Cómo Implementar una Política de Seguridad Informática Efectiva. (PARTE I)
La ciberseguridad es clave para las pymes. Aunque somos pequeños, no estamos exentos de ataques informáticos. Si tienes una pequeña empresa, no debes confiarte pensando “no tengo nada que a un hacker le pueda interesar”. Debes saber que hay una industria muy lucrativa detrás de los ataques informáticos y que la gran mayoría son indiscriminados y buscan una ganancia económica modesta (que tu empresa pueda pagar). Es cierto que, a diferencia de las grandes empresas, no somos el objetivo principal de ataques muy sofisticados (y muy complejos de evitar) pero ¡eso no significa relajarse! Lo importante es hacer las cosas bien desde el principio. Si sembramos seguridad, cosecharemos tranquilidad. ¡Recuerda, el esfuerzo vale la pena!
A continuación, resumimos el proceso que una empresa debería seguir para mejorar la situación de sus sistemas en cuanto a la protección y la ciberseguridad. Esta guía es completa, pero está muy resumida y daría para uno o varios libros. Por eso hemos intentado centrarnos en los problemas que afectan a los sistemas de las empresas pequeñas y condensar al máximo el contenido resaltando sólo las ideas clave, que son muchas.
Este es un resumen de los puntos que trataremos en estos artículos, dividido en seis pasos fundamentales:
- Evaluación de Riesgos y Necesidades: Identificar activos críticos, puntos de vulnerabilidad y sistemas obsoletos.
- Desarrollo de Políticas Claras: Establecer normas de copia de seguridad, contraseñas, topología de red, acceso público y tecnologías remotas.
- Capacitación y Concientización del Personal: Educar a los empleados sobre gestión de contraseñas, phishing, navegación segura y protección de datos.
- Implementación de Medidas Técnicas: Proteger la red física, instalar antivirus, actualizar equipos, realizar copias de seguridad seguras, establecer puertas de entrada seguras y proteger el correo electrónico.
- Monitoreo y Revisión Regular: Revisar intentos de inicio de sesión fallidos, parches de seguridad, sistemas de backup y vulnerabilidades, además de realizar auditorías periódicas.
- Respuesta a Incidentes y Recuperación: Desarrollar planes para distintos tipos de ataques, como criptolockers, ataques a la página web, suplantación de identidad por correo electrónico y ataques a través de redes wifi.
Tratamos, a continuación, los dos primeros puntos mencionados anteriormente para implementar y mantener medidas de seguridad informática efectivas en una empresa pequeña, siendo un proceso continuo que requiere compromiso y adaptabilidad para proteger los datos y sistemas ante las amenazas cibernéticas.
- Evaluación de Riesgos y Necesidades
- Descripción: El primer paso es realizar una evaluación exhaustiva de los riesgos y necesidades de seguridad de la empresa. Esto incluye identificar los activos críticos, los posibles riesgos de seguridad y las vulnerabilidades existentes. Esta labor tiene que ser muy exhaustiva porque es el fundamento sobre el cual se basan el resto de los pasos.
- Ejemplo: La evaluación de riesgos de tiene que centrar en los siguientes puntos:
-
- Identificar los elementos de conectividad física. Lo primero es mapear la topología de la red física para tener claro los tipos de conexiones que existen (cableada y wifi), así como las conexiones entre los distintos servidores o servicios de la organización.
- Identificar los puntos de entrada de un posible ataque. Los puntos de entrada más habituales son los siguientes: servicios de correo electrónico, sistemas de conexión remota de empleados, conexión con sedes remotas (tanto propias como externas), servicios web que se publiquen desde dentro de la organización. Aquí es útil analizar los puertos abiertos en el firewall pues esto indicará otros servicios publicados.
- Realizar un inventario de los sistemas. El objetivo de este punto es identificar equipos o sistemas que ya no cuentan con actualizaciones de software puesto que es vital que todos los sistemas de una empresa estén actualizados al día. También será necesario identificar el volumen de datos que aloja la empresa en sus servidores o servicios Cloud, puesto que este dato será necesario para diseñar una estrategia de copia de seguridad adaptada a esa realidad.
- Identificar los sistemas o equipos que puedan sacar información fuera de la organización. Lo importante aquí es tener claro que estos equipos habrá que protegerlos con medidas adicionales.
