banner

[WEB] #10 Consejos de Seguridad para las PYMES

Hace unos días inauguramos la sección "Take it Away", y prometimos sacar el mismo artículo en la versión Web. Y precisamente, eso es lo que vamos a hacer.

En la actualidad con la practica totalidad de los sistemas conectados a Internet, la utilización de la banda ancha, se ha convertido en algo fundamental a la hora de desarrollar tu negocio. Es por ello, que todas las empresa, sean grandes o pequeñas, están de algo forma supeditadas a las comunicaciones por Internet, y por tanto, expuestas a las mismas amenazas.


A continuación, se describen diez consejos de Seguridad de la Información destinados a ser aplicados en pequeñas y medianas empresas (PYMES):


                                                                                                                                
         !NOVEDAD ! Si lo prefieres puedes descargar la versión PDF, aquí.                       
                                                                                                                                

#1 - Capacitación de los empleados en los principios de la Seguridad de la Información

Esto no es otra cosas, que establecer unos principios básicos de seguridad, de forma que los empleados y/o trabajadores de tu empresa, tenga conocimiento básico en seguridad, estableciendo pequeños seminarios de seguridad obligatorios, así como un pequeña política de seguridad, que establezca la necesidad de utilizar claves (password) seguros, regule la utilización de Internet en el trabajo, y describa como proteger y y manejar la información en el entorno laboral.

#2 - Protección de los Sistemas de cyberataques: 

Una vez establecida una política de seguridad acorde con el tamaño de la empresa, así como el tipo de información que maneja, el siguiente paso es "asegurar" los Sistemas mediante la configuración segura e instalación de software de seguridad, es decir, mantener actualizados todos los sistemas operativos y las aplicaciones más utilizadas; configurar de forma segura los sistema y servicios expuestos a Internet (página web, etc). Además, instalar en los equipos de escritorio software de seguridad y protección como por ejemplo: Exploitshield y Antivirus actualizados.

#3 - Disponer de medidas de Seguridad Perímetral:

Aunque parezca una cuestión trivial, la mayoría de las PYMES que se conectan a Internet, no disponen de este tipo de protección, en la mayoría de los casos se limitan a conectarse a Internet a través del router que proporciona su servicio de ADSL, sin realizar ninguna configuración adicional. Estos router que instalan las compañías de ADSL. Estos routers suelen venir configurados con reglas genéricas y muy permisivas, además, a esto hay que sumarle que el software que incluyen estos equipos no siempre es la mejor solución de seguridad.

Es por ello, que conviene analizar la necesidad de protección de la empresa, en función de la información que maneja. No obstante, es conveniente analizar el tipo de dispositivo, y en caso, de no necesitar medidas de seguridad perimetrales adiciones, configurar adecuadamente el mismo. Pero siempre será más aconsejable adquirir una solución de seguridad perimetral adicional.

Y si tus empleados suelen trabajar desde casa, esta solución deberá de ser capaz de soportar conexiones remotas seguras (VPN). No obstante, si la practica habitual de tus empleados es trabajar en casa, sería recomendable, incluir en la política de seguridad de la empresa, algunas directrices a cumplir, como por ejemplo: que los empleados tengan protección perimetral, antivirus y sistema operativo actualizado, que se conecten con la empresa a través de VPN, y no conecten dispositivos USB del trabajo en el ordenador de casa, entre otras medidas.

#4 - Regulación del uso de los dispositivos móviles:

Si para realizar su trabajo, los empleados se conectan a Internet a través del móvil y manejan información sensible en dichos dispositivos, es practica común incluir estos dispositivos en la política de seguridad así como en el Manual de Procedimientos de Seguridad de la empresa. Incluso si estos dispositivos son personales utilizados en el trabajo. Algunas de las acciones a tomar, proteger con password el acceso al dispositivo, cifrar la memoria del teléfono e instalar software de protección frete a elementos Malware.

Dependiendo del tipo de información que se maneje en la empresa, se deberá incluso plantear prohibir la introducción de móviles personales a las instalaciones de la empresa, lo que obligará a la empresa a proveer de móviles a sus empleados, sobre todo aquellos que lo necesiten para el desempeño de su trabajo.

