Como sabéis, en Esferize prestamos especial atención a la seguridad de las empresas, tanto física como digital. Por eso, hoy resumimos en 10 puntos fundamentales cómo proteger la ciberseguridad de tu pyme.
1. La gestión de los riesgos
Uno de los aspectos clave radica en conocer quién será el responsable de gestionar la ciberseguridad en las empresas. Hay que ser consciente del nivel de riesgo que se desea asumir. Invertir en seguridad es minimizar riesgos. Conviene elaborar una Política de Seguridad que determine qué riesgos se está dispuesto a aceptar y asegurarse de que los colaboradores comprenden la importancia de sus responsabilidades en esta materia.
2. Software actualizado
No basta con comprarse un firewall y un antivirus y olvidarse del asunto hasta que exista un problema. Hay que actualizarlo tan pronto sea posible. Se puede activar la opción de “actualización automática” en numerosos paquetes de software de seguridad de los equipos. Se recomienda realizar un inventario de todos aquellos activos tecnológicos, tanto hardware como software, así como ir revisando regularmente las posibles debilidades que pueda tener el sistema con análisis de vulnerabilidades. Es altamente recomendable hacerlo una vez al año o cada vez que exista un cambio importante de software o hardware.
3. Red protegida
Es importante que la red de la empresa esté protegida tanto de ataques externos como internos. Conviene comprobar si el proveedor de internet incluye un cortafuegos que controle las conexiones de red de acceso a internet. Hay que configurarlo adecuadamente y actualizarlo cuando sea necesario. Siempre es aconsejable consultar a un experto en el caso de que se crea que la seguridad de la red de la empresa ha sido comprometida.
4. La importancia del malware
No se trata de instalar un simple antivirus. Conviene disponer de un paquete de seguridad completo que proteja al equipo y las redes de software malintencionado, léase spyware, adware, etcétera. Conviene realizar un escaneado diario y que el equipo esté al día de actualizaciones.
5. Privilegios de usuario
Es vital controlar quién entra y dónde se entra en una red de sistemas de una pyme. Los empleados deben disponer de nombres de usuario y contraseñas. Sus privilegios en el sistema estarán limitados por el administrador, que será el que indicará en qué carpetas podrán trabajar los empleados para desarrollar sus labores, obviando el resto del sistema. Se recomienda tener los datos sensibles (contabilidad, nóminas, clientes, estrategia,…) separados y vigilados.
6. Control de dispositivos extraíbles
Para la seguridad de la pyme es importante que se utilicen únicamente CD, DVD, USB, tarjetas SD o cualquier tipo de memoria flash que haya proporcionado el administrador de sistemas. No se trata de convertirse en un policía pero sí de saber quién los usa, dónde están y, en la medida de lo posible, qué contienen. Además, conviene que se escaneen para evitar malware.
7. Monitorización de redes y servicios
Existen herramientas gratuitas de monitorización o de análisis de protocolo que pueden ayudar a detectar fallos de hardware o actividad inusual en la red de una pyme. Si la empresa es de compleja y de mayor tamaño conviene decantarse por otras opciones comerciales que incluyen análisis de tráfico, uso de IP, etcétera.
8. Sensibilizar a los usuarios
Predica que algo queda. En la medida de lo posible hay lograr que los empleados conozcan y apliquen la política de seguridad de la que la pyme se ha dotado. La compañía puede plantearse incluir esta política en forma de cláusula en los contratos. De forma periódica, recordar a la plantilla las buenas prácticas de seguridad. En relación a las redes sociales, conviene que todos los empleados sepan cómo utilizarlas dado que representan a la empresa.
9. Qué hacer con los dispositivos móviles de los empleados
Dado que cada vez es más frecuente que los empleados de una empresa utilicen dispositivos móviles, tanto privados como corporativos, en su quehacer profesional es necesario que estos tengan la aprobación de los responsables de seguridad. Por ejemplo, hay que asegurarse que tienen un antimalware instalado y actualizado, que están cifrados, que podemos rastrearlos y borrarlos de forma remota en caso de extravío o robo y que los empleados informarán de cualquier incidente con dichos dispositivos a la empresa.
10. El negocio debe seguir pese a los incidentes
Cualquier eventualidad que comprometa los sistemas tecnológicos de la empresa es un incidente que interfiere en la actividad normal del negocio. Por ello hay que dejar claro qué hacer y qué no hacer en el caso de que ocurra y en caso de duda disponer de un agente externo que ayude a la pyme a resolver adecuadamente la situación.
Es importante recalcar que cuando se trate de datos de carácter personal, el Documento de Seguridad que toda empresa debe tener según la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, debe incluir, entre otras cosas, lo señalado en los puntos 2 («un inventario de todos aquellos activos tecnológicos, tanto hardware como software»), 5 («Es importante controlar quién entra y dónde se entra en una red de sistemas») y 6 («Control de dispositivos extraíbles»).
Como siempre, os emplazamos a profundizar sobre la seguridad empresarial en Internet en nuestra página web.
Fuente: EAE Business School