- Identificar los servicios de la nube y sus riesgos. Si la empresa ya está usando servicios Cloud, es importante identificarlos y conocer los riesgos de seguridad a los que están expuestos.
- Identificar los sistemas que están interconectados. Esto es fundamental para protegerse de ataques por la retaguardia. Además, es importante saberlo para que cuando se apliquen las medias de seguridad, estas interconexiones no dejen de funcionar.
- Identificar la página web corporativa. Valorar su tecnología para identificar posibles vulnerabilidades que convenga corregir.
- Desarrollo de Políticas Claras
- Descripción: Basándose en la evaluación de riesgos, se deben desarrollar políticas claras y comprensibles que aborden los aspectos específicos de seguridad informática relevantes para la empresa. La empresa debe decidir qué nivel de seguridad, y por lo tanto de restricciones quiere aplicar.
- Ejemplo: La empresa debe decidir y tomar una postura frente a los puntos siguientes:
-
- Política de copia de seguridad. Diseñar qué tecnologías usar para realizar la copia de seguridad. También qué sistemas estarán protegidos por copia, no olvidando la conveniencia de realizar copia de seguridad de los servicios Cloud. Hoy día es necesario realizar 3 copias de TODA la información de la empresa, usar dos medios físicos o tecnologías diferentes y ubicar una de esas copias fuera de la organización.
- Política de contraseñas. Este es un temas clave que no puede dejarse al azar: qué uso se hace de las contraseñas, cómo se comparten, qué complejidad deben tener y con qué periodicidad se deben cambiarse.
- Qué topología de red se requiere para proteger adecuadamente el sistema. Aquí es necesario decidir qué particiones hay que aplicar a la red para optimizar la seguridad. Conviene prestar especial atención a la red Wifi puesto que es fácilmente vulnerable. también conviene decidir cómo establecer conexiones con elementos externos.
- ¿Se permite tener accesos públicos a la infraestructura? Accesos públicos permiten a cualquier actor establecer una conexión con los sistemas de organización, previo a establecer una validación de seguridad. Lo ideal es no permitir ninguna conexión publica a la infraestructura si no hay un mecanismo previo de control de acceso. Esto se conoce como “Zero Trust” (confianza cero).
- ¿Qué tecnología de conexión remota se valora como adecuada? Diferentes tipos de conexión remota tienen diferentes riesgos de seguridad y la empresa debe conocer las alternativas y valorar cual es la que más encaja en su realidad.
- ¿Qué se hace con los sistemas obsoletos? La organización debe decidir cómo abordar los posibles sistemas que ya no tienen actualizaciones de software porque implican un riesgo para la seguridad que hay que controlar.
- ¿Qué política sobre el mantenimiento preventivo se establece? El mantenimiento del sistema es vital para mantener la seguridad del sistema. La organización debe tener mecanismos para identificar errores, intentos de inicio de sesión u otros eventos que alerten sobre posibles ataques o intrusiones. Una política proactiva de mantenimiento de los sistemas permitirá identificar y corregir estas situaciones antes que se conviertan en un problema.
- ¿Cómo se protege adecuadamente los servicios Cloud activos en la empresa? La monitorización de estos sistemas y la securización del acceso mediante técnicas como el doble factor de autenticación son básicos para proteger estos servicios. Hay que ser consciente que normalmente los servicios Cloud operan con el modelo de “responsabilidad compartida”, eso quiere decir que, ante un incidente de seguridad, la empresa proveedora buscará todas las excusas para hacerse cargo de la situación y echará la culpa al cliente. Nos referimos a Microsoft y Google, entre otros gigantes del Cloud.
- Ante un posible ataque o incidente de seguridad, decidir qué sistemas deben estar especialmente protegidos. Hay tener claro que sistemas deben estar especialmente protegidos en caso de un posible ataque o caída informática. Esto permitirá a la empresa mantener una mínima operativa durante una situación de crisis de seguridad. Hay que prestar especial atención a los sistemas de copia de seguridad y protegerlos con las máximas medidas posibles.
En resumen, la seguridad informática no es un asunto de una sola vez, sino un proceso continuo y evolutivo. Requiere un compromiso constante con la evaluación, el desarrollo de políticas, y la actualización periódica para adaptarse a los nuevos desafíos en el cambiante paisaje de la ciberseguridad.