En el caso de los portátiles  se aconseja aplicarse medidas de seguridad similares a los equipos de escritorio, a lo que habría que añadir: cifrar el disco duro y protegido con password de arranque.

#5 - Copias de Seguridad de los datos:

No son pocas las veces que hemos hablado sobre la necesidad de realizar copias de Seguridad de la información que manejamos. Por tanto es importante mantener a salvo todos los datos relevantes para el desempeño del trabajo, incluyendo la información almacenada en los equipos de escritorio de los trabajadores. Para ello, es conveniente añadir en la política de seguridad, la política de copia de seguridad (frecuencia, tipo de copia, tipos de archivos, etc) y establecer un procedimiento automático o manual que describa como realizar la copia de seguridad correspondiente.

Por ejemplo, se pueden programar tareas en los equipos de escritorio, para que realicen copias de seguridad de los datos, en cada arranque del sistema. Esto es una de las cosas que debe de incluirse en el Manual de Procedimientos de Seguridad, la complejidad de ésta dependerá del tamaño e información que maneje la empresa.

#6 - Medidas de protección físicas: control de accesos

Establecer medidas de control para prevenir el acceso no autorizado de personas a los equipos de trabajo, así como el acceso no autorizado a la red de la empresa por equipos y/o dispositivos ajenos a la misma.

Como medida de protección, se aconseja que los ordenadores portátiles se encuentren con medidas de protección frente a robo cuando estos se encuentren desatendidos. Además, se recomienda que los equipos se bloqueen automáticamente con contraseñas fuertes cuando no se estén utilizando.

#7 - Configuración segura de las Redes Wireless

Si se desea utilizar redes inalámbricas, es conveniente proteger y asegurar la red, utilizando cifrado fuerte (WP2 + AES) y medidas de autenticación seguras, siempre que sea posible. Es por ello que conviene, establecer una política de rotación de contraseñas de la red inalámbrica, así como separar ésta de la red interna mediante cortafuegos.

Si se desea acceder a la red interna desde la red inalámbrica, se aconseja utilizar conexiones VPN, para evitar el robo de datos, incluso si se encuentra dentro de las instalaciones de la empresa. Por supuesto, este tipo de medidas dependerán del tipo de información que se maneja, y del análisis de riesgo correspondiente.

#8 - Pago por Internet

Si se utiliza frecuentemente el pago de proveedores mediante tarjetas de crédito,  es conveniente asegurarnos de utilizar un sistema adecuado, protección frente a fraude y conexiones seguras (SSL) con el banco. Además, es aconsejable realizar las comunicaciones con el banco, siempre, desde el mismo ordenador que sea utilizado en exclusiva (en la medida de lo posible) para dicho uso, y adecuadamente protegido.

#9 - Establecer limitaciones de uso a los empleados 

Es decir, autorizar a cada empleado el acceso a la información que necesita para desempeñar su trabajo, es lo que se conoce como segregación de funciones, es decir, crear roles y grupos para controlar el nivel de uso y autorización. De forma que el Administrador WEB no debería de poder acceder a la información económica/financiera de la empresa.

De la misma forma, se debe de poder restringir a los empleados para que no puedan instalar software no autorizado en los equipos de trabajo. Evitando de esta forma, que se pueda instalar software malicioso por equivocación o accidente.

#10 - Política de Contraseñas

Por ultimo, y no menos importante, es prestar especial atención a las contraseñas utilizadas por los empleados. Incluir por tanto, una política de contraseñas que establezca, la frecuencia de rotación, el número de caracteres, el tipo de caracteres admitidos, el número de repeticiones de la contraseña, etc

En muchas ocasiones, una contraseña robusta es la clave para proteger la información, de accesos no autorizados.

Incluso, se deberá de estudiar la posibilidad de introducir mecanismo seguros de autenticación, como tarjetas inteligentes con certificados digitales, y incluso establecer un doble factor de autenticación.

FIN

Estos son algunos mis consejos de Seguridad para PYMES, basados en los que la FCC Americana propone para pequeñas empresas.

Un Saludo.

REFERENCIAS:

[1] Ten Cibersecurity Tips for Small Bussinesses.

Vía: Twitter.

No hay comentarios :

Publicar un comentario