Decálogo para la seguridad de la información

Según ESET, la resonancia alcanzada por el caso Wikileaks y las recientes intrusiones a bases de datos de grandes empresas y/o entes gubernamentales ubican la fuga de información entre los temas más controversiales.

Con el objetivo de contribuir con la educación e información de las empresas para alcanzar una mejor política de seguridad de la información, los especialistas de la firma elaboraron los 10 mandamientos de la seguridad corporativa.

Estos mandamientos son principios básicos que deben regir la protección de la información en las empresas.

Los mandamientos son:

1. Definir una política de seguridad: Es el documento que rige toda la seguridad de la información en la compañía

Se recomienda que no sea muy extensa (ningún empleado podrá comprometerse con un documento excesivamente extenso), que sea realista (pedirle a los empleados cosas posibles para mantener la credibilidad) y que se les de valor.

Es preferible, además, que las mismas sean entregadas a los empleados por los altos cargos o por el departamento de Recursos Humanos, en lugar del soporte técnico de IT, para que le asignen mayor importancia.

2. Utilizar tecnologías de seguridad: Son la base de la seguridad de la información en la empresa

Una red que no cuente con protección antivirus, un firewall o una herramienta antispam estará demasiado expuesta como para cubrir la protección con otros controles.

Según el Security Report Latinoamérica, presentado en el 2008, el 38% de las empresas de la región se infectaron con malware el último año.

3. Educar a los usuarios: Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas

Según las estadísticas de ESET, el 45% de los ataques informáticos detectados en la región utiliza técnicas de ingeniería social – es decir, que atentan contra el desconocimiento del usuario para infectarlo-.

Por ello, es fundamental que toda la empresa forme parte de los procesos de educación y capacitación.

4. Controlar el acceso físico a la información: La seguridad de la información no es un problema que deba abarcar sólo la información virtual, sino también los soportes físicos donde ésta es almacenada

¿Dónde están los servidores? ¿Quién tiene acceso a éstos? Sin lugar a dudas, el acceso físico es fundamental.

También deben ser considerados en este aspecto los datos impresos, el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.) o el acceso a las impresoras.

5. Actualizar el software: Las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización

Según el informe sobre el estado del malware en Latinoamérica elaborado por la firma, el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades.

Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.

6. No utilizar a IT como el equipo de Seguridad Informática: Es uno de los errores más frecuentes, por lo que es importante recordar que la seguridad no es un problema meramente tecnológico

Debe existir un área cuyo único objetivo sea la seguridad de la información para que ésta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.

7. No tener usuarios administrativos: De esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo

8. No invertir dinero en seguridad sin un plan adecuado: La seguridad debe ser concebida para proteger la información y, por ende, el negocio

Hacer inversiones en seguridad sin medir el valor de la información que se está protegiendo y la probabilidad de pérdidas por incidentes puede derivar en dinero mal invertido o, básicamente, en dinero perdido.

9. No terminar un proyecto en seguridad: La seguridad debe ser concebida como un proceso continuo, no como un proyecto con inicio y fin

La empresa indicó que, si bien algunas pequeñas implementaciones de los controles pueden necesitar de proyectos, la protección general de la información es una necesidad permanente del negocio que debe encontrarse en mejora continua.

10. No subestimar a la seguridad de la información: Entender el valor que asigna al negocio tener la información protegida es clave ya que muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información

Según ESET, todas las empresas están preparadas para afrontar el desafío de proteger su información. Sin embargo, es necesario conocer e implementar principios como los mencionados anteriormente con el fin de resguardar la información de valor.