguridad, para minimizar los riesgos de ciberataques. Puedes contactar con nosotros sin ningún compromiso en el siguiente enlace, donde estarás solicitando una primera auditoría gratuita.